如何使用气隙硬件钱包？ （最高安全性）

气隙硬件钱包基础知识

1. 气隙硬件钱包完全离线运行，没有能够将数据传输到外部网络的无线或有线网络接口。

2. 这些设备依靠物理介质（例如 microSD 卡、QR 码或 USB 驱动器）进行交易数据传输，从而消除远程攻击媒介。

3. 签名操作仅在设备的安全元件内进行，其中私钥永远不会离开防篡改芯片。

4. 启动时使用加密签名验证固件完整性，防止未经授权的修改或供应链泄露。

5. 用户交互仅限于触觉按钮和单色显示器，减少了容易受到旁道攻击的固件表面积。

无网络暴露的交易工作流程

1. 使用 Spectre Desktop 或 Coldcard 的 Electrum 插件等兼容钱包软件在连接的计算机上生成交易请求。

2. 未签名的交易导出为 PSBT 文件，并通过 microSD 卡或二维码显示传输到气隙设备。

3. 设备会验证所有输入、输出、费用和更改地址，然后通过按下物理按钮提示确认。

4. 确认后，设备在内部对交易进行签名，并通过相同的离线通道将签名的 PSBT 导出回主机。

5. 主机将最终签名的交易广播到区块链网络，而无需暴露私钥或签名逻辑。

安全密钥管理协议

1. 种子短语是在初始设置期间在设备上生成的，没有纯文本形式的导出选项 - 只能在外部存储加密的备份。

2. 密码短语支持可实现 BIP-39 扩展，允许用户从单个种子派生多个钱包，同时保持资金之间的分离。

3. 安全元件芯片执行严格的访问控制：重复错误的 PIN 尝试会在可配置阈值后触发自动擦除敏感材料。

4. 固件更新需要手动启动，并且必须使用与制造商签名基础设施相关的嵌入式公钥进行加密验证。

5. 建议在首次使用之前进行物理检查点（包括全息密封和序列号验证）以检测篡改情况。

物理环境和操作纪律

1. 设备只能在远离监控设备、射频收发器或记录设备的隔离物理位置供电和操作。

2. 用于数据传输的 MicroSD 卡必须专用于此目的，并且不得连接到气隙工作流程之外的互联网连接系统。

3. QR 码扫描必须在受控照明条件下进行，且摄像头应免受环境反射或意外捕获的影响。

4. 所有一次性介质（包括打印的 QR 表或临时 USB 驱动器）必须在使用后立即通过粉碎或焚烧进行物理销毁。

5. 在每次会话之前，应根据官方发布哈希值手动交叉检查设备固件版本、引导加载程序状态和安全元件状态。

常见问题解答

问：气隙钱包可以与智能合约交互吗？是的，前提是钱包软件支持 EVM 兼容的 PSBT 扩展，并且气隙设备在其显示屏上实现适当的合约调用验证。

问：在气隙设备上使用第三方固件安全吗？不可以。安装非官方固件会使硬件安全保证失效，并可能在签名过程中引入不可检测的密钥泄露逻辑。

问：如果 microSD 卡在传输过程中损坏怎么办？设备将拒绝无效的 PSBT 文件。用户必须重新生成未签名的交易，并使用经过验证、写保护的 SD 卡重新传输。

问：气隙钱包支持多重签名设置吗？是的。 Coldcard 和 BitBox02 等设备通过导入共同签名者 xpub 并在签名前验证仲裁要求来本地处理多重签名协调。