TZURTZURWindows کے لیے TZUR پر واپس

TZUR for Windows · قانونی

سیکیورٹی اصول

نان-کسٹوڈیل ڈیزائن

TZUR Wallet مکمل طور پر نان-کسٹوڈیل ہے۔ آپ کی نجی کلیدیں کبھی سرورز پر محفوظ نہیں کی جاتیں، اور TZUR کے پاس آپ کے فنڈز تک رسائی، انہیں منجمد کرنے، یا منتقل کرنے کی کوئی صلاحیت نہیں ہے۔ بنانے کے لیے کوئی اکاؤنٹس نہیں ہیں، والیٹ ڈیٹا کا کوئی کلاؤڈ اسٹوریج نہیں ہے، اور آپ کی Bitcoin ملکیت کا کوئی سرور-سائیڈ ریکارڈ نہیں ہے۔ آپ کی کلیدیں صرف آپ کے کمپیوٹر پر موجود ہوتی ہیں، جو Windows سیکیورٹی اور، جہاں فعال ہو، آپ کے کمپیوٹر کے TPM سے محفوظ ہوتی ہیں۔ اگر TZUR کے سرورز کل غائب ہو جائیں، تو آپ کا Bitcoin مکمل طور پر قابلِ رسائی رہے گا۔ آپ اپنا والیٹ اپنے سیڈ فریز اور کسی بھی BIP-39 مطابقت رکھنے والی والیٹ ایپلیکیشن کے ذریعے بحال کر سکتے ہیں۔

کلید کی تخلیق اور اخذ

نجی کلیدیں مقامی طور پر آپ کے کمپیوٹر پر تخلیق کی جاتی ہیں۔ کرپٹوگرافک بے ترتیبی آپریٹنگ سسٹم کے محفوظ بے ترتیب نمبر جنریٹر (Windows پر BCryptGenRandom) کے ذریعے فراہم کی جاتی ہے۔ TZUR درجہ بندی شدہ متعین (hierarchical deterministic) کلید اخذ کرنے کے لیے BIP-32 کی پیروی کرتا ہے، جس کا مطلب ہے کہ آپ کا پورا والیٹ ایک واحد ماسٹر سیڈ سے اخذ کیا جاتا ہے۔ ایڈریس کی تخلیق کے لیے، TZUR derivation path m/84'/0'/0' استعمال کرتے ہوئے Native SegWit (bech32) ایڈریسز پیدا کرنے کے لیے BIP-84 کو نافذ کرتا ہے۔ یہ مکمل طور پر متعین ہے: ایک ہی سیڈ ہمیشہ ایڈریسز کا یکساں سلسلہ پیدا کرے گا۔ کوئی کلید مواد کبھی کسی دور دراز سرور پر تخلیق یا اس کو منتقل نہیں کیا جاتا۔

سیڈ فریز سیکیورٹی

آپ کا 12 الفاظ پر مشتمل سیڈ فریز BIP-39 معیار کے مطابق مقامی طور پر تخلیق کیا جاتا ہے۔ یہ سیڈ فریز آپ کے والیٹ کے لیے بحالی کا واحد طریقہ کار ہے۔ TZUR آپ کے سیڈ فریز کو نہ محفوظ کرتا ہے، نہ منتقل کرتا ہے، اور نہ ہی اس تک کوئی رسائی رکھتا ہے۔ یہ فریز والیٹ کی تخلیق کے دوران ایک بار دکھایا جاتا ہے اور بیک اپ کے مقاصد کے لیے Settings میں دوبارہ دیکھا جا سکتا ہے۔ اسے کبھی نیٹ ورک پر نہیں بھیجا جاتا، کبھی سرور لاگز میں نہیں لکھا جاتا، اور کبھی تجزیات ڈیٹا میں شامل نہیں کیا جاتا۔ اگر آپ اپنا سیڈ فریز اور اپنا کمپیوٹر دونوں کھو دیتے ہیں، تو آپ کا Bitcoin کسی کے ذریعے، بشمول TZUR، بحال نہیں کیا جا سکتا۔

میموری کا انتظام

نجی کلید مواد کو زہریلے ڈیٹا کے طور پر سمجھا جاتا ہے۔ کلیدیں محفوظ اسٹوریج سے صرف اس وقت لوڈ کی جاتی ہیں جب لین دین پر دستخط کے لیے درکار ہوں۔ ایک بار جب لین دین پر دستخط ہو جائیں، تو تمام کلید مواد فوری طور پر میموری سے صاف کر دیا جاتا ہے۔ نجی کلیدیں کبھی ایپلیکیشن کی حالت میں کیش نہیں کی جاتیں، کبھی عارضی فائلوں میں نہیں لکھی جاتیں، کبھی لاگ نہیں کی جاتیں، اور کبھی غیر محفوظ اسٹوریج میں برقرار نہیں رکھی جاتیں۔

محفوظ اسٹوریج

حساس والیٹ ڈیٹا، بشمول خفیہ کردہ سیڈ، ایک مقامی سیکریٹس فائل میں محفوظ کیا جاتا ہے جسے Windows DPAPI (Windows Data Protection API) کے ساتھ مہر بند کیا جاتا ہے۔ DPAPI ڈیٹا کو آپ کے Windows صارف اکاؤنٹ سے باندھتا ہے، اس لیے اسے کسی دوسری مشین پر منتقل یا آف لائن تبدیل نہیں کیا جا سکتا۔ Trusted Platform Module (TPM) سے لیس کمپیوٹرز پر، آپ اضافی طور پر خفیہ کردہ سیڈ کو TPM سے مہر بند کر سکتے ہیں۔ TPM کلید ناقابلِ برآمد ہے اور کبھی ہارڈویئر سے باہر نہیں جاتی، اس لیے کاپی کی گئی سیکریٹس فائل پر کسی دوسری مشین پر آف لائن حملہ نہیں کیا جا سکتا، حتیٰ کہ PIN کے ساتھ بھی۔ ایپلیکیشن ایک PIN کے ذریعے محدود ہوتی ہے، جسے 600,000 تکرار پر PBKDF2-HMAC-SHA256 کے ساتھ مضبوط بنایا جاتا ہے، اور، جہاں دستیاب ہو، Windows Hello کے ذریعے۔ TZUR حساس ڈیٹا کو سادہ فائلوں یا کسی غیر محفوظ اسٹوریج طریقہ کار میں محفوظ نہیں کرتا۔

ایپ لاک اور کیپچر تحفظ

TZUR خود کو اجرا کے وقت اور غیر فعالیت کی مدت کے بعد آپ کے PIN (اور Windows Hello، جہاں فعال ہو) کے پیچھے لاک کر دیتا ہے۔ خودکار لاک کا وقفہ قابلِ ترتیب ہے (1 منٹ، 10 منٹ، 1 گھنٹہ، یا 6 گھنٹے)۔ ایپلیکیشن حساس اسکرینوں پر اسکرین-کیپچر تحفظ کو بھی فعال کرتی ہے تاکہ شولڈر-سرفنگ اور اسکرین-ریکارڈنگ مالویئر کے خطرے کو کم کیا جا سکے۔

نیٹ ورک اور Electrum اعتماد ماڈل

TZUR بلاک چین ڈیٹا حاصل کرنے کے لیے عوامی Electrum سرورز سے رابطہ کرتا ہے۔ Electrum سرورز پر بھروسہ نہیں کیا جاتا۔ وہ صرف ڈیٹا فراہم کنندہ کے طور پر کام کرتے ہیں۔ تمام لین دین کی تعمیر اور دستخط مقامی طور پر آپ کے کمپیوٹر پر ہوتے ہیں۔ TZUR کبھی نجی کلیدیں، سیڈ فریز، یا ذاتی ڈیٹا نیٹ ورک پر نہیں بھیجتا۔ کنکشنز TLS استعمال کرتے ہیں۔ لین دین کی سالمیت Merkle ثبوتوں کے ذریعے تصدیق کی جاتی ہے۔

پرائیویسی کا احترام کرنے والے تجزیات

TZUR Wallet ایپلیکیشن کو بہتر بنانے کے لیے گمنام استعمال کے تجزیات جمع کر سکتا ہے۔ تجزیات مکمل طور پر اختیاری ہیں اور کسی بھی وقت Settings میں بند کیے جا سکتے ہیں۔

تجزیات میں کبھی شامل نہیں ہوتا:

  • والیٹ ایڈریسز یا عوامی کلیدیں
  • اکاؤنٹ کے بیلنس یا UTXO ڈیٹا
  • لین دین کی رقوم، منزلیں، یا تاریخ
  • سیڈ فریز یا کوئی کلید مواد
  • نجی کلیدیں یا derivation paths
  • ذاتی شناخت، نام، یا مقام

TZUR Wallet میں اشتہاری SDKs، فریقِ ثالث کی ٹریکنگ ٹیکنالوجیز، یا فنگر پرنٹنگ لائبریریاں شامل نہیں ہیں۔ ہم کوئی صارف ڈیٹا فروخت، شیئر، یا اس سے رقم نہیں کماتے۔

ذمہ دارانہ افشا

اگر آپ TZUR Wallet میں کوئی سیکیورٹی کمزوری دریافت کریں، تو براہِ کرم اسے contact@tzur.live پر رپورٹ کریں۔ ہم تمام رپورٹس کو سنجیدگی سے لیتے ہیں اور فوری طور پر جواب دیں گے۔

آخری تازہ کاری: 4/6/2026