如何使用气隙钱包进行冷藏？ （二维码标志）

气隙钱包基础知识

1. 气隙钱包在与任何网络完全隔离的设备上运行 - 不允许 Wi-Fi、蓝牙、蜂窝或以太网连接。

2、私钥永不脱离隔离环境，确保密码主权始终属于用户。

3. 使用符合 BIP-32、BIP-39 和 BIP-44 标准的确定性算法离线进行交易签名。

4. Coldcard、BitBox02 和 Jade 等硬件设备在设计上实现了气隙工作流程，但使用气隙 Linux VM 或 Raspberry Pi 单元的基于软件的气隙设置也被广泛采用。

5. 在初始设置之前，必须使用 GPG 签名验证启动介质，以防止在固件或操作系统安装过程中供应链受到损害。

基于 QR 码的签名工作流程

1. 使用公共区块链数据在在线“仅观看”设备上准备交易，并将其导出为 PSBT（部分签名 Bitcoin 交易）文件。

2. PSBT 被编码为 QR 码序列（由于大小限制，通常分为多个帧）并显示在在线设备的屏幕上。

3. 气隙设备使用其内置摄像头捕获每一帧，或通过专用的 QR 读取器接口手动扫描它们。

4. 完全重建后，气隙设备会在应用私钥签名之前验证所有输入、输出、费用和更改地址。

5. 然后将签名的 PSBT 呈现为另一个 QR 码序列并扫描回在线设备以广播到网络。

安全加固措施

1. 通过在气隙设备的操作系统层上禁用屏幕截图、屏幕镜像和 GPU 加速合成来强制执行屏幕录制预防。

2. 相机固件必须经过侧信道泄漏审计；一些钱包禁用自动对焦和自动曝光，以减少基于时间的推理风险。

3. QR 码采用高对比度、纠错版本（例如 Reed-Solomon 级别 Q 或 H）生成，以承受轻微的可扫描性能下降。

4. 气隙设备拒绝包含未知输入脚本、非标准叹息标志或未经验证的 UTXO 证明的 PSBT，除非被高级用户明确覆盖。

5.所有固件更新都需要根据不可变 IPFS 网关上托管的开发人员签名清单手动验证 SHA256 校验和。

运营最佳实践

1. 为不同的助记词种子维护单独的气隙设备——切勿在不同的密钥层次结构中重复使用硬件。

2. 使用符合 BIP-39 单词表的雕刻将恢复种子短语存储在不锈钢板上，而不是使用纸张或层压卡片。

3. 在处理数百万美元的 UTXO 时，在电磁屏蔽室中进行签名会议，以减轻 TEMPEST 型排放。

4. 每 18-24 个月轮换一次气隙设备，以避免长期使用模式暴露的硬件级漏洞。

5. 在离线账本上记录所有签名事件：时间戳、交易 ID 前缀、费率和输出计数，而不存储完整的十六进制或签名。

常见问题解答

问：二维码扫描会被恶意相机固件破坏吗？答：是的。消费级设备上的相机驱动程序可能包含未记录的遥测或缓冲区溢出向量。仅使用经过独立审核验证的开源相机堆栈，例如 Qubes OS 或 PureOS 附带的相机堆栈。

问：在基于浏览器的钱包上生成二维码安全吗？答：不会。浏览器环境会将熵源、内存内容和渲染管道暴露给对抗性 JavaScript。 QR 生成必须在启用了气隙插件的强化本机应用程序（例如 Sparrow Wallet 或 Electrum）内进行。

问：如果签名过程中二维码扫描错误，会发生什么情况？答：气隙设备将因校验和不匹配或 base64 填充不完整而导致 PSBT 解析失败。它不会继续签名，并且会丢弃部分数据而不暴露内部状态。

问：所有气隙钱包都支持多重签名 QR 工作流程吗？答：不普遍。 Coldcard 本身支持多重签名 PSBT QR 流。 BitBox02 需要配套的桌面软件来进行复杂的多重签名协调。 Jade 依靠 Blockstream Green 的移动应用程序进行多重签名 QR 编排。