Jak bezpiecznie wykonać kopię zapasową kluczy Nostr

Najboleśniejszy support request w Nostr to „Utraciłem nsec, jak odzyskać moje konto". Odpowiedź jest zawsze taka sama: nie możesz. Żadna firma nie przechowuje kopii. Żaden sztuczka kryptograficzna jej nie odzyska. Konto jest stracone.

Ten przewodnik pokazuje, jak się upewnić, że ta rozmowa nigdy Ci się nie przydarzy. Trzy strategie tworzenia kopii zapasowych, uszeregowane według bezpieczeństwa i praktyczności, plus konkretne błędy, które dyskretnie powodują nieodwracalną stratę.

Streszczenie. Zapisz nsec do menedżera haseł z szyfrowaniem end-to-end (1Password, Bitwarden, KeePassXC lub iCloud Keychain) w momencie, gdy klient go wygeneruje. W przypadku tożsamości o dużej wartości dodaj papierową kopię zapasową w sejfie. Nigdy nie zapisuj nsec w iCloud Notes, Google Keep, zrzucie ekranu ani na żadnym dysku w chmurze, gdzie dostawca może przeczytać tekst jawny.

Kiedy będziesz gotowy, odbierz adres @nostr.blog →

Co faktycznie tworzysz kopię zapasową

Twoja tożsamość Nostr to klucz prywatny, zakodowany jako ciąg nsec1... w formacie Bech32. 63 znaki, zaczyna się od nsec1. Każdy, kto ma ten ciąg, ma pełną kontrolę nad kontem.

Nie musisz tworzyć kopii zapasowej:

• Npub (można go wyprowadzić z nsec)
• Metadanych profilu (możliwych do odzyskania z relayów, dopóki możesz podpisywać zdarzenia)
• Listy obserwowanych (to samo)
• Twoich postów (istnieją na relayach nawet jeśli stracisz klucz)

Musisz tworzyć kopię zapasową:

• Nsec. Tylko nsec.

Wszystko inne wynika z posiadania nsec. Nic nie wynika z samego posiadania npub.

Opcja 1: Menedżer haseł

Domyślne zalecenie dla prawie każdego użytkownika.

Co działa: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, dowolny menedżer haseł, który szyfruje sejf hasłem głównym i przechowuje na serwerach dostawcy tylko tekst zaszyfrowany. Apple iCloud Keychain także się kwalifikuje; jest szyfrowany end-to-end z kodem dostępu twojego urządzenia.

Konfiguracja (przykład 1Password; przepływ jest równoważny w innych):

1. Utwórz nową pozycję, kategoria „Secure Note" lub „Password".
2. Nazwij ją czymś jednoznacznym: Nostr nsec (alice@nostr.blog).
3. Wklej pełny nsec, łącznie z prefiksem nsec1, do pola hasła.
4. Zapisz.
5. Sprawdź, czy pozycja jest zsynchronizowana na twoich urządzeniach, otwierając 1Password na drugim urządzeniu i znajdując ten sam wpis.

Dlaczego to działa: Sejf jest szyfrowany hasłem głównym, zanim opuści twoje urządzenie. Dostawca przechowuje zaszyfrowane dane, nigdy nie ma tekstu jawnego. Naruszenie dostawcy powoduje wycieki zaszyfrowanych obiektów, a nie twoich rzeczywistych kluczy.

Dlaczego to może się nie powieść: Zapomnisz hasła głównego; stracisz odzyskiwanie konta (niektórzy menedżerowie mają drukowany kit odzyskiwania PDF, inni nie); twoje urządzenie jest zagrożone, gdy sejf jest odblokowany i atakujący eksportuje pozycje.

Naprawa słabości: Przechowuj hasło główne gdzieś fizycznie i oddzielnie. Włącz każdą opcję odzyskiwania i 2FA, którą oferuje menedżer haseł. Nie przechowuj hasła głównego w zsynchronizowanej notatce.

Opcja 2: Papierowa kopia zapasowa

Najbardziej odporna opcja na cyfrowe awarie. Działa, gdy wszystko elektroniczne zawiedzie.

Konfiguracja:

1. Otwórz edytor tekstu i wpisz nsec dokładnie (lub użyj funkcji „export key" klienta, jeśli dostępna, aby wygenerować kod QR).
2. Wydrukuj na papier za pomocą niezawodnej drukarki. Nie rób zrzutu ekranu; zrzuty ekranu trafiają do zdjęć w chmurze.
3. Napisz na papierze: nazwę konta, datę i (opcjonalnie) gdzie wykonałeś kopię zapasową.
4. Przechowuj w miejscu, któremu fizycznie ufasz: domowy sejf, szafka depozytowa, zamknięta szuflada. Nie notatnik na biurku, nie pierwsza szuflada, którą by otworzył każdy.

Dlaczego to działa: Papierowa kopia nie jest online. Nikt nie może jej zdalnie wyeksportować. Przetrwa utratę telefonu, laptopa, dostawcy w chmurze i jednoczesnego utraty dostępu do internetu.

Dlaczego to może się nie powieść: Woda, ogień, ktoś ją znalazł. Standardowe naprawy to sejf ognioodporny, stalowa płyta zapasowa (takie same, które kupują użytkownicy seed phrase Bitcoin) lub przechowywanie dwóch kopii w dwóch różnych miejscach fizycznych.

Stalowe płyty zapasowe to ulepszenie, jeśli tożsamość ma dużą wartość. Przetrwają ogień, wodę i dekadę wilgoci. Podstawowa płyta kosztuje około 20 dolarów. Odbijasz nsec w rzędy metalu za pomocą pośledzia. Przesada dla większości ludzi, uzasadnione dla tożsamości Nostr związanej z rzeczywistymi dochodami.

Opcja 3: Sprzętowy podpisujący

Technicznie najsilniejsza opcja. Najtrudniejsza do skonfigurowania.

Co to jest: Urządzenie, które przechowuje nsec i zdalnie podpisuje zdarzenia, bez tego, aby nsec nigdy nie dotykał urządzenia klienta. Twój telefon lub laptop komunikuje się z podpisującym przez bezpieczny kanał (Bluetooth, USB lub szyfrowaną subskrypcję relayów), wysyła do niego zdarzenie do podpisania i otrzymuje podpisane zdarzenie z powrotem.

Opcje w 2026:

• Amber (Android) to dedykowana aplikacja podpisująca Nostr, która działa na osobnym telefonie i odbiera żądania podpisów przez kanał lokalny.
• Zdalne aplikacje „bunker" działają gdzieś, gdzie ufasz (twój własny serwer, zaufane urządzenie) i odbierają żądania podpisów przez sam Nostr, używając NIP-46.
• Portfele sprzętowe z obsługą Nostr (niektóre oprogramowanie Coldcard, niektóre oprogramowanie Jade i dedykowane projekty takie jak Seedsigner) mogą podpisywać zdarzenia Nostr jako dodatkową funkcję.

Dlaczego to działa: Nsec nigdy nie opuszcza podpisującego. Nawet jeśli twój telefon lub laptop jest w pełni zagrożony, atakujący nie może ukraść klucza, ponieważ nie może do niego uzyskać dostępu. Maksymalnie mogą trick podpisującego do podpisania złośliwych zdarzeń, ale tylko podczas aktywnej łączności.

Dlaczego to trudne: Konfiguracja jest bardziej zaangażowana niż w menedżerze haseł. Potrzebujesz drugiego urządzenia lub wdrożenia bunkra. Większość mobilnych klientów nie obsługuje jeszcze zdalnych podpisujących jako first-class citizens. Mniej użytkowników idzie tą ścieżką, ale ci, którzy to robią, mają najwyższe potrzeby bezpieczeństwa.

Gdzie nie przechowywać nsec

Każda opcja na tej liście spowodowała support request, który zakończył się „twoje konto jest stracone". Unikaj ich wszystkich.

• iCloud Notes. Apple przechowuje zawartość notatki w formie, którą może odczytać. Nie jest szyfrowana end-to-end. Naruszenie iCloud oznacza naruszenie twojej tożsamości Nostr.
• Google Keep. Ten sam problem z Google.
• Zrzuty ekranu na aparacie. Zrzut ekranu automatycznie synchronizuje się z iCloud Photos lub Google Photos w tekście jawnym. Nawet jeśli usuniesz go z telefonu, dostawcy chmury często przechowują niedawne kopie.
• Szkice e-maila lub e-maile wysłane do siebie. Twój dostawca e-maila może czytać e-maile jako szkice i wysłane. Jeśli zostaną naruszeni (a kilka dużych dostawców zostało w ostatniej dekadzie), nsec jest w wycieku.
• Telegram „Saved Messages" lub dowolny czat samemu do siebie. Domyślne czaty Telegramu nie są szyfrowane end-to-end. Signal jest lepszy, ale nie został zaprojektowany jako kopia zapasowa hasła.
• Zwykły plik na Dropboxie, Google Drive, iCloud Drive, OneDrive. Dostawca może przeczytać plik. Naruszenie dostawcy powoduje wyciek nsec.
• Wbudowany menedżer haseł przeglądarki, jeśli nie jest szyfrowany end-to-end. Sprawdź, czy twój jest. Safari iCloud Keychain jest; niektóre hasła profilu Chrome nie są, chyba że włączysz ustawienie szyfrowania na urządzeniu.

Ujednolicająca reguła: jeśli dostawca może w zasadzie przeczytać tekst jawny, nie przechowuj tam nsec. Jeśli dostawca może czytać tylko tekst zaszyfrowany, lokalizacja jest akceptowalna.

Realistyczny układ dwóch kopii zapasowych dla większości użytkowników

Co zalecamy, jeśli chcesz dobrego, ale nie paranoicznego bezpieczeństwa:

1. Menedżer haseł z nsec jako Secure Note lub Password item. Codzienna ścieżka odzyskiwania.
2. Papierowa kopia zapasowa wydrukowana i przechowywana w określonej lokalizacji fizycznej. Odzyskiwanie w przypadku katastrofy.

Całkowity czas konfiguracji: dziesięć minut. Całkowity koszt cykliczny: zero. Całkowita ochrona przed rutynową utratą klucza: bardzo wysoka.

Dla tożsamości o wyższych stawkach dodaj:

• Drugą kopię fizyczną w innej lokalizacji (sejf zaufanego członka rodziny, szafkę depozytową)
• Stalową płytę zapasową zamiast papieru
• Sprzętowego lub zdalnego podpisującego jako codzienną ścieżkę, z kopią zapasową nsec zarezerwowaną na wypadek ratunkowy

Błędy, które tracą konta, uszeregowane według tego, jak często się zdarzają

Z rzeczywistych wątków wsparcia w całym ekosystemie Nostr:

1. "Wykonam kopię zapasową później." Najczęstsza przyczyna trwałej straty. „Później" nie nadchodzi, zanim telefon jest wyczyszczany, gubiony lub aktualizowany.
2. Ufanie jednej lokalizacji. Telefon w basenie, klucze resetują się po incydencie bezpieczeństwa, konto menedżera haseł jest zablokowane. Dwie kopie w dwóch różnych rodzajach przechowywania rozwiąże to.
3. Nie etykietowanie kopii zapasowej. Menedżer haseł ze 100 wpisami, gdzie jeden z nich to niezatytułowany ciąg „nsec1..." to jedno nieudane wyszukiwanie odseparowało od straty.
4. Używanie npub tam, gdzie potrzebny był nsec. Użytkownik myśli, że wykonał kopię zapasową, ale zapisał tylko część publiczną. Sprawdź, czy twoja kopia zapasowa zaczyna się od nsec1, a nie npub1.
5. Zrzuty ekranu. Jeden zrzut ekranu ekranu „szczegóły konta", automatycznie zsynchronizowany z dostawcą chmury, i nsec siedzi na serwerze kogoś innego w tekście jawnym.

Każdy z tych problemów to 30-sekundowy problem do zapobiegania i trwały problem do odzyskiwania. Asymetria to cały powód istnienia tego artykułu.