Как сделать резервную копию ключей Nostr без их потери

Самый болезненный запрос в техподержку Nostr звучит так: «Я потерял мой nsec, как мне вернуть мой аккаунт». Ответ всегда один: вы не можете. Никакая компания не держит копию. Никакой криптографический трюк его не восстановит. Аккаунт исчезнет.

Это руководство поможет вам убедиться, что такой разговор никогда не случится с вами. Три стратегии резервного копирования, ранжированные по безопасности и практичности, плюс конкретные ошибки, которые тихо приводят к безвозвратной потере.

TL;DR. Сохраните ваш nsec в менеджер паролей с полным шифрованием (1Password, Bitwarden, KeePassXC или iCloud Keychain) в тот момент, когда ваш клиент его генерирует. Для высокостоимостных идентификаторов добавьте бумажную резервную копию в сейф. Никогда не сохраняйте nsec в iCloud Notes, Google Keep, скриншоты или какой-либо облачный диск, где провайдер может читать открытый текст.

Когда будете готовы, заберите адрес @nostr.blog →

Что вы на самом деле резервируете

Ваш идентификатор Nostr — это приватный ключ, закодированный как строка nsec1... в формате Bech32. 63 символа, начинается с nsec1. Любой, у кого есть эта строка, имеет полный контроль над аккаунтом.

Вам не нужно резервировать:

• npub (может быть получен из nsec)
• Метаданные вашего профиля (восстанавливаемые из реле, пока вы можете подписывать события)
• Список подписок (то же самое)
• Ваши посты (они существуют на реле, даже если вы потеряете ключ)

Вам нужно резервировать:

• nsec. Просто nsec.

Всё остальное вытекает из наличия nsec. Ничего не вытекает из наличия только npub.

Вариант 1: Менеджер паролей

Рекомендация по умолчанию для почти всех пользователей.

Что работает: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, любой менеджер паролей, который шифрует ваше хранилище главным паролем и хранит только зашифрованный текст на серверах провайдера. Apple iCloud Keychain тоже подходит; он зашифрован с концом-в-конец с использованием кода доступа вашего устройства.

Настройка (пример 1Password; процесс эквивалентен в других):

1. Создайте новый элемент, категория «Защищённая заметка» или «Пароль».
2. Назовите его что-нибудь ясное: Nostr nsec (alice@nostr.blog).
3. Вставьте полный nsec, включая префикс nsec1, в поле пароля.
4. Сохраните.
5. Проверьте синхронизацию элемента на всех ваших устройствах, открыв 1Password на втором устройстве и найдя ту же запись.

Почему это работает: Хранилище шифруется вашим главным паролем перед его отправкой с вашего устройства. Провайдер хранит зашифрованный текст и никогда не имеет открытого текста. Утечка провайдера раскрывает зашифрованные блобы, а не ваши реальные ключи.

Почему это может не сработать: Вы забыли главный пароль; вы потеряли восстановление аккаунта (некоторые менеджеры имеют PDF-файл набора восстановления, который вы печатаете, другие нет); ваше устройство скомпрометировано, пока хранилище разблокировано, и злоумышленник экспортирует элементы.

Исправление слабости: Держите свой главный пароль где-то физически и отдельно. Включите все опции восстановления и 2FA, которые предлагает менеджер паролей. Не сохраняйте главный пароль в синхронизированной заметке.

Вариант 2: Бумажная резервная копия

Наиболее устойчивый вариант к цифровым сбоям. Работает, когда всё электронное выходит из строя.

Настройка:

1. Откройте текстовый редактор и введите nsec точно (или используйте функцию «экспорт ключа» вашего клиента, если доступна, чтобы сгенерировать QR-код).
2. Печать на бумагу на надежном принтере. Не делайте скриншот; скриншоты попадают в облачные фото.
3. Напишите на бумаге: имя аккаунта, дату и (опционально) где вы его резервировали.
4. Храните в месте, которому вы физически доверяете: домашний сейф, депозитная ячейка, заблокированный ящик. Не ноутбук на столе, не первый ящик, который кто-то откроет.

Почему это работает: Бумажная копия не в сети. Никто не может её дистанционно украсть. Она выживает потерю телефона, ноутбука, облачного провайдера и одновременного прерывания интернета.

Почему это может не сработать: Вода, огонь, кто-то находит её. Стандартные исправления — это огнестойкий сейф, стальная пластина резервной копии (такие же, которые покупают пользователи Bitcoin seed-фраз), или хранение двух копий в двух разных физических местах.

Стальные пластины резервной копии — это улучшение, если идентификатор высокостоимостный. Они выживают огонь, воду и десятилетие влажности. Базовая пластина стоит около $20. Вы штампуете nsec в строки металла с помощью пробойника. Это чрезмерно для большинства людей, но разумно для идентификатора Nostr, связанного с реальным доходом.

Вариант 3: Аппаратный подписчик

Технически самый сильный вариант. Наиболее сложен в настройке.

Что это: Устройство, которое держит nsec и удалённо подписывает события, без того, чтобы nsec когда-либо касался устройства клиента. Ваш телефон или ноутбук разговаривает с подписчиком через защищённый канал (Bluetooth, USB или зашифрованную подписку на реле), отправляет ему событие для подписания и получает подписанное событие обратно.

Опции в 2026:

• Amber (Android) — это специализированное приложение для подписи Nostr, которое работает на отдельном телефоне и получает запросы на подпись через локальный канал.
• Приложения remote-signer «bunker» работают где-то, чему вы доверяете (ваш собственный сервер, доверенное устройство) и получают запросы на подпись через сам Nostr, используя NIP-46.
• Аппаратные кошельки с поддержкой Nostr (некоторые прошивки Coldcard, некоторые прошивки Jade и специализированные проекты, такие как Seedsigner) могут подписывать события Nostr как побочную работу.

Почему это работает: nsec никогда не покидает подписчика. Даже если ваш телефон или ноутбук полностью скомпрометированы, злоумышленник не может украсть ключ, потому что он не может его получить. Максимум они могут обманом заставить подписчика подписать вредоносные события, но только при активном подключении.

Почему это сложно: Настройка более сложна, чем менеджер паролей. Вам нужно второе устройство или развёртывание bunker. Большинство мобильных клиентов ещё не поддерживают удалённые подписчики как первоклассных граждан. Меньше пользователей идут по этому пути, но те, кто идут, имеют самые высокие потребности безопасности.

Где не сохранять nsec

Каждый вариант в этом списке произвёл запрос в техподержку, который закончился словами «ваш аккаунт исчезнет». Избегайте всех них.

• iCloud Notes. Apple хранит содержание заметки в форме, которую они могут читать. Не зашифровано с концом-в-конец. Утечка iCloud означает утечку вашей идентичности Nostr.
• Google Keep. Та же проблема, с Google.
• Скриншоты в фотопленке. Скриншот автоматически синхронизируется с iCloud Photos или Google Photos в открытом тексте. Даже если вы удалите его с телефона, облачные провайдеры часто сохраняют недавние копии.
• Черновики писем или письма самому себе. Ваш провайдер электронной почты может читать черновики и отправленные письма. Если они будут скомпрометированы (и несколько крупных провайдеров были за последнее десятилетие), nsec находится в утечке.
• Telegram «Сохранённые сообщения» или любые самовидения в чате. Чаты Telegram по умолчанию не зашифрованы с концом-в-конец. Signal лучше, но не предназначен для резервного копирования паролей.
• Простой текстовый файл на Dropbox, Google Drive, iCloud Drive, OneDrive. Провайдер может читать файл. Утечка провайдера раскрывает ваш nsec.
• Встроенный менеджер паролей вашего браузера, если он не зашифрован E2E. Проверьте, зашифрован ли ваш. Safari iCloud Keychain; некоторые пароли профиля Chrome нет, если вы не включите параметр шифрования на устройстве.

Объединяющее правило: если провайдер может в принципе читать открытый текст, не сохраняйте там ваш nsec. Если провайдер может читать только зашифрованный текст, это приемлемое место.

Реалистичная двойная резервная копия для большинства пользователей

Что мы рекомендуем, если вы хотите хорошую, но не параноидальную безопасность:

1. Менеджер паролей с nsec в качестве элемента защищённой заметки или пароля. Путь ежедневного восстановления.
2. Бумажная резервная копия напечатана и хранится в определённом физическом месте. Восстановление при катастрофе.

Общее время настройки: десять минут. Общие постоянные затраты: ноль. Общая защита от обычной потери ключа: очень высокая.

Для более высокостоимостных идентификаторов добавьте:

• Вторую физическую копию в другом месте (сейф доверенного члена семьи, депозитную ячейку)
• Стальную пластину резервной копии вместо бумаги
• Аппаратный или удалённый подписчик как путь ежедневного использования, с резервной копией nsec, зарезервированной для восстановления при чрезвычайных ситуациях

Ошибки, которые теряют аккаунты, ранжированные по частотности

Из реальных потоков поддержки по всей экосистеме Nostr:

1. «Я буду это резервировать позже». Самая частая причина безвозвратной потери. «Позже» не наступает перед тем, как телефон будет протёрт, потерян или обновлён.
2. Доверие одному месту. Телефон в бассейне, ключ сброшен после инцидента безопасности, аккаунт менеджера паролей заблокирован. Две копии в двух разных видах хранилища решают это.
3. Отсутствие метки на резервной копии. Менеджер паролей с 200 записями, где одна из них — немаркированная строка nsec1..., это один неудачный поиск до потери.
4. Использование npub вместо nsec. Пользователь думает, что они сделали резервную копию, но сохранили только открытую половину. Проверьте, что ваша резервная копия начинается с nsec1, а не npub1.
5. Скриншоты. Один скриншот экрана «сведения об аккаунте», автоматически синхронизированный с облачным провайдером, и nsec находится на серверах компании-соседа в открытом тексте.

Каждый из них — это 30-секундная проблема для предотвращения и постоянная проблема для восстановления. Эта асимметрия — вся причина существования этой статьи.