Come fare il backup delle tue chiavi Nostr senza perderle

La richiesta di supporto Nostr più dolorosa è "Ho perso il mio nsec, come recupero il mio account." La risposta è sempre la stessa: non lo fai. Nessuna azienda detiene una copia. Nessun trucco crittografico lo recupera. L'account è sparito.

Questa guida è per assicurarti che quella conversazione non ti accada mai. Tre strategie di backup, classificate per sicurezza e praticità, più gli errori specifici che silenziosamente producono una perdita irrecuperabile.

TL;DR. Salva il tuo nsec su un gestore di password con crittografia end-to-end (1Password, Bitwarden, KeePassXC, o iCloud Keychain) nel momento in cui il tuo client lo genera. Per identità di alto valore aggiungi un backup su carta in una cassaforte. Non salvare mai l'nsec in iCloud Notes, Google Keep, uno screenshot, o qualsiasi unità cloud dove il provider può leggere il plaintext.

Quando sei pronto, prendi il tuo indirizzo @nostr.blog →

Cosa stai effettivamente facendo il backup

La tua identità Nostr è la chiave privata, codificata come una stringa nsec1... Bech32. 63 caratteri, inizia con nsec1. Chiunque abbia questa stringa ha il controllo completo dell'account.

Non hai bisogno di fare il backup di:

• L'npub (derivabile dall'nsec)
• I tuoi metadati di profilo (recuperabili dai relay finché puoi firmare eventi)
• La tua lista di seguiti (stesso)
• I tuoi post (esistono sui relay anche se perdi la chiave)

Hai bisogno di fare il backup di:

• L'nsec. Solo l'nsec.

Tutto il resto segue dall'avere l'nsec. Nulla segue dall'avere solo l'npub.

Opzione 1: Gestore di password

La raccomandazione di default per quasi ogni utente.

Cosa funziona: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, qualsiasi gestore di password che crittografa il tuo vault con una master password e memorizza solo ciphertext sui server del provider. Anche Apple iCloud Keychain si qualifica; è crittografato end-to-end con il passcode del tuo dispositivo.

Setup (esempio 1Password; il flusso è equivalente negli altri):

1. Crea un nuovo elemento, categoria "Secure Note" o "Password."
2. Denominalo in modo non ambiguo: Nostr nsec (alice@nostr.blog).
3. Incolla l'intero nsec includendo il prefisso nsec1 nel campo password.
4. Salva.
5. Verifica che l'elemento sia sincronizzato sui tuoi dispositivi aprendo 1Password su un secondo dispositivo e trovando la stessa voce.

Perché funziona: Il vault è crittografato con la tua master password prima che lasci il tuo dispositivo. Il provider memorizza ciphertext e non ha mai il plaintext. Una violazione del provider diffonde blob crittografati, non le tue chiavi effettive.

Perché può comunque fallire: Dimentichi la master password; perdi il recupero dell'account (alcuni manager hanno un PDF del kit di recupero che stampi, altri no); il tuo dispositivo è compromesso mentre il vault è sbloccato e un attaccante esporta gli elementi.

Fix per la debolezza: Mantieni la tua master password da qualche parte di fisico e separato. Abilita ogni opzione di recupero e 2FA che il gestore di password offre. Non memorizzare la master password in una nota sincronizzata.

Opzione 2: Backup su carta

L'opzione più resiliente contro i guasti digitali. Funziona quando tutto il resto fallisce.

Setup:

1. Apri un editor di testo e digita l'nsec esattamente (oppure usa la funzione "esporta chiave" del client se disponibile per generare un codice QR).
2. Stampa su carta da una stampante affidabile. Non fare screenshot; gli screenshot finiscono nelle foto cloud.
3. Scrivi sulla carta: il nome dell'account, la data, e (opzionale) dove hai fatto il backup.
4. Memorizza in una posizione di cui ti fidi fisicamente: una cassaforte domestica, una cassetta di sicurezza, un cassetto chiuso. Non un quaderno sulla tua scrivania, non il primo cassetto che qualcuno aprirebbe.

Perché funziona: Una copia su carta non è online. Nessuno può estrarla da remoto. Sopravvive a perdere il tuo telefono, il tuo laptop, il tuo provider cloud, e il tuo accesso a internet simultaneamente.

Perché può fallire: Acqua, fuoco, qualcuno che la trova. I fix standard sono una cassaforte ignifuga, una piastra di backup in acciaio (le stesse che acquistano gli utenti di Bitcoin seed-phrase), o memorizzare due copie in due posizioni fisiche diverse.

Le piastre di backup in acciaio sono un upgrade se l'identità è di alto valore. Sopravvivono a fuoco, acqua, e un decennio di umidità. Una piastra di base costa circa $20. Timbra l'nsec in righe di metallo con un pugno. Eccessivo per la maggior parte delle persone, ragionevole per un'identità Nostr legata a un reddito reale.

Opzione 3: Signer hardware

L'opzione tecnicamente più forte. La più complessa da configurare.

Cos'è: Un dispositivo che mantiene l'nsec e firma gli eventi da remoto, senza che l'nsec tocchi mai il dispositivo client. Il tuo telefono o laptop comunica con il signer attraverso un canale sicuro (Bluetooth, USB, o una sottoscrizione relay crittografata), gli invia un evento da firmare, e riceve l'evento firmato.

Opzioni nel 2026:

• Amber (Android) è un'app signer Nostr dedicata che funziona su un telefono separato e riceve richieste di firma su un canale locale.
• Le app bunker "remote-signer" funzionano da qualche parte di cui ti fidi (il tuo server, un dispositivo fidato) e ricevono richieste di firma su Nostr stesso usando NIP-46.
• Gli hardware wallet con supporto Nostr (alcuni firmware Coldcard, alcuni firmware Jade, e progetti dedicati come Seedsigner) possono firmare eventi Nostr come lavoro secondario.

Perché funziona: L'nsec non lascia mai il signer. Anche se il tuo telefono o laptop è completamente compromesso, l'attaccante non può rubare la chiave perché non può accedervi. Al massimo possono ingannare il signer nel firmare eventi malevoli, ma solo mentre hanno connettività attiva.

Perché è difficile: La configurazione è più coinvolta rispetto a un gestore di password. Hai bisogno di un secondo dispositivo o di una distribuzione bunker. La maggior parte dei client mobili non supporta ancora i signer remoti come cittadini di prima classe. Meno utenti seguono questo percorso, ma quelli che lo fanno sono quelli con le esigenze di sicurezza più elevate.

Dove non salvare l'nsec

Ogni opzione in questo elenco ha prodotto una richiesta di supporto che è terminata in "il tuo account è sparito." Evitale tutte.

• iCloud Notes. Apple memorizza il contenuto della nota in una forma che può leggere. Non crittografato end-to-end. Una violazione di iCloud significa una violazione della tua identità Nostr.
• Google Keep. Stesso problema, con Google.
• Screenshot della fotocamera. Lo screenshot si sincronizza automaticamente a iCloud Photos o Google Photos in plaintext. Anche se lo elimini dal telefono, i provider cloud spesso mantengono copie recenti.
• Bozze email o email a se stessi. Il tuo provider di email può leggere le bozze e la posta inviata. Se vengono violati (e diversi provider principali lo sono stati, nell'ultimo decennio), l'nsec è nella perdita.
• Telegram "Saved Messages" o qualsiasi chat self-DM. Le chat predefinite di Telegram non sono crittografate end-to-end. Signal è meglio ma non è progettato come backup di password.
• Un file plaintext su Dropbox, Google Drive, iCloud Drive, OneDrive. Il provider può leggere il file. Una violazione del provider diffonde il tuo nsec.
• Il gestore di password integrato del tuo browser se non è crittografato E2E. Controlla se il tuo lo è. Safari iCloud Keychain lo è; alcune password di profilo Chrome non lo sono a meno che non abiliti l'impostazione di crittografia on-device.

La regola unificante: se il provider può, in linea di principio, leggere il plaintext, non memorizzare il tuo nsec lì. Se il provider può solo leggere ciphertext, la posizione è accettabile.

Un layout di backup realistico a due backup per la maggior parte degli utenti

Quello che consigliamo se vuoi una sicurezza buona ma non paranoica:

1. Gestore di password con l'nsec come Secure Note o elemento Password. Percorso di recupero di uso quotidiano.
2. Backup su carta stampato e memorizzato in una posizione fisica specifica. Recupero da disastro.

Tempo di setup totale: dieci minuti. Costo ricorrente totale: zero. Protezione totale contro la perdita di chiave di routine: molto alta.

Per identità con puntate più alte aggiungi:

• Una seconda copia fisica in una posizione diversa (la cassaforte di un membro della famiglia fidato, una cassetta di sicurezza)
• Un backup su piastra d'acciaio invece di carta
• Un signer hardware o remoto come percorso di uso quotidiano, con il backup nsec riservato al recupero di emergenza

Errori che perdono account, classificati per quanto sono comuni

Da thread di supporto effettivi in tutto l'ecosistema Nostr:

1. "Farò il backup dopo." La causa singola più comune della perdita permanente. Il "dopo" non arriva prima che il telefono sia cancellato, perso, o aggiornato.
2. Fidarsi di una sola posizione. Telefono nella piscina, reset keychain dopo un incidente di sicurezza, account gestore di password bloccato. Due copie in due diversi tipi di archiviazione risolvono questo.
3. Non etichettare il backup. Un gestore di password con 200 voci dove una di esse è una stringa nsec1... non etichettata è un'unica ricerca fallita lontano dalla perdita.
4. Usare l'npub dove era necessario l'nsec. L'utente pensa di aver fatto il backup ma ha salvato solo la metà pubblica. Controlla che il tuo backup inizi con nsec1, non npub1.
5. Screenshot. Uno screenshot della schermata "dettagli account", sincronizzato automaticamente a un provider cloud, e l'nsec è seduto nel data center di qualcun altro in plaintext.

Ognuno di questi è un problema di 30 secondi per prevenire e un problema permanente per recuperare. L'asimmetria è l'intera ragione per cui questo articolo esiste.