Air‑gap to za mało: ukryte kanały optyczne i akustyczne w portfelach kryptowalut — jak realnie podnieść bezpieczeństwo w 2026

Bezpieczeństwo i Portfele (Wallets) — Czy naprawdę odłączenie urządzenia od sieci gwarantuje spokój? Rosnąca adopcja cold walletów i podpisywania PSBT/UR przez QR ujawnia mniej oczywiste ryzyka: optyczne i akustyczne kanały boczne, które mogą wyciekać metadane transakcji lub pomagać w deanonymizacji użytkownika. Poniżej znajdziesz techniczne, ale praktyczne omówienie zagrożeń i zestaw działań obronnych dla HODLerów, traderów OTC i firm custody.

Co to są kanały boczne (side‑channels) i dlaczego dotyczą kryptowalut?

Klasyczny model zakłada: jeśli urządzenie jest air‑gapped (bez Wi‑Fi/Bluetooth/USB), to dane są bezpieczne. W praktyce elektronika „mówi” światłem, dźwiękiem lub zakłóceniami elektromagnetycznymi. W kontekście kryptowalut najsilniej interesują nas:

• Optyczne kanały — zmiany PWM podświetlenia ekranu, miganie diod LED, a nawet rytm animacji QR mogą ujawniać informacje pomocnicze (timingi, wzorce zachowań, fingerprint urządzenia).
• Akustyczne kanały — ciche piski z cewek (coil whine), brzęczyki systemowe, ultradźwięki generowane przez głośniki lub elementy mechaniczne mogą korelować z działaniami kryptograficznymi.
• Pośrednia telemetria — kamerki monitoringu, telefony w pobliżu, smart‑TV w biurze, które „widzą” ekran lub LED portfela podczas podpisu.

Gdzie powstaje realne ryzyko w łańcuchu podpisu?

1) QR/UR i aplikacje mobilne

Gdy portfel prezentuje animowane kody QR (UR/PSBT), telefon je filmuje. Złośliwa aplikacja może próbować korelować częstotliwość odświeżania lub mikro‑zmiany jasności z unikalnym „odciskiem” urządzenia, a następnie łączyć to z twoim adresem IP lub geolokalizacją.

2) LED i sygnały statusowe

Diody sygnalizujące status mogą mieć nieliniowe wzorce migania podczas generowania kluczy, weryfikacji firmware lub podpisu. Kamery w zasięgu wzroku (np. CCTV w biurze) potrafią zarejestrować te wzorce.

3) Dźwięk i elektromagnetyka

Niektóre urządzenia ujawniają aktywność kryptograficzną przez delikatny pisk cewek lub wibracje. Choć rzadko wystarcza to do odczytu sekretów, może pomóc w fingerprintingu twojej sesji i łączeniu kropków z innymi danymi (np. kiedy i gdzie podpisujesz).

Studium przypadku (hipotetyczne): „niewinny” QR a deanonymizacja OTC

Trader OTC używa air‑gapped portfela do podpisywania PSBT przez QR w salce konferencyjnej. W pomieszczeniu działa kamera bezpieczeństwa 4K. Wideo wychodzi do chmury dostawcy monitoringu. Analiza nagrania (po incydencie compliance) wykazuje powtarzalny wzorzec jasności ekranu portfela i czas trwania animacji — na tej podstawie da się powiązać konkretne sesje podpisywania z widocznym na telefonie adresem docelowym. Sam seed nie wycieka, ale prywatność i model zagrożeń właśnie pękły.

Jak się bronić: warstwy defensywy (Defense‑in‑Depth)

Warstwa 1 — Higiena fizyczna i operacyjna

• Strefa bez kamer: podpisuj transakcje w miejscu bez CCTV, laptopów z otwartą kamerką, smart‑głośników i smart‑TV. Schowaj telefon osoby postronnej do torby Faradaya lub poza pomieszczenie.
• Zasłoń LED: jeśli urządzenie ma jasną diodę statusu, użyj nieprzezroczystej naklejki; unikniesz rejestrowania migania.
• Stała jasność: pozostaw stałe podświetlenie ekranu (bez auto‑brightness). Jeśli urządzenie oferuje tryb e‑ink lub DC‑dimming, włącz go.
• Ogranicz animację QR: jeżeli to możliwe, zmniejsz FPS animacji UR lub stosuj microSD/USB‑data‑diode (jednokierunkowy transfer PSBT) zamiast wideo QR.

Warstwa 2 — Konfiguracja kryptograficzna i polityki

• Multisig 2‑z‑3 z heterogenicznymi urządzeniami i różnymi dostawcami. Zmniejsza to wpływ pojedynczego side‑channelu.
• Antiklepto/nonce‑proof dla ECDSA lub preferowanie Schnorr (tam, gdzie wspierane) — ogranicza ryzyko manipulacji nonce.
• Policy‑wallet: limity, whitelisty adresów, time‑lock oraz 2‑man rule (podpis dwóch osób) dla większych kwot.

Warstwa 3 — Twardy sprzęt i przegląd dostawców

• Preferuj urządzenia z ekranami e‑ink lub DC‑dimming (bez niskoczęstotliwościowego PWM) i możliwością wyłączenia LED/głośników.
• Reproducible builds i weryfikowalny bootloader. Sprawdzaj sumy SHA i podpisy producenta przy każdym update.
• Brak radia (Wi‑Fi/BLE) na poziomie sprzętowym dla trybu cold; jeżeli istnieje, upewnij się, że ma fizyczny przełącznik.

Checklista audytu portfela offline

Element	Ryzyko	Co sprawdzić	Narzędzie	Częstotliwość
Ekran	PWM przy niskiej częstotliwości	Stała jasność/DC‑dimming/e‑ink	Ustawienia urządzenia	Raz po konfiguracji
LED statusu	Wzorce migania widoczne dla kamer	Możliwość wyłączenia lub zakrycia	Naklejka/taśma	Stałe
Audio	Sygnały dźwiękowe/coil whine	Wyłączony buzzer, ciche otoczenie	Test w pomieszczeniu	Raz na kwartał
Transmisja PSBT	Fingerprint przez animację QR	MicroSD lub niskie FPS UR, brak telefonów postronnych	Procedura operacyjna (SOP)	Każda sesja
Firmware	Backdoor/supply chain	Podpisy producenta, reproducible build	Dokumentacja + hash	Każdy update
Polityka kluczy	Single point of failure	Multisig 2‑z‑3, separacja geograficzna	Plan odzysku	Półrocznie

Techniczne tło: dlaczego PWM i kamera to niebezpieczny duet

Wiele ekranów reguluje jasność przez PWM (Pulse‑Width Modulation) w zakresie setek do kilku tysięcy Hz. Kamery w telefonach, nawet przy 30–60 fps, mają rolling shutter, który wprowadza aliasing — dzięki temu oprogramowanie może wykrywać subtelne różnice jasności między klatkami. Kontrposunięcia to przejście na DC‑dimming, wysoka częstotliwość PWM (>20 kHz) lub wyświetlacze e‑ink, które nie migają w trakcie stałego obrazu.

Które cechy portfeli pomagają (bez wskazywania marek)

• E‑ink/monochromatyczne LCD z DC‑dimming.
• Fizyczne wyłączniki dla LED/buzzera/radia.
• Tryb QR z ograniczonym FPS i wysokim nadmiarem korekcji błędów (BCH), by pozwolić na wolniejszą, bezpieczniejszą animację.
• Weryfikowalny firmware i publiczne reproducible builds.
• Wsparcie multisig i polityk (whitelisty/time‑lock/2‑man rule).

Konsekwencje dla firm, giełd i custodianów

Dla VASP, giełd i desków OTC ryzyko optyczno‑akustyczne jest elementem ISO 27001/NIS2 i audytów SOC2. Procedury, które warto wdrożyć:

• Strefy podpisu bez kamer i z kontrolą urządzeń mobilnych.
• Maskowanie LED w HSM i cold‑roomach; prywatne filtry na wyświetlaczach.
• Rekonesans EMI/akustyczny pomieszczeń (testy okresowe).
• Playbook incydentów: co ujawnić regulatorowi, jak rotować klucze, jak weryfikować integralność firmware.

Regulacje & Prawo: jak to wpisać w compliance

W UE, operatorzy usług (NIS2) i podmioty regulowane jako VASP powinni dowieźć „odpowiednie środki techniczne i organizacyjne”. Ochrona przed kanałami bocznymi może być opisana w kontrolach Annex A (ISO 27001) A.8, A.9, A.11, politykach czystych stref, oraz w procedurach incident response i key rotation. W niektórych jurysdykcjach warto notować dowody braku urządzeń nagrywających w strefie podpisu (logi wejść, check‑listy).

FAQ: szybkie odpowiedzi

• Czy animowane QR są zawsze niebezpieczne? Nie. Ryzyko dotyczy głównie prywatności i fingerprintingu. Ogranicz FPS, korzystaj z kontrolowanego środowiska i/lub microSD.
• Czy mam przestać używać air‑gapped portfela? Nie. Dodaj warstwę operacyjną i sprzętową — air‑gap to fundament, ale nie jedyna linia obrony.
• Czy Faraday cage to konieczność? Dla użytkownika detalicznego zwykle nie. Dla firm custody — rozważ torby Faradaya dla telefonów gości i strefy bez kamer.

Wnioski i następne kroki

Air‑gap nie jest tarczą absolutną. Optyczne i akustyczne kanały boczne nie muszą kraść seeda, by obniżyć twoje bezpieczeństwo — czasem wystarczy powiązanie sesji podpisu z tożsamością lub lokalizacją. Zastosuj sześć kroków od zaraz:

• 1) Podpisuj w strefie bez kamer i smart‑urządzeń.
• 2) Zakryj LED, ustaw stałą jasność lub e‑ink/DC‑dimming.
• 3) Ogranicz FPS animacji QR lub użyj microSD.
• 4) Wdróż multisig 2‑z‑3 i polityki (whitelist, time‑lock).
• 5) Aktualizuj tylko zweryfikowany firmware (reproducible build).
• 6) Spisz i stosuj SOP dla każdej sesji podpisu (checklista powyżej).

CTA: Przejdź dziś przez checklistę audytu portfela i zaktualizuj SOP zespołu. Umów wewnętrzny „fire‑drill” rotacji kluczy na najbliższy tydzień.