Nostr 密钥详解：你的数字身份浓缩为两串字符

你的 Nostr 账户不是用户名和密码的组合。它是一对你自己持有的加密密钥，一个公开，一个私有。你发布的每条帖子都用私钥签名；看到你帖子的每个客户端都会根据你的公钥验证签名。

这是理解 Nostr 最重要的事情，因为它决定了其他一切。你的身份无法找回如果你丢失它，因为没有公司曾经拥有副本。你的账户无法被平台封禁，因为没有平台数据库可以删除它。这些是从不同角度看同一个属性。

本指南解释了密钥是什么、每个密钥的作用、如何编码，以及导致丢失它们的具体错误。

速览。 你的 npub1... 是你的公钥。可以在任何地方安全分享。你的 nsec1... 是你的私钥。将其保存在密码管理器或保险柜中的印刷纸片上。永远不要将其粘贴到网站表单中。丢失它，身份永久消失。

准备好后， 领取你的 @nostr.blog 地址 →

密钥对实际上是什么

密钥对是两个在数学上相关联的数字。这个数学基础是称为 secp256k1 的椭圆曲线上的椭圆曲线密码学（与比特币使用的曲线相同）。

• 私钥是一个随机的 32 字节数字。任何 256 位随机数都有效；你的没有什么特殊之处。
• 公钥从私钥通过椭圆曲线上的特定计算推导而来。给定私钥，计算公钥很快。给定公钥，反推计算私钥被认为在实际上是不可能的。

"实际上不可能"意味着：没有已知的算法能在任何存在或可能存在的计算机上在合理时间内完成此操作。安全性取决于这种不对称性。你可以自由发布公钥；你必须绝对保护私钥。

每个密钥的作用

公钥是你的身份。当某人关注你时，他们关注的是公钥。当某人提及你时，他们标记的是公钥。当 relay 存储你的帖子时，它按公钥索引。网络上关于你的每个可见的东西都与这个值相关联。

私钥用于签名。每个事件（帖子、反应、关注列表更新、个人资料更改）都携带从事件哈希和私钥生成的 Schnorr 签名。任何客户端都可以运行反向检查：给定公钥、哈希和签名，验证只有匹配私钥的持有者才能生成该签名。

结果是：relay 和客户端不必信任任何人。他们自己验证签名。带有无效签名的伪造帖子会被静默删除。由正确密钥签名的真实帖子无论从哪个 relay 获得都会被接受。

密钥如何编码

原始的 32 字节数字看起来很不方便或输入困难。Nostr 使用两种编码约定。

十六进制。 原始字节写成小写十六进制：64 个字符，a-f 和 0-9。这是在 NIP-05 JSON 文件和大多数协议内部出现的规范形式。

十六进制公钥示例：0a4f7b1a3d9a1529a3080c3ae5ee553e0af0a01d86d01677c0bb270592923f88

Bech32。 相同的字节包装在具有前缀和校验和的人工友好格式中。前缀告诉人类（和软件）他们在看什么。npub1 意思是"这是一个 Nostr 公钥。" nsec1 意思是"这是一个 Nostr 私钥。"

Bech32 中的公钥示例：npub1pf8hkx3ang2jngcgpsawtmj48c90pgqasmgpva7qhvnsty5j87yqwk3vy5

Bech32 中的校验和很重要。如果你不小心改变一个字符，校验和就会失败，任何工具都会将该密钥拒绝为无效。这可以防止复制粘贴期间的静默损坏。十六进制没有这样的安全保障；十六进制密钥中的单个错误字符会产生不同（但看起来有效）的身份。

前缀也存在于其他类型的 Nostr 数据中。note1 是事件 ID。nprofile1 是与推荐 relay 绑定的公钥。nevent1 是与作者和 relay 绑定的事件 ID。1 是 Bech32 分隔符的一部分，不是版本号。

密钥存放在哪里

当你首次安装任何 Nostr 客户端时，它通过向操作系统请求 32 个随机字节来生成密钥对。这就是整个仪式。密钥从随机数生成器完成的那一刻起就是你的。

客户端存储它们的位置取决于应用：

• 原生移动应用将 nsec 存储在操作系统密钥链中（iOS Keychain、Android Keystore）。两者都使用设备的密码或生物特征进行静态加密。
• 基于浏览器的客户端通常要求你安装 NIP-07 扩展（nos2x、Alby、Flamingo），它在扩展的安全存储中持有 nsec。客户端永远看不到 nsec 直接；它要求扩展按需签名事件。
• 跳过 NIP-07 的客户端会要求你将 nsec 粘贴到本地浏览器存储中，这不太安全。这对低风险账户还好，对有价值的账户是个坏主意。
• 硬件钱包式 Nostr 签名者（bunker 应用、远程签名者）在单独的设备上持有 nsec，并通过加密通道远程签名。最先进，最低攻击面。

如何备份 nsec

最重要的备份规则：nsec 必须至少存在于两个地方，但永远不要存在于提供商可以读取的云中。

好的地方：

• 1Password、Bitwarden、KeePassXC 或任何具有端到端加密的密码管理器
• iCloud Keychain（端到端加密；Apple 无法读取）
• 安全物理位置中的印刷纸片（保险柜、保险箱）
• 比特币式钢铁备份板，如果你想要物理耐久性

不好的地方：

• iCloud Notes、Google Keep、Evernote、OneNote（这些同步的格式提供商可以解密）
• 相机胶卷中的屏幕截图（自动备份到 iCloud 或 Google 照片中的明文）
• 发送给自己的电子邮件
• Telegram "已保存的消息"或任何其他聊天应用自助短信
• Dropbox、Google Drive、iCloud Drive 上的明文文件

区别在于：如果提供商想要的话，他们能读取文本吗？如果是，该位置不安全。如果否（或提供商是你带有打印机的）。位置是安全的。

对于偏执狂：分片。使用阈值方案（Shamir 的秘密共享）将 nsec 拆分为多个部分，并分别存储每个部分。三部分中的两个重构密钥。对大多数用户来说是过度设计，对具有高价值身份的用户来说是合理的。

如果你丢失了 nsec 会发生什么

账户永久消失。没有重置流程。没有公司有副本。没有加密技巧只能从 npub 恢复密钥。

损失有三个实际后果：

• 你不能再以该身份发布。
• 你不能再向该身份接收 zap（指向它的闪电地址仍在你的旧个人资料事件中，但由于你无法更新你的个人资料，如果底层服务更改，地址可能会变得陈旧）。
• 你不能更新关注列表、个人资料或响应直接消息。

你的帖子保留在 relay 上，任何人都可以阅读。你的关注者仍然在他们的客户端中看到旧帖子。新活动是不可能的。

实用的响应：生成新的密钥对，用"迁移"解释发布你的旧 npub 给任何观察的人，然后重建。想要跨中断关注你的人会这样做；你会失去一些并重新获得其他人。目前没有协议级的方式使这无摩擦。

如果有人获得了你的 nsec 会发生什么

攻击者可以做你能做的一切：

• 以你的身份发布（永远）
• 阅读你的解密直接消息
• 更新你的个人资料（包括更改你的 NIP-05 标识符）
• 使用客户端可访问的任何钱包余额发送 zap
• 更改你的关注列表

他们不能做的（不需要额外访问）：

• 直接排空与客户端配对的闪电钱包
• 窃取发送给你的 zap（这些去你配置的闪电地址）
• 阻止你也使用该密钥（你仍然拥有它；这不是被无效的身份验证令牌）

对怀疑 nsec 泄露的立即响应很困难。与密码不同，nostr nsec 无法被撤销。现实的缓解措施是生成新的密钥对，从旧的发布警告每个人你在轮换，并切换身份。NIP-41 和类似的提案旨在使这更清晰，但目前还没有得到普遍支持。

多个身份

许多 Nostr 用户运行多个身份。一个面向公众的专业账户，一个私人的个人账户，一个用于特定社区的匿名账户。每个都是一个单独的密钥对；除非你选择通过交叉发布来链接它们，否则没有什么在加密上联系它们。

大多数客户端支持从菜单切换身份。密钥是独立的；同一客户端可以登录所有这些并用轻敲切换。这与 Twitter 多账户不同，在 Twitter 中身份是同一平台数据库中的条目；在 Nostr 上它们在加密上无关。

一个实用的提示：清楚地标记密码管理器条目。nostr-main-nsec、nostr-anon-nsec、nostr-work-nsec。在复制粘贴期间混淆它们是一种意外从错误身份发布的方式。

密钥就是账户

Nostr 中的所有其他东西（可读的名称、个人资料图片、简历、你使用的 relay、NIP-05 标识符）都是次要元数据。所有这些都可以被替换或移动。密钥对是唯一不能被替换而不是重新开始的东西。

相应地对待 nsec。备份它需要两分钟，从生成它的时刻开始。从丢失的 nsec 恢复需要数周的重建，永远不会完全正常工作。

关于生成的一个注意。获取新密钥对的安全方法是让客户端在本地生成它，并且永远不要通过网络传输私有一半。nostr.blog 的注册在浏览器中客户端做这个；服务器永远看不到 nsec。如果任何注册流程首先将私钥发送到服务器，这是红旗。离开并在其他地方生成。