Come usare TailsOS su una chiavetta USB, con Electrum e KeePass, creando il tuo cold wallet

| | | | | | | | |

Pubblicato originariamente su Substack il 30 dicembre 2021

Aggiornato qui il 20 dicembre 2024

Molti nuovi utenti BTC mi hanno chiesto di scrivere questa guida su come creare il tuo cold wallet senza usare un portafoglio hardware. Quindi descriverò qui come usare TailsOS su una chiavetta USB, con Electrum e KeePass (che ha anche un generatore di password integrato).

Questo metodo di archiviazione è per quegli utenti che hanno dimestichezza con l'uso di computer, sistemi e hanno già una conoscenza di base di Bitcoin.

Questo metodo NON è per coloro che sono molto nuovi a questa tecnologia e non sono così esperti di tecnologia. Per coloro che consiglio di acquistare semplicemente un portafoglio hardware e di dimenticare questo metodo.

Aspetti importanti sui portafogli freddi:

• un portafoglio freddo deve sempre avere almeno una copia (anche in un'altra forma di backup) e archiviata in un altro luogo geografico. Non sai mai cosa potrebbe succedere.
• un cold wallet NON è il tuo portafoglio di uso quotidiano! Come ho spiegato qui nella sua guida, dovresti conservare il tuo stash in tre livelli di wallet. Qualsiasi cold/HODL wallet in qualsiasi formato tu lo conservi, deve essere conservato in un posto sicuro, che nessun altro conosce e non usare. Per depositare su quello stesso wallet, hai bisogno solo di pochi indirizzi BTC e/o chiave MPK/Xpub importati in un'app wallet "watch-only". Watch-only significa che le chiavi private non toccheranno mai il mondo online, puoi solo depositare su quel wallet e controllare il saldo. Ecco una guida su come usare i wallet "watch-only".
• un cold wallet è accessibile solo quando hai realmente bisogno di spostare fondi da lì (questione urgente) o vuoi aggiornare il sistema del wallet, firmware, OS ecc.
• testa sempre la procedura di recupero PRIMA di mettere fondi in quel wallet. Molte volte finché non ti senti a tuo agio con il processo e sei sicuro di poter ripristinare il tuo wallet in caso di SHTF. La pratica è la chiave per la competenza.

Perché consiglio questo metodo, chiamiamolo "Tails wallet"?

Ci sono molte ragioni per cui possiamo menzionare:

• è davvero economico (l'unico costo è la/le chiavetta/e USB). Quindi perché non accumulare più sat invece di acquistare (per alcuni) costosi portafogli hardware?
• TailsOS è un potente sistema operativo Debian Linux, portatile, con Tor integrato e molte altre app utili.
• non sta ricevendo attenzione. Nessuno saprà che in una semplice USB normale puoi portare le chiavi dei tuoi portafogli HODL. Invece di andare in giro con un Trezor, un ledger, una cold card ecc., ora tutti riconosceranno che "portano BTC", quindi potresti essere un bersaglio di default. In passato ho visto utenti in una mensa tirare fuori il loro Trezor e collegarlo a un laptop, solo per pagare il conto. SBAGLIATO, totalmente sbagliato.
• Lo stesso sistema operativo USB può essere utilizzato come sistema di pulizia di emergenza per altre attività. Diciamo che sei in viaggio e hai bisogno di un computer pulito da usare. TailsOS è fantastico per questo, basta avviarlo e hai un sistema operativo pulito live di sola lettura. Accesso sicuro ai tuoi dati personali, portafogli BTC ecc. E viene fornito con molti strumenti semplici e utili.
• Può archiviare più portafogli, può essere copiato e archiviato in molte posizioni diverse. Può essere utilizzato anche per archiviare più dati personali (documenti scansionati, gestore password, cose private), tutti crittografati, al sicuro da occhi nemici.
• Offre un accesso facile e veloce in qualsiasi momento ai tuoi portafogli freddi, senza alcun software aggiuntivo suscettibile di malware, phishing, computer infetti. TailsOS è SEMPRE PULITO, indipendentemente dal computer che utilizzi. Molti utenti stanno perdendo il controllo del portafoglio perché li utilizzano su computer infetti e sono poco attenti alla sicurezza.

Cominciamo

A. Crea e prepara il tuo Tails Wallet

1. Scarica TailsOS, live USB e usa Rufus per creare l'unità USB avviabile con l'immagine ISO di TailsOS. Rufus cancellerà e formatterà quell'unità USB.

   Facoltativamente puoi usare la suite DTails personalizzata (include più app e strumenti).

2. Avvia con quell'unità USB (modifica le impostazioni nel BIOS del computer per avviare con l'unità USB o premi F12 per alcuni sistemi) e seleziona RUN/Execute, non install, offline. Questo sistema operativo live include già l'app Electrum BTC wallet e KeePass (gestore password).
3. Se hai intenzione di riutilizzare questo TailsOS LiveUSB, puoi creare anche una partizione attiva nascosta, che verrà crittografata, per salvare informazioni importanti, come il file del database KeePass, il backup del portafoglio Electrum. Ecco le istruzioni su come utilizzare “Persistent Partition” e un tutorial video qui. Inserisci una password complessa per aprire quello spazio di partizione persistente e NON DIMENTICARLA!
4. Una volta terminata la creazione della partizione persistente, apri l'app KeePass e crea un nuovo database di password. Salva una copia su un'altra memoria USB e utilizza anche lo spazio crittografato persistente di Tails. In quel database inizi a salvare tutti i tuoi wallet (seed words, XPUB, indirizzi BTC, MPK) e altre informazioni personali. Non dimenticare di fare copie di questo file in altri posti sicuri. Ecco una guida su come usare KeePass e sincronizzare tra dispositivi.
5. Se vuoi usare una versione più recente di Electrum e non la versione Tails già installata, puoi scaricare l'AppImage (per Linux) direttamente dalla pagina Electrum https://electrum.org/#download
6. e salvarla nella tua partizione persistente. Devi solo avviarla, non c'è bisogno di installarla. Ma qualsiasi versione di Electrum di Tails è sufficiente per creare un wallet offline. L'ultima versione è necessaria solo se vuoi usare Tails per trasmettere una transazione da quel cold wallet.
7. Apri l'app Electrum e crea un nuovo wallet. Salva le parole seed nel tuo file KeePass. Una volta creato, vai al menu Electrum - informazioni wallet - copia l'MPK (Master Public Key) e salvalo nel tuo database KeePass (dove hai salvato anche il seed). Vai al menu - attiva la visualizzazione degli indirizzi, quindi vai alla scheda Indirizzi e copia 3-4-5 indirizzi e inseriscili nel tuo file Keepass. In seguito verranno utilizzati per il test della procedura di ripristino.

Password di nuova immissione KeeePass

FATTO! Hai appena creato il tuo cold wallet in TailsOS. Chiudi tutte le app e spegni TailsOS.

OPZIONALE puoi scaricare e salvare nella tua partizione persistente l'app Sparrow wallet se vuoi usare un tipo di indirizzo più avanzato e che supporti Taproot, come ho spiegato in questa guida. Le procedure da seguire per creare un portafoglio, salvare il backup e le chiavi sono quasi le stesse dell'app Electrum.

B. Prova la procedura di ripristino del portafoglio

1. Avvia di nuovo TailsOS, sblocca la partizione persistente, per poter aprire il tuo file di database KeePass.
2. Apri l'app Electrum, seleziona ripristina portafoglio, ho già un seed e poi segui le istruzioni passo dopo passo. Seleziona segwit native e anche il pulsante di opzione per il seed BIP39. Scopri maggiori dettagli sull'utilizzo dell'app Electrum qui.
3. Apri il tuo KeePass e la voce per i dettagli del tuo portafoglio Electrum.
4. Inserisci le parole iniziali da ripristinare e controllale una per una.
5. Una volta completato il processo di ripristino, il portafoglio è caricato, vai al menu - attiva "visualizza indirizzi", quindi vai alla scheda Indirizzi e controlla i primi 3-4 indirizzi generati che sono gli stessi che hai salvato nel tuo file KeePass. Se sono gli stessi, hai appena eseguito un ripristino corretto del tuo portafoglio. Facoltativamente puoi controllare anche l'MPK se è lo stesso, vedi menu - informazioni sul portafoglio.

Fatto! Ora sei pronto, puoi depositare fondi nel tuo portafoglio freddo. Puoi usare l'MPK in un'app solo per orologio o usando solo pochi indirizzi BTC dal tuo portafoglio.

C. Fai backup e copie di quel portafoglio!

OK, ora che hai testato la procedura di ripristino, hai depositato dei fondi in quel portafoglio, è il momento di fare delle copie di sicurezza.

1. Apri TailsOS, apri il portafoglio Electrum
2. Vai al menu File - Backup portafoglio. Salva la copia del file del portafoglio nella tua partizione persistente e anche in un'altra USB crittografata come copia insieme a una copia del tuo file di database KeePass. Ecco alcune guide su come crittografare un'unità USB, con Windows e con Linux.
3. La copia di quel portafoglio Electrum è crittografata anche con la tua password Electrum che hai inserito quando hai creato per la prima volta quel portafoglio. Questa password viene utilizzata anche quando devi trasmettere una tx, per il processo di firma. Quindi, tieni presente che è molto importante, salvala anche nel tuo file KeePass.
4. Quindi ora, puoi semplicemente aprire quel file wallet con l'app Electrum, senza dover ripristinare dal seed, ti chiederà solo di aprirlo con la tua password Electrum per decriptare il file. Il seed sarà necessario solo nel caso in cui questo file venga danneggiato o perso. Questo file contiene anche tutte le tx che hai effettuato, etichette, cronologia e nel tempo può diventare più grande.
5. Nella copia dell'unità USB (criptata) puoi archiviare anche molti altri file, come un file immagine che incorpora un seed utilizzando la steganografia, documenti privati, qualsiasi cosa digitale che sia importante per te. Crea più copie di questo "archivio offline privato" e salvale in posizioni diverse. Facoltativamente, puoi metterli in un contenitore di metallo, protetto da campi elettromagnetici, acqua, sole, calore ecc.

Esterno in metallo EDC sopravvivenza impermeabile

Ecco un link per acquistare quei contenitori e memoria USB.

D. Usalo come portafoglio "solo per gli orologi"

Ecco una guida più dettagliata su come importare e usare l'MPK di questo portafoglio freddo in un'app per portafoglio solo per i depositi.

Fatto divertente:

Ho diversi destinatari come questi nascosti in luoghi di foreste o montagne profonde, facili (per me) da recuperare in ogni caso SHTF. Anche se vengono trovati da qualcun altro (ne dubito fortemente) non sono accessibili a causa della crittografia rigida. Mi trovo molto bene con quella crittografia e il posto segreto in cui sono nascosti. Ma spetta a ogni individuo dove e come salvare quelle copie. Potrebbero anche essere in un archivio online, è sufficiente che il file KeePass sia archiviato e, facoltativamente, una copia del file del tuo portafoglio Electrum (non più di poche centinaia di kb di dati).

E. Bitcoin-Safe come soluzione alternativa di portafoglio freddo

Tutto quanto descritto sopra funziona bene, ma richiede di gestire TailsOS, Electrum e KeePass separatamente. Se hai già una macchina dedicata e pulita — o sei disposto a configurarne una — Bitcoin-Safe è un moderno portafoglio Bitcoin desktop open source che copre tutto questo in una singola app, con un flusso di lavoro più pulito e opzioni di cold storage più potenti.

Bitcoin-Safe funziona su Windows, Mac e Linux. Supporta Taproot (P2TR) fin dall'inizio, ha l'etichettatura degli UTXO integrata (così puoi fare a meno delle voci KeePass separate per il tracciamento degli indirizzi), si connette al tuo nodo Bitcoin Core o server Electrum, e include un assistente multisig dedicato. La cosa più importante per il cold storage: gestisce l'intero flusso di firma airgap con PSBT — lo stesso principio di TailsOS — ma con una GUI adeguata.

Opzione 1 – Portafoglio freddo software su una macchina offline dedicata

Il principio è identico al metodo TailsOS: usa una macchina che non si connette mai a internet e usala solo per firmare transazioni.

1. Prendi un laptop di seconda mano, installa un Linux pulito (es. Linux Mint) e non connetterlo mai a internet. Questa è la tua macchina di firma.
2. Installa Bitcoin-Safe su quella macchina offline.
3. Crea un nuovo portafoglio a firma singola in Bitcoin-Safe, salva le parole seed in KeePass e scrivile su carta (due copie, due luoghi diversi).
4. Esporta l'xpub/zpub del portafoglio (Portafoglio → Informazioni → Chiave Pubblica Master).
5. Sulla tua macchina online, installa di nuovo Bitcoin-Safe e importa quell'xpub come portafoglio di sola lettura. Questa è la tua interfaccia di deposito e monitoraggio — le chiavi private non lasciano mai la macchina offline.
6. Per spendere: crea un PSBT sul portafoglio watch-only online → trasferiscilo sulla macchina offline via USB → firmalo con Bitcoin-Safe sulla macchina offline → riporta il PSBT firmato sulla macchina online → trasmettilo.

Le tue chiavi private non toccano mai un dispositivo connesso a internet. Stesso modello di sicurezza di TailsOS, migliore esperienza d'uso.

Opzione 2 – Cold storage con portafoglio hardware (upgrade consigliato)

Se vuoi andare oltre un puro portafoglio freddo software, Bitcoin-Safe ha supporto nativo per tutti i principali portafogli hardware: Trezor, Ledger, ColdCard, Jade, BitBox02, Foundation Passport.

1. Procurati un portafoglio hardware di tua scelta e configuralo (genera il seed sul dispositivo, annotalo, tienilo offline e al sicuro).
2. Installa Bitcoin-Safe sulla tua macchina online.
3. Collega il tuo portafoglio hardware e importalo in Bitcoin-Safe. L'xpub viene letto automaticamente — le chiavi private non lasciano mai il dispositivo.
4. Usa Bitcoin-Safe come interfaccia di sola lettura e firma: richiederà la conferma del portafoglio hardware per ogni transazione.

Il portafoglio hardware È il cold storage. Bitcoin-Safe è l'interfaccia. Separazione netta.

Opzione 3 – Portafoglio freddo multisig (sicurezza massima per HODLer seri)

Per stack importanti, un singolo punto di fallimento è inaccettabile. Bitcoin-Safe ha un assistente di configurazione multisig dedicato che rende il multisig 2-di-3 semplice — nessuna riga di comando, nessun file di configurazione.

1. Procurati due o tre portafogli hardware (possono essere di marche diverse per maggiore resilienza).
2. Apri Bitcoin-Safe e avvia l'assistente multisig.
3. Aggiungi ogni portafoglio hardware come co-firmatario. Bitcoin-Safe raccoglie gli xpub e costruisce il descrittore multisig.
4. Salva il descrittore del portafoglio nel tuo file KeePass e come backup in testo semplice — ne avrai bisogno per recuperare il multisig in seguito.
5. Per firmare una transazione, Bitcoin-Safe crea un PSBT che firmi con qualsiasi 2 dei tuoi 3 dispositivi.

Questo è lo standard d'oro per il cold storage HODL. Qualsiasi singolo dispositivo può essere perso, rubato o distrutto e i tuoi fondi rimangono completamente recuperabili con i due rimanenti.

Il mio consiglio: se stai configurando un nuovo portafoglio freddo HODL oggi, usa Bitcoin-Safe con almeno un portafoglio hardware, con indirizzi Taproot, e considera il multisig se il tuo stack lo giustifica. Leggi qui la guida sulla migrazione a Taproot.