TZURTZURНазад до TZUR для Windows

TZUR for Windows · Юридична інформація

Принципи безпеки

Некастодіальна конструкція

TZUR Wallet є повністю некастодіальним. Ваші приватні ключі ніколи не зберігаються на серверах, і TZUR не має можливості отримувати доступ до ваших коштів, заморожувати чи переміщувати їх. Немає облікових записів для створення, немає хмарного зберігання даних гаманця та немає серверного запису про ваші активи Bitcoin. Ваші ключі існують лише на вашому комп'ютері, захищені безпекою Windows і, де це увімкнено, TPM вашого комп'ютера. Якщо сервери TZUR зникнуть завтра, ваш Bitcoin залишиться повністю доступним. Ви можете відновити свій гаманець за допомогою сід-фрази та будь-якого сумісного з BIP-39 застосунку-гаманця.

Генерація та виведення ключів

Приватні ключі генеруються локально на вашому комп'ютері. Криптографічна випадковість забезпечується захищеним генератором випадкових чисел операційної системи (BCryptGenRandom у Windows). TZUR дотримується BIP-32 для ієрархічного детермінованого виведення ключів, що означає, що весь ваш гаманець виводиться з одного майстер-сіду. Для генерації адрес TZUR реалізує BIP-84 для створення адрес Native SegWit (bech32) з використанням шляху виведення m/84'/0'/0'. Це повністю детерміновано: один і той самий сід завжди створює одну й ту саму послідовність адрес. Жоден ключовий матеріал ніколи не генерується на віддаленому сервері та не передається на нього.

Безпека сід-фрази

Ваша сід-фраза з 12 слів генерується локально відповідно до стандарту BIP-39. Ця сід-фраза є єдиним механізмом відновлення вашого гаманця. TZUR не зберігає, не передає та не має жодного доступу до вашої сід-фрази. Фраза відображається один раз під час створення гаманця та може бути переглянута знову в Налаштуваннях для цілей резервного копіювання. Вона ніколи не надсилається через мережу, ніколи не записується в серверні журнали та ніколи не включається до даних аналітики. Якщо ви втратите сід-фразу та свій комп'ютер, ваш Bitcoin не зможе відновити ніхто, включно з TZUR.

Обробка пам'яті

Матеріал приватних ключів розглядається як токсичні дані. Ключі завантажуються із захищеного сховища лише тоді, коли вони потрібні для підписання транзакцій. Після підписання транзакції весь ключовий матеріал негайно видаляється з пам'яті. Приватні ключі ніколи не кешуються в стані застосунку, ніколи не записуються в тимчасові файли, ніколи не реєструються в журналах і ніколи не зберігаються в незахищеному сховищі.

Захищене зберігання

Конфіденційні дані гаманця, включно із зашифрованим сідом, зберігаються в локальному файлі секретів, запечатаному за допомогою Windows DPAPI (Windows Data Protection API). DPAPI прив'язує дані до вашого облікового запису користувача Windows, тому їх неможливо перенести на іншу машину чи замінити офлайн. На комп'ютерах, оснащених Trusted Platform Module (TPM), ви можете додатково запечатати зашифрований сід до TPM. Ключ TPM не підлягає експорту та ніколи не залишає апаратне забезпечення, тому скопійований файл секретів неможливо атакувати офлайн на іншій машині, навіть із PIN. Застосунок захищений PIN, посиленим за допомогою PBKDF2-HMAC-SHA256 із 600 000 ітераціями, і, де це доступно, за допомогою Windows Hello. TZUR не зберігає конфіденційні дані у звичайних файлах або будь-якому незахищеному механізмі зберігання.

Блокування застосунку та захист від захоплення

TZUR блокує себе за вашим PIN (і Windows Hello, де це увімкнено) під час запуску та після періоду бездіяльності. Інтервал автоматичного блокування налаштовується (1 хвилина, 10 хвилин, 1 година або 6 годин). Застосунок також вмикає захист від захоплення екрана на конфіденційних екранах, щоб зменшити ризик підглядання через плече та зловмисного програмного забезпечення для запису екрана.

Модель довіри до мережі та Electrum

TZUR зв'язується з публічними серверами Electrum для отримання даних блокчейну. Серверам Electrum не довіряють. Вони слугують лише постачальниками даних. Уся побудова та підписання транзакцій відбуваються локально на вашому комп'ютері. TZUR ніколи не надсилає приватні ключі, сід-фрази або особисті дані через мережу. З'єднання використовують TLS. Цілісність транзакцій перевіряється за допомогою доказів Merkle.

Аналітика, що поважає конфіденційність

TZUR Wallet може збирати анонімну аналітику використання для покращення застосунку. Аналітика є повністю необов'язковою і може бути вимкнена будь-коли в Налаштуваннях.

Аналітика ніколи не включає:

  • Адреси гаманця або публічні ключі
  • Баланси рахунку або дані UTXO
  • Суми транзакцій, призначення чи історію
  • Сід-фрази або будь-який ключовий матеріал
  • Приватні ключі або шляхи виведення
  • Особисту ідентичність, ім'я чи місцезнаходження

TZUR Wallet не містить рекламних SDK, сторонніх технологій відстеження або бібліотек для зняття цифрових відбитків. Ми не продаємо, не передаємо та не монетизуємо жодні дані користувачів.

Відповідальне розкриття

Якщо ви виявите вразливість безпеки в TZUR Wallet, будь ласка, повідомте про неї на contact@tzur.live. Ми серйозно ставимося до всіх повідомлень і відповімо оперативно.

Останнє оновлення: 4/6/2026