Як резервно скопіювати ключі Nostr, щоб їх не втратити

Найболючіший запит про підтримку Nostr — це «Я втратив свій nsec, як мені повернути свій облік». Відповідь завжди одна й та сама: ви не можете. Жодна компанія не зберігає копію. Жоден криптографічний трюк його не відновить. Обліковий запис щез.

Цей посібник розповідає, як гарантувати, що ця розмова ніколи не сталася з вами. Три стратегії резервного копіювання, ранжовані за безпекою та практичністю, плюс конкретні помилки, які тихо призводять до невиправної втрати.

TL;DR. Збережіть свій nsec у менеджері паролів з наскрізним шифруванням (1Password, Bitwarden, KeePassXC або iCloud Keychain) з моменту, коли ваш клієнт його генерує. Для ідентичностей з високою цінністю додайте паперову резервну копію в сейф. Ніколи не зберігайте nsec у iCloud Notes, Google Keep, знімку екрана або будь-якому хмарному диску, де постачальник може прочитати відкритий текст.

Коли будете готові, заберіть адресу @nostr.blog →

Що ви насправді резервно копіюєте

Ваша ідентичність у Nostr — це приватний ключ, закодований як рядок nsec1... Bech32. 63 символи, починаються з nsec1. Кожен, у кого є цей рядок, має повний контроль над обліковим записом.

Вам не потрібно резервно копіювати:

• npub (похідна від nsec)
• Ваші метадані профілю (відновлювані з реле, поки ви можете підписувати события)
• Ваш список підписок (те ж саме)
• Ваші дописи (вони існують на реле навіть якщо ви втратите ключ)

Вам потрібно резервно копіювати:

• nsec. Просто nsec.

Все інше випливає з наявності nsec. Нічого не випливає з наявності лише npub.

Варіант 1: Менеджер паролів

Рекомендація за замовчуванням для майже кожного користувача.

Що працює: 1Password, Bitwarden, KeePassXC, Proton Pass, Dashlane, будь-який менеджер паролів, який шифрує ваш сейф за допомогою головного пароля та зберігає лише зашифрований текст на серверах постачальника. Apple iCloud Keychain також підходить; він зашифрований наскрізь з кодом доступу вашого пристрою.

Налаштування (приклад 1Password; потік еквівалентний в інших):

1. Створіть новий елемент, категорія «Безпечна записка» або «Пароль».
2. Назвіть його чимось однозначним: Nostr nsec (alice@nostr.blog).
3. Вставте повний nsec, включаючи префікс nsec1, у поле пароля.
4. Збережіть.
5. Перевірте, що елемент синхронізований на всіх ваших пристроях, відкривши 1Password на другому пристрої та знайшовши той самий запис.

Чому це працює: Сейф шифрується вашим головним паролем перед тим, як залишити ваш пристрій. Постачальник зберігає зашифровані повідомлення й ніколи не мав відкритий текст. Порушення постачальника витікає зашифровані великі двійкові об'єкти, а не ваші фактичні ключі.

Чому це все ще може не вдатися: Ви забули головний пароль; ви втратили восстановлення облікового запису (деякі менеджери мають PDF-файл набору восстановлення, який ви друкуєте, інші ні); ваш пристрій скомпрометований, поки сейф розблокований, і зловмисник експортує елементи.

Виправлення для слабкості: Зберігайте свій головний пароль де-небудь фізичному й окремо. Увімкніть кожний варіант восстановлення та 2FA, який пропонує менеджер паролів. Не зберігайте головний пароль в синхронізованій записці.

Варіант 2: Паперова резервна копія

Найстійкіший варіант проти цифрових збоїв. Працює, коли все електронне не вдається.

Налаштування:

1. Відкрийте текстовий редактор та введіть nsec точно (або використовуйте функцію «експортувати ключ» клієнта, якщо доступна, для генерування QR-коду).
2. Надрукуйте на папір на надійному принтері. Не робіть скріншот; скріншоти потрапляють у хмарні фото.
3. Напишіть на папері: ім'я облікового запису, дату та (необов'язково) де ви його резервно скопіювали.
4. Зберігайте в місці, якому ви фізично довіряєте: домашній сейф, касету безпеки, замкнута шухляда. Не записник на вашому столі, не перша шухляда, яку хтось би відкрив.

Чому це працює: Паперова копія не в Інтернеті. Ніхто не може її віддалено викрасти. Вона переживає втрату телефону, ноутбука, хмарного провайдера й доступу в Інтернет одночасно.

Чому це може не вдатися: Вода, вогонь, хтось її знайшов. Стандартні виправлення — вогнетривкий сейф, пластина для сталевої резервної копії (такі ж, які купують користувачі Bitcoin seed-фраз), або зберігання двох копій у двох фізичних місцях.

Пластини для сталевої резервної копії — це вдосконалення для ідентичностей з високою цінністю. Вони пережилюють вогонь, воду й декаду вологості. Базова пластина коштує близько $20. Ви тисніть nsec в ряди металу з пробійником. Надмірне для більшості людей, розумне для ідентичності Nostr, пов'язаної з реальним доходом.

Варіант 3: Апаратний підписант

Найсильніший варіант технічно. Найскладніший для налаштування.

Що це: Пристрій, який тримає nsec й підписує события дистанційно, без того щоб nsec коли-небудь торкався пристрою клієнта. Ваш телефон або ноутбук розмовляє з підписантом через безпечний канал (Bluetooth, USB або зашифровану підписку реле), відправляє йому событие для підпису й отримує назад підписане событие.

Варіанти у 2026:

• Amber (Android) — це спеціалізований додаток для підписання Nostr, який запускається на окремому телефоні й отримує запити на підпис через локальний канал.
• Додатки bunker з віддаленим підписанням запускаються десь, де ви довіряєте (ваш власний сервер, надійний пристрій) й отримують запити на підпис через сам Nostr, використовуючи NIP-46.
• Апаратні гаманці з підтримкою Nostr (деякі мікропрограми Coldcard, деякі мікропрограми Jade й спеціалізовані проекти, як-от Seedsigner) можуть підписувати события Nostr як побічну роботу.

Чому це працює: nsec ніколи не залишає підписанта. Навіть якщо ваш телефон або ноутбук повністю скомпрометовані, зловмисник не може викрасти ключ, тому що не може до нього отримати доступ. На більшому, вони можуть обманути підписанта в підписанні шкідливих подій, але лише поки вони мають активну відповідність.

Чому це складно: Налаштування більш задіяне, ніж менеджер паролів. Вам потрібен другий пристрій або розгортання bunker. Більшість мобільних клієнтів ще не підтримують віддалені підписанти як першокласні громадяни. Менше користувачів йде цим шляхом, але ті, хто йде, — це ті, у яких найвищі потреби в безпеці.

Де не зберігати nsec

Кожен варіант у цьому списку виробив запит про підтримку, що закінчився на «ваш облик щез». Уникайте їх всіх.

• iCloud Notes. Apple зберігає вміст записки в формі, який вони можуть прочитати. Не зашифрований наскрізь. Порушення iCloud означає порушення вашої ідентичності Nostr.
• Google Keep. Та сама проблема, з Google.
• Скріншоти камери. Скріншот автоматично синхронізується з iCloud Photos або Google Photos в відкритому текстовому форматі. Навіть якщо ви його видалите з телефону, хмарні провайдери часто зберігають нещодавні копії.
• Чернетки електронної пошти або самовідправлені листи. Ваш поштовий провайдер може прочитати чернетки й відправлену пошту. Якщо його зламають (і декілька основних постачальників за останнє десятиліття), nsec у витоку.
• Telegram «Збережені повідомлення» або будь-яка чат самостійна DM. Чати Telegram за замовчуванням не зашифровані наскрізь. Signal краще, але не розроблений як резервна копія пароля.
• Файл звичайного тексту на Dropbox, Google Drive, iCloud Drive, OneDrive. Постачальник може прочитати файл. Порушення постачальника витікає ваш nsec.
• Вбудований менеджер паролів вашого браузера, якщо він не E2E-зашифрований. Перевірте, чи ваш є. Safari iCloud Keychain є; деякі пароли профілю Chrome не є, якщо ви не увімкнете налаштування шифрування на пристрої.

Єдиноюча правило: якщо постачальник може, в принципі, прочитати відкритий текст, не зберігайте там свій nsec. Якщо постачальник може читати лише зашифрований текст, місце розташування є прийнятним.

Реалістичне розташування з двома резервними копіями для більшості користувачів

Що ми рекомендуємо, якщо вам потрібна хороша, але не паранойя безпека:

1. Менеджер паролів з nsec як безпечна записка або елемент пароля. Шлях повсякденного восстановлення.
2. Паперова резервна копія надрукована й зберігається в певному фізичному місці. Катастрофальне восстановлення.

Загальний час налаштування: десять хвилин. Загальна повторяюча вартість: нуль. Загальний захист від рутинної втрати ключів: дуже високий.

Для ідентичностей з більш високими ставками додайте:

• Другу фізичну копію в іншому місцеположенні (сейф надійного члена сім'ї, касету безпеки)
• Пластину сталевої резервної копії замість паперу
• Апаратний або віддалений підписант як шлях повсякденного використання, з резервною копією nsec, зарезервованою для непередбачуваного восстановлення

Помилки, які втрачають облікові записи, ранжовані за частотою

З фактичних потоків підтримки по екосистемі Nostr:

1. «Я резервно скопіюю пізніше.» Єдина найпоширеніша причина постійної втрати. «Пізніше» не приходить перед тим, як телефон буде витерто, загублено або оновлено.
2. Довіра до одного місцеположення. Телефон у басейні, перезавдання ланцюга після інциденту безпеки, обліковий запис менеджера паролів заблокований. Дві копії у двох різних видах зберігання вирішує це.
3. Не позначення резервної копії. Менеджер паролів з 200 записами, де один із них — без позначення рядка nsec1..., — це один невдалий пошук від втрати.
4. Використання npub, де був потрібен nsec. Користувач думає, що резервно скопіював, але зберіг лише публічну половину. Перевірте, що ваша резервна копія починається з nsec1, а не npub1.
5. Скріншоти. Один скріншот екрана «деталей облікового запису», автоматично синхронізований з хмарним провайдером, й nsec сидить у сервера даних когось іншого в відкритому текстовому форматі.

Кожна з них — це 30-секундна проблема для запобігання й постійна проблема для восстановлення. Асиметрія — це причина, чому ця стаття існує.