nostr.blog
НавчанняСловник
Отримай свій @nostr.blog→
nostr.blog

Ваша децентралізована ідентичність у Nostr. Одна адреса, зепи та зручна стрічка.

ПродуктГоловнаОтримати @nostr.blogКабінет
НавчанняStudyГлосарій
ЮридичнеУмовиКонфіденційність
© 2026 nostr.blog. Ідентичність на відкритому протоколі для децентралізованого веба.
Головна›Study›Початок роботи›Чи безпечний Nostr? Конфіденційність та безпека, без прикрас
Початок роботи

Чи безпечний Nostr? Конфіденційність та безпека, без прикрас

Що захищає Nostr, що витікає, і які моделі загроз він обробляє добре або погано. Чесна оцінка безпеки у 2026 році.

byEgor·23 груд. 2025 р.·6 хв читання

«Чи безпечний Nostr» — це завантажене питання, тому що «безпечний» означає різні речі. Безпечний від блокування облікового запису? Так. Безпечний від спамерів? Тільки частково. Безпечний від того, щоб уряд стежив за вашими постами? Залежить від того, що ви робите. Безпечний від втрати облікового запису? Тільки якщо ви правильно резервуєте приватний ключ.

Цей посібник — чесна оцінка. Ми розглядаємо те, що захищає Nostr, те, що витікає, і як його використовувати, якщо певні загрози для вас важливі.

Коротка відповідь. Nostr криптографічно надійний; сам протокол неможливо зламати дистанційно. Ваш приватний ключ — це єдина поверхня атаки, яка варта уваги. Публічні пости публічні за дизайном. DM зашифровані, але не приховані за метаданими. Nostr безпечніший за більшість платформ від блокувань, і порівняний або гірший від спаму та переслідувань.

Коли будете готові, заберіть адресу @nostr.blog →

Що криптографічно захищає Nostr

Три речі з сильними гарантіями.

Підробка ваших постів. Кожна событіяя, яку ви підписуєте, підписана вашим приватним ключем. Жоден інший учасник не може створити событіяю, яка перевіряється за вашим публічним ключем без приватного ключа. Будь-який клієнт, який побачить підроблену событіяю з поганою підписом, мовчки її відкине. Це та сама криптографія, яку Bitcoin використовує для транзакцій; вона стояла під супротивом суперника більше десяти років.

Спотворення ваших постів під час передачі. Relay не може змінити одну з ваших підписаних событій; підпис порушиться. Вони можуть відмовитися служити вашим событіям, але не можуть їх змінити. Кожен клієнт перевіряє підписи перед відображенням чого-небудь.

Закриття вашої ідентичності платформою. Немає платформи для її закриття. Ваша ідентичність — це пара ключів на вашому пристрої. Ніхто не має повноважень її деактивувати.

Ці три абсолютно надійні. Слабкі місця — десь інші.

Що Nostr не захищає

Кілька речей з різним ступенем поширення.

Публічні пости публічні

Якщо ви пишете событіяю kind:1 (короткий пост), це свідомо читабельно для кожного, хто підключений до будь-якого relay, де вона є. Без конфіденційності. Це функція соціальної мережі, а не баг, але перші користувачі іноді забувають, що «децентралізований» не означає «приватний».

Ваша IP-адреса витікає на relay

Коли ваш клієнт відкриває WebSocket з'єднання з relay, relay бачить вашу IP. Протягом сеансу читання relay бачить, на які фільтри ви підписалися, що говорить їм, на яких облікові записи ви підписані, які хештеги ви стежите, які потоки прямих повідомлень ви читаєте. Це метадані про ваші інтереси, і вони видимі кожному relay, до якого ви підключаєтесь.

Методи зменшення впливу: запустіть Nostr через VPN або Tor. Використовуйте різні relay для читання та запису. Виберіть relay, яким ви довіряєте. Деякі клієнти (Amethyst, Coracle) це обробляють краще за інших.

Метадані прямих повідомлень видимі

Nostr DM зашифровує вміст повідомлення. За застарілим стандартом NIP-04 відправник і одержувач явно видимі в тегах события. За новішим NIP-44 (з NIP-17 gift-wraps) метадані затемнені, але в 2026 році прийняття часткове.

Що це означає практично: relay може побачити, що alice@nostr.blog говорить з bob@nostr.blog, навіть якщо не може прочитати, що вони кажуть. Для справді приватного спілкування використовуйте спеціалізований інструмент, як Signal; DM Nostr добре підходять для звичайного спілкування, але не для викриття.

Ваш шаблон постування може деанонімізувати вас

Навіть якщо ви ведете псевдонімну ідентичність Nostr, закономірності в часі постування, що ви пишете та з ким взаємодієте, можуть звузити вашу ідентичність. Це правда для кожної соціальної мережі; Nostr не має гірше або краще поширення тут.

Деанонімізація в реальному світі зазвичай походить від кросспостування. Якщо ви розмістите фото на своїй псевдонімній облікові записі Nostr і те саме фото з'являється на названому обліковому записі Twitter, то ці два тепер пов'язані. Дисципліна для збереження строгої псевдонімності — це робота користувача, а не протоколу.

Найбільша реальна загроза: втрата вашого приватного ключа

На практиці атака, яка найбільше імпортує для типових користувачів Nostr, — це не хакер, не уряд і не платформа. Це їхня власна втрата nsec.

Сценарії, які трапляються щотижня в екосистемі:

  • Користувач генерує ключі, припускає, що iOS Keychain їх має, ніколи не експортує. Пристрій стирається; обліковий запис втрачений.
  • Користувач зберігає nsec у iCloud Notes «тимчасово». Забуває. iCloud Notes читабельні Apple, тому технічно nsec резервуються, але у скомпрометованого постачальника. Гірше, користувач забуває, де він.
  • Користувач вставляє nsec на новий сайт Nostr, який обіцяв «увійти для них». Сайт був фішинговим. Обліковий запис скомпрометований.

Захист — це менеджер паролів з чітким ярличком, папірна резервна копія в безпечному місці та ніколи не вставлення nsec в нічого, крім клієнта Nostr, якому ви довіряєте. Наш посібник резервного копіювання має повну тактику.

Почати

Заберіть свою Nostr-ідентичність за 2 хвилини

  • •Власна адреса @nostr.blog, верифікована всюди
  • •Вбудований Lightning-гаманець для надсилання й отримання зепів
  • •Повноцінний клієнт в одному місці: стрічка, сповіщення, DM, медіа, релеї

Від $2.99/рік.Короткі преміум-імена коштують дорожче.

Почати з nostr.blog→

Спам та переслідування на Nostr

Чесна оцінка: спам та переслідування є реальними проблемами на Nostr на рівні порівняних або трохи гірших, ніж на централізованих платформах.

Чому: Nostr не має централізованої команди модерації. Кожен relay і клієнт застосовує свої власні фільтри. Виявлення спаму будується спільнотою, а не надається платформою. Нові користувачі бачать його більше, ніж виглядали б на кураторській платформі.

Захист: списки мутування, фільтри вмісту, веб-оцінки довіри. Кожен основний клієнт має їх. Налаштування займає кілька хвилин і робить щоденне використання набагато чистішим. Стандартні налаштування у хороших клієнтах (Damus, Primal, Amethyst, наш власний клієнт) поставляються з розумною фільтрацією спаму, ввімкненою за замовчуванням.

Компроміс: користувач, який хоче нульового впливу нефільтрованого вмісту, трохи гірше на Nostr, ніж на сильно модерованій платформі. Користувач, який хоче контролювати те, що фільтрується, краще.

Хто не повинен використовувати Nostr

Певні профілі загроз не добре обслуговуються.

Користувачі, яким потрібна повна конфіденційність метаданих для спілкування. Signal — це правильний інструмент; Nostr — це не. DM Nostr приховують вміст, але не того, хто говорить з ким.

Користувачі, яким потрібно бути неможливо простежити до ідентичності в реальному світі в умовах високої супротиву. Якщо актор рівня держави активно намагається вас деанонімізувати, Nostr одного недостатньо. Поєднайте з Tor, використовуйте спеціальні пристрої, дотримуйтесь суворої постової гігієни.

Користувачі, які покладаються на модерацію рівня платформи, щоб почуватися в безпеці в Інтернеті. Nostr розміщує інструменти модерації у ваші руки; якщо ви цього не хочете, платформа з професійною модерацією краще підходить.

Користувачі зі специфічними нормативними вимогами. Деякі регульовані галузі вимагають журналів аудиту, модерації вмісту або гарантій місцевості даних, які децентралізований протокол за замовчуванням не може надати.

Конкретні кроки для безпечного використання Nostr

Для типового користувача, якому важлива розумна конфіденційність та безпека:

  1. Резервуйте nsec до менеджера паролів з E2E шифруванням у момент, коли ви його генеруєте.
  2. Ніколи не вставляйте nsec у форму веб-сайту або чат. Використовуйте розширення браузера NIP-07 для веб-клієнтів; використовуйте Amber або вбудований Keychain для мобільних клієнтів.
  3. Виберіть relay, яким ви маєте хоча б мінімальну довіру. Списки за замовчуванням у основних клієнтах розумні; уникайте сумнівних relay, які ви знайшли на сумнівному сайті.
  4. Увімкніть списки мутування із параметрів вашого клієнта в перший день, щоб активна фільтрація спаму за замовчуванням.
  5. Обробляйте DM як «приватний вміст, публічні метадані» до тих пір, поки NIP-17 gift wraps універсальні. Для чутливих розмов використовуйте Signal.
  6. Припустимо, що кожен публічний пост постійний. Пости на Nostr не можуть бути повністю видалені; запити на видалення досягають relay з різною ефективністю. Подумайте перед постуванням.

За цими звичками Nostr безпечніший за більшість платформ для більшості користувачів. Це не інструмент конфіденційності рівня панічної кімнати, і це ніколи не було в такому вигляді.

Що покращується у 2026 році

Активна робота в екосистемі:

  • NIP-44 + NIP-17 gift wraps для приховування метаданих DM, з зростаючим прийняттям.
  • Стандартизація списків мутування в клієнтах, щоб ваша робота фільтрації перенесена чисто.
  • Опції Tor за замовчуванням у більшості клієнтів.
  • Інтеграція апаратного підписувача для збереження nsec поза вашим основним пристроєм.

Жодна з них не є мандатом протоколу; це поточні зусилля спільноти. Позиція безпеки Nostr у 2026 році краща, ніж у 2024 році, і буде продовжувати покращуватися.

Реалістичний вердикт

Nostr безпечна для того, що більшість користувачів з нею роблять. Пост, читання, слідкування, zap, випадкове повідомлення. Вашу ідентичність не можна захопити, ваші пости не можуть бути підроблені, ваш приватний ключ — це єдине, що вам потрібно захищати.

Це не панацея, інструмент анонімізації рівня шпигунського трилера або заміна зашифрованого повідомлення Signal. Це добре розроблений соціальний протокол з реальними властивостями безпеки та реальними обмеженнями, і будь-який набір властивостей може для вас мати значення залежно від того, що ви робите.

Почати

Заберіть свою Nostr-ідентичність за 2 хвилини

  • •Власна адреса @nostr.blog, верифікована всюди
  • •Вбудований Lightning-гаманець для надсилання й отримання зепів
  • •Повноцінний клієнт в одному місці: стрічка, сповіщення, DM, медіа, релеї

Від $2.99/рік.Короткі преміум-імена коштують дорожче.

Почати з nostr.blog→

Поширені запитання

Чи хтось може зламати мій обліковий запис Nostr?
Тільки якщо вони отримають ваш приватний ключ. nsec — це єдине, що може підписувати события від вашого імені. Будь-хто з фізичним доступом до розблокованого пристрою, де ви зареєстровані, або хто обманом змусить вас вставити nsec на шкідливий сайт, може захопити обліковий запис. В іншому випадку дистанційні атаки на саму криптографію неможливі.
Чи приватні мої пости на Nostr?
Ні. Публічні пости свідомо публічні, видимі кожному, хто підключений до будь-якого relay, де вони зберігаються. Прямі повідомлення зашифровані (за NIP-44), але метадані про те, хто кому пише, видимі для relay. Для справді приватного спілкування поза системою DM Nostr використовуйте Signal або подібний спеціалізований інструмент.
Чи релеї можуть побачити мою IP-адресу?
Так. WebSocket з'єднання розкривають вашу IP relay, до якого ви підключаєтесь. Запуск Nostr через VPN або Tor приховує це; більшість клієнтів не роблять це за замовчуванням. Оператори relay бачать вашу IP разом із фільтрами підписки, що розповідає їм щось про те, на кого ви підписані та що читаєте.
Чи можна пов'язати мою ідентичність Nostr з моїм справжнім ім'ям?
Тільки якщо ви це зробите. Ніщо в протоколі не вимагає справжніх імен. Ідентичність Nostr — це пара ключів, згенерована на вашому пристрої; ніхто не знає, хто ви, поки ви їм це не скажете, не кросспостите на ідентифіковану облікову запис або ваші закономірності постування не збігаються з відомою людиною. Багато користувачів залишаються псевдонімними невизначений час.
Чи Nostr безпечніший за Twitter?
Від деяких загроз — так, від інших — ні. Nostr безпечніший від блокування облікових записів, заборан платформи та односторонньої модерації. Twitter безпечніший від спаму та переслідувань завдяки централізованій модерації. Виберіть загрози, які для вас важливі.

Читати далі

Початок роботи

Що таке Nostr? Просте пояснення для 2026 року

Nostr — це простий відкритий протокол для соціальних мереж та ідентифікації. Жодна компанія не керує ним, жоден акаунт не може бути видалений без вашого дозволу. Простою мовою.

6 хв читанняІдентичність і NIP-05

Ключі Nostr пояснено: ваша цифрова ідентичність у двох рядках

Кожен акаунт Nostr — це пара ключів. Один ви ділите, один охороняєте. Що вони собою являють, що роблять, як закодовані та як їх не втратити.

7 хв читанняІдентичність і NIP-05

Як резервно скопіювати ключі Nostr, щоб їх не втратити

Конкретні варіанти резервного копіювання приватного ключа Nostr, ранжовані за безпекою. Що працює, що не працює, і помилки, які перетворюють резервну копію на втрату облікового запису.

7 хв читанняПросунуте та технічне

Чи справді приватні DM в Nostr? Щира відповідь

DM в Nostr використовують шифрування, але модель приватності має прогалини. Що захищають NIP-04, NIP-44 та NIP-17 gift wraps, і коли краще використовувати Signal.

7 хв читанняПросунуте та технічне

Як Nostr бореться зі спамом: практичні засоби захисту у 2026 році

У Nostr немає команди модераторів, але проблема спаму не є невирішеною. Що реально працює: proof of work, платні relay, фільтри web-of-trust, списки ігнорування.

7 хв читання