Главная / Технологии безопасности
// Архитектура защиты

Технологии
безопасности

Trezor Digital построен на принципе «нулевого доверия к сети». Все алгоритмы шифрования выполняются локально, без обращения к внешним серверам или облачным сервисам.

🔒 Ни один байт ваших данных не покидает устройство в незашифрованном виде. Сетевые функции отсутствуют на уровне архитектуры приложения.
// Криптографическое ядро

Алгоритмы шифрования

AES-256-GCM
Основной алгоритм

Advanced Encryption Standard с 256-битным ключом и режимом Galois/Counter Mode обеспечивает аутентифицированное шифрование с защитой от подмены данных. Применяется для шифрования всех хранимых конфигураций и данных виджетов.

Длина ключа256 бит
Длина блока128 бит
Длина тега GCM128 бит
Длина IV (nonce)96 бит
СтандартNIST FIPS 197
// Пример инициализации шифрования const key = crypto.getRandomValues( new Uint8Array(32) // 256 бит ); const iv = crypto.getRandomValues( new Uint8Array(12) // 96 бит nonce ); const encrypted = await crypto.subtle.encrypt( { name: "AES-GCM", iv }, cryptoKey, data );
PBKDF2 — Деривация ключей
Защита паролей

Password-Based Key Derivation Function 2 преобразует пользовательский пароль в криптографический ключ. Итеративное хеширование с солью делает перебор паролей вычислительно нецелесообразным.

Хеш-функцияSHA-512
Итерации600 000
Длина соли256 бит
Длина выхода256 бит
СтандартRFC 8018
Стойкость к перебору Критическая
Производительность ~150 мс
Соответствие стандартам NIST / FIPS
Chacha20-Poly1305
Потоковое шифрование

Используется для шифрования данных в памяти и потоков в реальном времени. Оптимизирован для платформ без аппаратного ускорения AES, обеспечивая равнозначную безопасность на любом устройстве.

Длина ключа256 бит
Длина nonce96 или 192 бита (XChaCha20)
Тег аутентификации128 бит (Poly1305)
СтандартRFC 8439
// Системная архитектура

Слои защиты

Trezor Digital реализует многоуровневую архитектуру защиты. Каждый слой независимо валидирует и изолирует данные, исключая возможность компрометации через одну точку отказа.

  • Аппаратная изоляция: виджеты запускаются в изолированных процессах без общей памяти
  • Шифрованное хранилище: все файлы конфигурации зашифрованы AES-256-GCM
  • Запрет сетевых вызовов: брандмауэрный модуль блокирует исходящие соединения
  • Целостность кода: SHA-3 подпись каждого модуля верифицируется при запуске
  • Обнуление памяти: чувствительные данные стираются из RAM после использования
  • Sandbox-исполнение: сторонние виджеты работают в изолированной песочнице
Стек безопасности Trezor
🔒 Интерфейс пользователя (UI Layer)
Widget Runtime (изолированные процессы)
🔑 Crypto Core (AES-256 / ChaCha20)
Storage Manager (зашифрованный SQLite)
🛡 Network Guard (блокировка сети)
OS Kernel (Windows / macOS)
// Соответствие стандартам

Сертификация и стандарты

📋
ГОСТ Р 34.12
Российский стандарт блочного шифрования
🔐
NIST FIPS 197
Стандарт AES правительства США
📜
ISO/IEC 18033
Международный стандарт шифрования
🏛
152-ФЗ
Защита персональных данных РФ