Vy a jenom vy. Účast třetích stran, serverů ani centralizovaných burz zásadně vylučujeme. Veškerá kryptografie probíhá výhradně lokálně na vašem smartphonu. I u náročných a anonymních blockchainů (například Monero) se transakce sestavují a podepisují uvnitř naší aplikace a vaše zařízení vůbec neopouští. Váš private key je zašifrovaný vaším osobním heslem. Žádná náhlá blokace účtu lusknutím admina platformy tu prostě není možná — not your keys, not your coins.

Představte si: koupili jste bitcoin, hodlovali ho 5 let, kurz vyletěl do kosmu. Vytáhnete svou klasickou hardwarovou peněženku, abyste vybrali profit, zapojíte ji do USB… a ona se ani nenačte. Konečná, jste nahraní. Zkoušeli jste někdy spustit počítač, co 5 let ležel ve skříni? Nebo auto? Po pár letech ani hru na Xboxu nerozjedete na první pokus.

S naší architekturou je takový scénář vyloučený. Nemodlíte se k jednomu křehkému zařízení. Vaše NFC karta je spolehlivý nosič zašifrované seed fráze, ne složitá elektronika, která se rozsype od prachu a otřesů. A navíc nejste přivázaní k našemu plastu: můžete si v kterémkoli obchodě koupit deset prázdných NFC tagů za pár korun a naklonovat si zašifrovanou peněženku klidně do 10 kopií.

Jeden tag se zničil nebo jste ho při stěhování ztratili? Nevadí — vždycky máte zrcadlovou kopii někde jinde. A mimochodem — nějaká uklízečka v životě nepochopí, že tam leží peníze, na rozdíl od klasických řešení. Trezor nepotřebujete.

Kdo balík doručuje, je naprosto irelevantní. Naše bezpečnost vůbec nezávisí na tom, kdo držel kartu v ruce před vámi. Karty přicházejí absolutně prázdné. Kartu si inicializujete sami a private key se generuje výhradně lokálně na vašem telefonu.

I kdyby vám kurýr podstrčil svou vlastní NFC kartu, prostě ji přemažete, zapíšete na ni svůj zašifrovaný klíč, nastavíte si PIN — a je vaše. Slepá důvěra v dodavatelský řetězec (Supply Chain) u nás neexistuje.

Proč? Protože na kartě neběží žádný firmware. Obsah karty si můžete přečíst jakoukoli NFC aplikací. Je tam jen zašifrovaný text, který klidně můžete zkusit rozšifrovat — pokud máte zrovna volných 40 tisíc let času.

Naprosto všechny naše nosiče — od tarifu Basic až po Trust — k vám přicházejí úplně prázdné. Odesíláme naprosto čisté nosiče. Klíče se generují lokálně na vašem zařízení, ne na našich serverech. Po zápisu se karta natvrdo zamkne vaším osobním PIN kódem, který znáte jen vy. Bez něj klíč nepřečte nikdo — ani my, i kdybychom vám tu kartu fyzicky zabavili.

Pro maximalisty: Pokud vám nestačí jen poctivá architektura, ale chcete matematicky dokazatelnou záruku — zvolte tarif Ultimate. Generování klíčů a podpis transakcí zde probíhá na zařízení, které je fyzicky odpojené od internetu (Air-Gap). Klíče prostě nemají kudy odejít, protože fyzicky neexistuje komunikační kanál, kudy by mohly uniknout.

Architektura moderních smartphonů (především Apple iOS) se diametrálně liší od počítače na Windowsech, kde si viry chodí jako doma. Stojí na principu tvrdého „sandboxu“. To znamená, že naše aplikace žije v izolovaném digitálním bunkru. I když si omylem stáhnete trojana, pochybnou hru nebo svítilnu s virem, tenhle malware se fyzicky nedokáže nabourat do paměti naší peněženky, přečíst vaše data nebo odchytit procesy. Operační systém už na hardwarové úrovni blokuje přístup jedné aplikace k datům druhé.

Jediné, co dokáže plošný malware (clipper), je podvrhnout cizí adresu do clipboardu při kopírování. Tady vás ale zachrání naše fyzická architektura: před odesláním aplikace zobrazí finální adresu obřím písmem na displeji. Dokud ji osobně nezkontrolujete očima a nepřiložíte svou NFC kartu na záda telefonu, kryptografický podpis se prostě nevygeneruje. Vir za vás kartu fyzicky nepřiloží ani „nezmáčkne tlačítko“.

A to všechno platí pro variantu bez offline podpisu. V offline verzi nezmůžou ani tisíce virů ve vašem telefonu absolutně nic.

Běžné peněženky jsou tu bezmocné. Komerční trojany (zero-click exploity za miliony dolarů) dokážou nenápadně číst obrazovku i paměť vašeho smartphonu. Pokud jste cílem této úrovně, vaše volba je tarif Ultimate.

Jak se tomu bránit? Vezmete si samostatný smartphone (klidně starý), nainstalujete do něj Mitilena Keys a Mitilena Offline, vyndáte SIMku, zapomenete všechny Wi-Fi sítě a natrvalo ho přepnete do letového režimu. Tomu se říká totální Air-Gap. Generování klíčů a podpis transakcí probíhají v absolutní fyzické izolaci. Jak v takovém režimu odeslat platbu?

Data se do vašeho hlavního (online) telefonu nebo PC přenášejí výhradně skenováním QR kódů přes kameru. Žádné kabely, žádný Bluetooth. Ani vir za 100 milionů dolarů vaše klíče nevysaje — jednoduše proto, že nemá kudy ven. Zařízení je fyzicky odříznuté od okolního světa.

Buďme upřímní: před páječkou neuchrání žádná běžná peněženka ani klasický multisig (dvojitý podpis). U multisig peněženek uvažují útočníci podle schématu: „prvního signera vzít jako rukojmí -> zavolat druhému signerovi (manželce) -> nadiktovat slova -> peníze odeslány -> oběť nechat v lese“. Všechno se odehrává na dálku, bez stop a bez osobních setkání. Užitek z dvojitého podpisu je nulový.

Náš tarif „Trust (Multisig)“ tohle schéma rozbíjí na padrť. Vaše peněženka je rozdělena do několika nezávislých NFC karet. Když vás přitlačí ke zdi, zavoláte druhému držiteli. Ale ten vám při nejlepší vůli nemůže nadiktovat kód ani poslat seed frázi přes Telegram. Aby šla transakce odeslat, jeho kartu je nutné fyzicky přiložit k vašemu telefonu.

Co to znamená pro vyděrače? Vzdálené přepadení se ruší. Musí si domluvit osobní schůzku s vaší manželkou nebo partnerem, dojet tam, ukázat obličej pod kamerami a riskovat 20 let za mřížemi. Takové komplikace a rizika kriminálníci nepotřebují — prostě to vzdají a půjdou si najít někoho s obyčejným Ledgerem.

Existuje tu slabé místo? Technicky ano. Pokud na vás tlačí kyber-génius, který přímo v lese dekompiluje naši aplikaci na notebooku. Ale šance, že narazíte na takového člověka, se blíží nule.

Sektáři blockchainového multisigu vám budou tvrdit, že smart kontrakty jsou bezpečnější. Nesmysl. Klasický multisig se prolomí jedním telefonátem vyděšenému partnerovi — ten ze strachu vyklopí seed frázi a okradou vás na dálku.

Mohli jsme jít do absolutního hardcoru a natvrdo provázat matematiku s hardwarovým čipem konkrétní karty. Jenže pak by sebemenší závada toho plastu znamenala nevratnou smrt aktiv. Abyste se tomu vyhnuli, museli byste si dělat zálohu dat čipu na papír.

A tady se kruh uzavírá: vyděrači prostě donutí vašeho partnera vytáhnout ten papír ze sejfu, vyfotit ho a poslat na Telegram. Okradou vás zase na dálku.

Naše architektura je pancíř pro reálný svět. Vzdálené přepadení děláme nemožným — odfiltrujeme tak 99,9 % kriminálu — ale zároveň vám necháváme právo na chybu a pohodlné zálohy.

Bez iluzí. Na webu výrobce vypadá nákup samostatné flashky s tlačítky jako špionážní gadget. V reálu je to ale bezpečnostní divadlo a absurdita.

Zaprvé, ta flashka je radioaktivní terč. Jakmile svou krypto-flashku vytáhnete na bezpečnostní kontrole na letišti, zapomenete na stole v kanceláři nebo s ní jen neopatrně zasvítíte před známými, určitým lidem se začnou sbíhat sliny. Nikdo neví, jestli tam máte 1 000 dolarů nebo 500 bitcoinů, ale už jste si na záda pověsili neonovou ceduli „Mám krypto a nosím ho u sebe“.

Zadruhé, cirkus se seed frází. Výrobce vám řekne: „Napište si 12 slov na papírek.“ A kam ho schováte? Koupíte si trezor? Domácí trezor je magnet na každého bytaře. Buďme upřímní: u 90 % lidí ten papírek prostě leží někde v knížce nebo v nočním stolku.

Uklízečka, zvědavý puberťák nebo zloděj, co se k vám vloupe během dovolené, si ten papírek prostě vyfotí a vrátí zpět na místo. Že vás vynulovali, zjistíte klidně až za půl roku.

Pořídit si sofistikovanou krypto-flashku a přístup k ní držet na kusu kartonu v šuplíku — to je jako pořídit si na barák titanové dveře za milion, ale klíč schovat pod rohožku. Podle návodu jste sice udělali všechno správně, ale ve finále jste přechytračili sami sebe.