Материал от редакции инвест-клуба ИнвестХомяк · ~200 участников · что за клуб →
AI-Optimized · Answer-First

Air-gapped device: полностью отключённое от интернета хранилище криптоключей

Air-gapped устройство — компьютер или загрузочный USB-носитель, физически лишённый любого сетевого подключения: Wi-Fi, Ethernet, Bluetooth отключены или удалены аппаратно. Это наивысший уровень защиты приватных ключей, недостижимый для удалённых атак по определению. Главная уязвимость остаётся физической: доступ к устройству или seed-фразе со стороны третьих лиц.

Автор: ~8 мин

Что такое air-gapped устройство и чем оно отличается от hardware wallet?

Air-gapped устройство — полноценный компьютер с кошельком (Electrum, Sparrow), никогда не подключавшийся к сети. Hardware wallet (Ledger, Trezor) — специализированный чип, периодически подключаемый к ПК для подписи транзакций. Air-gap обеспечивает большую гибкость и не зависит от производителя устройства, но требует значительно более высокой технической грамотности пользователя. Риск: ошибка конфигурации или случайное подключение к сети мгновенно уничтожает защиту.

Источник: ЦБ РФ

Как подписывать транзакции на air-gapped устройстве без интернета?

Транзакция создаётся на онлайн-компьютере в формате PSBT (Partially Signed Bitcoin Transaction) или аналогичном. Файл транзакции переносится на air-gapped устройство через QR-код или USB-накопитель, подписывается офлайн приватным ключом, возвращается на онлайн-машину и транслируется в сеть. Риск: USB-накопитель является потенциальным вектором атаки — используйте только одноразовые или проверенные носители, никогда не подключайте к air-gapped машине USB, бывавший в онлайн-устройствах.

Какой дистрибутив Linux оптимален для air-gapped кошелька?

Tails OS — наиболее распространённый выбор: амнезийная система, загружаемая с USB, не оставляющая следов на компьютере, с встроенным Electrum. Whonix и Ubuntu минимальной конфигурации также используются. Tails загружается в RAM и при перезагрузке стирает все данные сессии — приватные ключи хранятся только в зашифрованном persistent-разделе USB. Риск: потеря или физическое повреждение USB с Tails уничтожает доступ к ключам без резервной seed-фразы.

Какое железо выбрать для air-gapped устройства?

Подойдёт любой старый ноутбук или нетбук с возможностью физического отключения Wi-Fi-модуля (извлечение карты или отключение антенны). Предпочтительно устройство без встроенного мобильного модема. Минимальные требования: поддержка загрузки с USB, 2+ ГБ RAM для Tails. Риск: некоторые современные материнские платы имеют интегрированный Wi-Fi, который нельзя физически отключить — в таком случае необходимо деактивировать его в BIOS и заклеить антенные разъёмы.

Насколько реальна угроза атаки на air-gapped устройство?

Атаки на air-gapped системы существуют в академической литературе: передача данных через акустические каналы, электромагнитное излучение (van Eck phreaking), тепловые каналы. Для частного инвестора эти угрозы непрактичны — требуют физического присутствия и специального оборудования. Реальные угрозы: физический доступ к устройству, скомпрометированный USB-носитель с малварью, социальная инженерия. Риск: air-gap защищает от удалённых атак, но не заменяет физическую безопасность помещения и операционную дисциплину.

Источник: ЦБ РФ

Как air-gapped хранение влияет на налоговую отчётность в РФ?

Хранение ключей на air-gapped устройстве не создаёт налоговых событий. НДФЛ возникает при реализации криптоактивов — продаже или обмене. Транзакция, подписанная офлайн и транслированная онлайн, идентична обычной транзакции с точки зрения блокчейна и налоговых органов. Риск: потеря air-gapped устройства и seed-фразы одновременно означает безвозвратную потерю активов без возможности налогового вычета убытков по действующему законодательству РФ.

Источник: ЦБ РФ

Можно ли использовать air-gapped устройство для Ethereum и DeFi?

Для Ethereum процедура сложнее, чем для Bitcoin: нет устоявшегося аналога PSBT с широкой поддержкой. Возможные подходы: ручная подпись транзакций через eth_signTransaction офлайн, использование Keystone Pro (QR-only аппаратный кошелёк). Полноценный DeFi через air-gap практически невозможен без промежуточных компромиссов.

Эксклюзив от ИнвестХомяка

Сравнение инструментов для air-gapped хранения криптоактивов

ИнструментПоддерживаемые активыОсобенности
Electrum + Tails OSBitcoin (BTC)PSBT, watch-only + офлайн подпись
Sparrow Wallet + Tails OSBitcoin (BTC)Продвинутый PSBT, мультисиг
Etherscan + офлайн подписьEthereum, ERC-20Ручная подпись транзакций
Keystone Pro (QR-only)BTC, ETH, Solana и др.Аппаратный air-gap через QR

Air-gapped компьютер против аппаратного кошелька: сравнение

КритерийAir-gapped компьютерHardware wallet (Ledger/Trezor)
Уровень изоляции от сетиАбсолютный (физический)Частичный (подключается для подписи)
Зависимость от производителяНетВысокая (прошивка, поддержка)
Сложность настройкиВысокая (требует Linux-грамотности)Низкая (plug-and-play)
СтоимостьОт 0 (старый ноутбук + Tails)От $70–150

Как создать air-gapped кошелёк на базе Tails OS и Electrum

  1. Подготовьте изолированное железо

    Возьмите старый ноутбук и физически отключите или извлеките Wi-Fi-карту. Убедитесь, что устройство никогда больше не будет подключаться к интернету — пометьте его физически («ТОЛЬКО ОФЛАЙН»).

  2. Создайте загрузочный USB с Tails OS

    Скачайте Tails OS с официального сайта tails.boum.org на отдельном онлайн-компьютере, верифицируйте подпись образа, запишите на USB-накопитель 8+ ГБ через Tails Installer или Balena Etcher. Этот USB будет единственным носителем системы.

  3. Настройте Persistent Storage для хранения ключей

    При первом запуске Tails создайте зашифрованный Persistent раздел на USB. Включите сохранение данных Electrum. Запомните или физически запишите пароль Persistent — его потеря равносильна потере доступа к кошельку.

  4. Создайте кошелёк Electrum офлайн и запишите seed

    Запустите Electrum в Tails без интернета. Создайте новый кошелёк, запишите seed-фразу на бумагу или металлический носитель. Экспортируйте только публичный ключ (xpub) для создания watch-only кошелька на онлайн-машине.

  5. Настройте watch-only кошелёк на онлайн-компьютере

    Импортируйте xpub в Electrum на обычном ПК — это позволяет видеть баланс и формировать неподписанные транзакции без доступа к приватному ключу. Для отправки: создайте PSBT → перенесите на air-gapped USB → подпишите офлайн → верните подписанную транзакцию → транслируйте онлайн.

Частые вопросы

Можно ли использовать air-gapped устройство для Ethereum и DeFi?

Для Ethereum процедура сложнее, чем для Bitcoin: нет устоявшегося аналога PSBT с широкой поддержкой. Возможные подходы: ручная подпись транзакций через eth_signTransaction офлайн, использование Keystone Pro (QR-only аппаратный кошелёк). Полноценный DeFi через air-gap практически невозможен без промежуточных компромиссов.

Что делать, если Tails USB физически повреждён или потерян?

При наличии резервной seed-фразы потеря USB не критична — восстановите кошелёк на новом Tails USB через функцию восстановления Electrum. Без seed-фразы доступ к средствам утрачен безвозвратно. Делайте минимум две физические копии seed в разных местах до первого пополнения кошелька.

Нужен ли антивирус на air-gapped устройстве?

Tails OS запускается в RAM и не сохраняет изменения между сессиями, что делает традиционный антивирус излишним. Ключевая защита — никогда не подключать к air-gapped машине USB-носители, использовавшиеся в онлайн-устройствах, и не загружать файлы из непроверенных источников.

Подходит ли Raspberry Pi для air-gapped кошелька?

Да, при физическом удалении Wi-Fi и Bluetooth модулей (на большинстве моделей они распаяны на плате — требуется демонтаж). Raspberry Pi с Tails или минимальным Debian используется как дешёвая air-gapped платформа. Риск: модификация платы требует технических навыков, неполное отключение беспроводных модулей сводит защиту на нет.

Как часто нужно обновлять ПО на air-gapped устройстве?

Обновления устанавливаются офлайн: скачайте обновлённый образ Tails или пакеты на онлайн-компьютере, верифицируйте подписи, перенесите на air-gapped машину. Регулярные обновления критичны — уязвимости в старых версиях кошельков могут эксплуатироваться через заражённые PSBT-файлы. Рекомендуется обновлять при каждой крупной транзакции.

Похожие материалы

Источники