Dispositivos Air-Gapped

Assinar transações sem nunca conectar suas chaves à internet

Esta página é um acréscimo de Eric de Castro à tradução — não faz parte do conteúdo original do Greg Walker.

Na página de segurança vimos como proteger a sua semente. Agora vamos um passo além: e se a sua chave privada ficasse num aparelho que nunca, jamais toca a internet? É essa a ideia dos dispositivos air-gapped.

O que é "air-gapped"?

"Air gap" quer dizer "lacuna de ar": um vão físico, sem fios, sem rede, sem Wi-Fi, sem Bluetooth — nem mesmo um cabo USB ligado a um computador online. O aparelho guarda as suas chaves e assina transações completamente offline.

"Mas se ele não se conecta a nada, como a transação entra e sai?" Pela lacuna de ar: os dados atravessam por QR codes (a câmera lê a tela) ou por um cartão microSD. Nunca por uma conexão direta.

Por que isso importa

A maioria dos roubos de bitcoin não arromba a criptografia — ela rouba a chave do computador ou celular da vítima, geralmente com um malware. Ora, se a chave vive num aparelho que não tem como ser alcançado pela internet, esse tipo de ataque remoto simplesmente não funciona. A chave nunca sai do dispositivo, e o computador conectado à internet nunca a vê.

Como funciona na prática

A mágica acontece com uma divisão de tarefas. Você tem uma carteira "somente leitura" (watch-only) no celular ou computador — ela conhece os seus endereços e saldos, mas não tem a chave privada. O fluxo de um pagamento é assim:

  1. A carteira watch-only monta uma transação não assinada — uma PSBT (transação Bitcoin parcialmente assinada).
  2. Você passa essa PSBT para o dispositivo air-gapped por QR code (mostra na tela, ele lê com a câmera) ou por microSD.
  3. O dispositivo mostra os detalhes (valor, endereço de destino), você confere, e ele assina com a chave privada — offline.
  4. Você leva a transação já assinada de volta (QR / microSD) para a carteira watch-only, que então a transmite para a rede.
Fluxo de assinatura air-gapped: a carteira watch-only (online) monta uma PSBT, que cruza a lacuna de ar por QR/microSD até o dispositivo offline, que assina e devolve a transação assinada para ser transmitida.

Repare: a chave atravessou… nada. Só a transação foi e voltou. A parte secreta ficou o tempo todo do lado seguro da lacuna.

Air-gapped vs. carteira hardware USB

Uma carteira hardware comum (do tipo que você espeta na USB) já é bem segura — a chave também não sai dela. A diferença é que, para assinar, ela se conecta a um computador que está online, criando uma pequena superfície de contato. O dispositivo air-gapped elimina até esse cabo, trocando-o por QR codes ou cartão SD.

Comparação: carteira hardware USB conectada por cabo a um computador online, versus dispositivo air-gapped que se comunica só por QR code e microSD, sem fios.

Honestamente: para a maioria das pessoas, uma boa carteira hardware USB já é mais do que suficiente. O air-gapped é um passo extra de paranoia — faz mais sentido para quantias grandes ou para quem quer o máximo de margem de segurança.

Dispositivos "sem estado" (stateless)

Alguns air-gapped vão além e não guardam a semente. Você digita (ou lê de um QR) a sua frase semente na hora de assinar, ele assina, e quando desliga não sobra nada no aparelho. Se alguém achar o dispositivo, encontra uma caixa vazia. O SeedSigner e o Krux funcionam assim.

Exemplos

Os projetos faça-você-mesmo (SeedSigner, Krux) têm uma vantagem extra: como você mesmo monta com peças comuns e o código é aberto, não precisa confiar num fabricante — pode inspecionar tudo.

Prós e contras

Air-gapped combina especialmente bem com multisig (exigir várias assinaturas de dispositivos diferentes). Essa dupla é a base dos esquemas de auto-custódia mais robustos.