5.4.1. 私钥/助记词的安全管理流程
以下主要以软件钱包为例介绍私钥/助记词产生时的安全管理,硬件钱包、Web钱包的安全管理与此类似。
- 硬件环境:一台永不联网的电脑,干净的U盘,一台通过电缆连接的打印机
- 人员需求:一般建议由5人共同完成
- A操作员从官网下载钱包软件(也可以使用网页钱包),通过U盘拷贝入不能联网的电脑的硬盘里面,A操作设置电脑访问密码,该密码仅有A操作员知晓。
- B操作员在电脑软件生成或显示助记词/密码,并立即复制到记事本里面,通过电缆连接打印机,进行打印,打印生成的我们称为私钥纸。在该过程中应保持一定的环境干扰,避免B操作记忆助记词或密码。其他人员确认该过程中,仅有B操作能够看到私钥,且B操作员不可能记住。
- C操作员立即使用信封将打印出的私钥纸进行密封。其他人员确认该过程中,C操作员无法看到私钥/助记词,且所有打印生成的私钥纸全部被封存。C操作员准备一把带锁的盒子,C操作员保留该盒子的钥匙。
- B操作员打印完私钥/助词词后,由D操作员确认在电脑里面,含有私钥明文的文本文件已被彻底删除,并通过整理内存等方式使得文本文件无法恢复。电脑里面的剪切板、回收站内均不含有明文私钥。
- D操作员与E操作员共同到银行,将存放有私钥纸的盒子存入银行保险箱,银行保险箱由D操作员身份与E操作员共同开设,并由其中一人保管钥匙。
- 若因交易密码忘记等原因需要通过私钥来恢复钱包时,需要由D操作员与E操作员共同持身份证,其中一人带保险箱钥匙,C操作员带私钥盒钥匙才能打开。