nsec vs npub: czym są i jak ich nie pomylić

Każdy użytkownik Nostra widzi dwa ciągi, które zaczynają się od npub1 i nsec1 w ciągu minuty od utworzenia konta. Wyglądają prawie identycznie, mają tę samą długość i oba wyglądają jak przypadkowe znaki. Pomylenie ich to jeden z najczęstszych i konsekwencji na sieci.

Ten przewodnik sprawia, że rozróżnienie jest jasne, zarówno wizualnie jak i koncepcyjnie, abyś nigdy ich nie pomylił.

TL;DR. npub1... to Twój klucz publiczny: bezpiecznie go udostępniaj, to jest to, co rozdajesz. nsec1... to Twój klucz prywatny: nigdy nie udostępniaj, nigdy nie wklejaj na stronę internetową, nigdy nie zapisuj w notatnikach w chmurze. Oba mają 63 znaki. Pierwsze trzy litery to jedyna ważna rzecz.

Kiedy będziesz gotowy, odbierz adres @nostr.blog →

Rozróżnienie w jednej linijce

Twoja para kluczy ma dwie połowy.

• npub = nostr public (publiczny). Identyfikator, który publikujesz, udostępniasz i używasz jako "nazwa konta".
• nsec = nostr secret (sekret). Tajemnica kryptograficzna, która dowodzi, że jesteś właścicielem konta.

"npub" zawiera słowo "pub" oznaczające publiczny. "nsec" zawiera "sec" oznaczające sekret. Ta mnemotechnika nie jest przypadkowa; projektanci wybrali prefiksy, aby były samowytłumaczające się.

To, co faktycznie widzisz

Oba ciągi mają 63 znaki. Oba zaczynają się od n, a następnie trzyliterowy prefiks. Oba używają małych liter a-z i cyfr 0-9 z ograniczonego alfabetu Bech32.

Przykład npub:

npub1pf8hkx3ang2jngcgpsawtmj48c90pgqasmgpva7qhvnsty5j87yqwk3vy5

Przykład nsec (ten jest wymyślony; nigdy nie udostępniaj prawdziwego nsec):

nsec1qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq

Różnią się tylko prefiksem po n. pub vs sec. Każdy inny znak może być czymś; ten prefiks to jedyne miejsce, gdzie można je rozróżnić.

Skąd pochodzi każdy z nich

Kiedy uruchamiasz klient Nostra po raz pierwszy, generuje on 32 losowe bajty i nazywa je Twoim kluczem prywatnym. To staje się Twoim nsec po kodowaniu Bech32. Następnie klient uruchamia jedną operację matematyczną (mnożenie na krzywej eliptycznej na secp256k1), aby wyprowadzić pasujący klucz publiczny i Bech32-koduje go jako Twój npub.

Relacja jest jednokierunkowa. Mając nsec, wyprowadzenie npub jest szybkie. Mając npub, wyprowadzenie nsec z powrotem jest uważane za niemożliwe dla każdego komputera, który istnieje lub jest prawdopodobny, że będzie istniał.

To jest powód, dla którego możesz publikować swój npub na swojej stronie, na Twitterze, na wizytówkach i w swojej sygnaturze email bez żadnych konsekwencji bezpieczeństwa. To również powód, dla którego utrata nsec to nieodwracalna katastrofa: nikt, nawet Ty, nie może go odtworzyć z npub.

Do czego służy każdy klucz

nsec ma dokładnie jedno zadanie: podpisywanie zdarzeń. Każdy raz, gdy piszesz, reagujesz, obserwujesz kogoś, aktualizujesz profil lub wysyłasz wiadomość bezpośrednią, Twój klient tworzy zdarzenie i podpisuje je przy użyciu nsec. Podpis trafia do zdarzenia, zanim zostanie opublikowany na relay.

npub ma kilka zadań:

• Tożsamość. Kiedy ktoś Cię obserwuje, odwołuje się do Twojego npub.
• Weryfikacja. Każdy klient, który otrzyma zdarzenie, sprawdza podpis względem npub dołączonego do zdarzenia. Prawidłowy podpis oznacza, że zdarzenie pochodzi od osoby, która jest właścicielem pasującego nsec.
• Routing. Relay używają npub w filtrach. Subskrybowanie "zdarzeń z npub X" to sposób, w jaki Twoi obserwatorzy otrzymują Twoje posty.
• Wzmianki. Kiedy ktoś taguje Cię w poście, osadza Twój npub w tagach zdarzenia.

nsec nigdy nie pojawia się w sieci. Pozostaje na Twoim urządzeniu (lub u zaufanego sygnatariusza, takiego jak rozszerzenie NIP-07 lub zdalna aplikacja sygnatariusza). npub jest w sieci stale, dołączony do każdego zdarzenia, które podpisujesz.

Typowe pomyłki i ich konsekwencje

Pomyłka 1: Wklejenie nsec tam, gdzie prosi się o npub.

Scenariusz: formularz edycji profilu mówi "twój klucz publiczny" i przypadkowo wklejasz nsec. Konsekwencja: w zależności od klienta, formularz może Cię ostrzec (dobrzy klienci sprawdzają prefiks i odrzucają nsec w polach publicznych). Źli klienci mogą opublikować nsec gdzieś, gdzie nie powinien. Zawsze sprawdź trzyliterowy prefiks przed wklejeniem.

Pomyłka 2: Publikowanie nsec w mediach społecznościowych jako demonstracja.

Co roku nowy użytkownik publikuje zrzut ekranu "szczegółów konta Nostra", który zawiera oba ciągi. Konsekwencja: każdy, kto zobaczy zrzut ekranu, może teraz podpisywać zdarzenia jako ten użytkownik, dopóki nie zdaje sobie sprawy z tego, co się stało i nie obraca. Naprawa polega na udostępnieniu tylko część npub.

Pomyłka 3: Zapisywanie nsec w notkach chmury "tymczasowo".

Scenariusz: generujesz parę kluczy, chcesz skopiować ją na drugie urządzenie i wklejasz nsec do iCloud Notes lub szkicu Gmail, aby przenieść go między urządzeniami. Konsekwencja: ten provider teraz przechowuje Twój nsec w postaci, którą może przeczytać. Naruszenie tego providera to naruszenie Twojej tożsamości Nostra. Użyj menedżera haseł z szyfrowaniem end-to-end lub (do jednorazowego transferu) kodu QR, który skanasz między urządzeniami bez przechowywania w synchronizowanej chmurze.

Pomyłka 4: Wklejenie nsec do formularza logowania strony.

Scenariusz: nowa aplikacja internetowa Nostra prosi o nsec, aby "Cię zalogować". Konsekwencja: ta strona internetowa ma teraz Twój nsec na stałe, nawet po zamknięciu karty. Nigdy tego nie rób. Renomowani klienci internetowi używają zamiast tego rozszerzenia przeglądarki NIP-07; rozszerzenie przechowuje nsec i podpisuje tylko na życzenie, nigdy nie ujawniając surowego sekretu na stronie internetowej.

Trick sumy kontrolnej Bech32

Zarówno npub, jak i nsec używają kodowania Bech32, które zawiera wbudowaną sumę kontrolną do detekcji błędów. Jeśli zmienisz jeden znak npub lub nsec, suma kontrolna nie będzie się zgadzać i każde zgodne narzędzie odrzuci ciąg jako nieprawidłowy.

To jest przydatne w praktyce: jeśli skopiujesz-wklejsz klucz i brakuje znaku lub zostaje zastąpiony, narzędzie odbiorze powie Ci natychmiast, zamiast dyskretnie akceptować inną (wyglądającą prawidłowo) tożsamość.

Klucze zakodowane hex nie mają tej właściwości. Jeden zły znak w kluczu hex tworzy inny, ale "prawidłowy" klucz wskazujący na zupełnie inną tożsamość. Zawsze preferuj formę Bech32 (npub/nsec) podczas wklejania kluczy między systemami.

Jak sprawdzić, który masz

Pierwsze cztery znaki. To cały czek.

• Zaczyna się od npub1: bezpiecznie udostępniać, to jest część publiczna.
• Zaczyna się od nsec1: nigdy nie udostępniaj, to jest część tajemna.
• Zaczyna się od note1: to jest identyfikator zdarzenia (dla konkretnego postu), nie klucz.
• Zaczyna się od nprofile1: to klucz publiczny połączony z zalecanymi relay.
• Zaczyna się od nevent1: to identyfikator zdarzenia połączony z autorem i relay.
• Zaczyna się od naddr1: to adres artykułu długoformowego.

Przydatna reguła mentalna: każdy ciąg Bech32, który zaczyna się od nsec, pozostaje na Twoim urządzeniu. Wszystko inne (npub, note, nprofile, nevent, naddr) jest przeznaczone do udostępnienia.

Konkretny rytuał bezpieczeństwa

W chwili, gdy generujesz nową tożsamość Nostra, zrób to:

1. Otwórz menedżer haseł.
2. Utwórz nowy wpis oznaczony "Nostr nsec [nazwa konta]".
3. Wklej nsec do pola hasła.
4. Zapisz.
5. Zamknij aplikację.

Łączny czas: 30 sekund. Alternatywa: wydrukuj nsec na papierze niezawodną drukarką i przechowuj papier gdzieś, gdzie go nie zgubisz. Pięć minut.

Teraz masz ścieżkę odzyskiwania. nsec znajduje się w miejscu zaszyfrowanym hasłem głównym lub całkowicie offline. Jeśli stracisz telefon, możesz zalogować się na nowym, wklejając nsec z powrotem. Jeśli stracisz laptopa, to samo.

Jedno miejsce, w którym ludzie się opierają: generują klucze na telefonie, nsec jest w łańcuchu kluczy, "zrobię kopię zapasową później". Później nigdy nie przychodzi. Potem wymaczesz telefon, uaktualnisz lub go zgubisz, a tożsamość znika. Kopia zapasowa to jeden krok, który to zapobiega i zajmuje mniej czasu niż czytanie tego akapitu.