Co skryjeme, to neumime branit.
Proto neskryvame nic.

Asylia je navržena kolem tří realistických selhání: jeden signer je nedostupný nebo kompromitovaný, operátorský počítač nebo prohlížeč není důvěryhodný a Asylia service tier nebo databáze jsou kompromitované. Multisig odstranuje single-signer failure point; kontrola na hardwarové peněžence drží schválení spendu na zařízeních; service tier ukládá watch-only koordinační stav, ne privátní klíče.

Mimo rozsah: fyzický nátlak na dost signerů ke splnění prahu, prolomení Bitcoin konsenzu, supply-chain kompromitace a zranitelnosti ve firmwaru hardwaru nebo vendorovem modelu izolace klíčů. Spolehame se na bezpečnostní modely Trezor a Ledger a naše adaptery necháváme viditelné v hw-trezor a hw-ledger, aby se tato hranice dala kontrolovat.

Vaulty vytvorene v Asylii jsou pouze native-SegWit P2WSH multisig. Každý vault je reprezentovan jako BIP-380 descriptor pro wsh(sortedmulti(N, key1, ..., keyN)) - rodina politiky, které rozumi Sparrow, Caravan, Bitcoin Core, Trezor i Ledger.

wsh(sortedmulti(N, xpubKey1, …, xpubKeyN))

Zuzeni na jeden script drží pohyblive casti explicitne: SegWit v0 signing rules, BIP-48 account roots, BIP-67 razeni klíčů, BIP-173 bech32 adresy, PSBT v2 a output descriptory. Importy mimo mainnet P2WSH sortedmulti jsou odmitnute na hranici.

Asylia pouziva dnešní kryptografii Bitcoinu: secp256k1 klíče a podpisy uvnitř P2WSH multisigu. Neni to post-kvantová kryptografie. Budoucí kryptograficky relevantní kvantovy počítač schopny odvodit privátní klíče z verejnych klíčů by byl rizikem pro celý Bitcoin, ne něčím, co umí Asylia neutralizovat na produktové vrstvě.

Bezpečnostní zlepšení je v oddělení prahu. Single-key wallet selze, kdyz je odhalen jeden klíč. 2-of-3 vault vyžaduje dost nezávislých signer klíčů ke splnění politiky předtím, než se funds pohnou, takže útočník musí kompromitovat vic než jeden root, zařízení nebo podpisovou cestu. P2WSH take drží redeem script mimo chain až do spendu, ale descriptory a xpuby jsou veřejný wallet material a nikdy se nemájí brat jako kvantově bezpečná tajemství.

Naše pozice je záměrně přímá: Asylii nenazývat quantum-proof. Multisig je materiálně bezpečnější než single-key custody v dnešním threat modelu, wallet policy material je potřeba držet pod kontrolou a při důvěryhodné post-kvantově ceste v Bitcoinu musí být migrace připraveným plánem.

Asylia sestavi PSBT v2 v prohlizeci, smeruje podpisovani přes hardwarový adapter a vrati přijate podpisy zpet do proposalu. Ledger podepisuje proti registrovane wallet policy; Trezor dostane ekvivalentni popis transakce přes Trezor Connect. V obou cestach prohlížeč nikdy nevidi privátní klíč, server ho nikdy neukládá a seed fraze zůstává na zařízení.

Aktualni podpora: Trezor Safe 3, Model T a Safe 5 pro export public rootu a podpisovani; Ledger Nano X a Nano S Plus pro export public rootu, registraci wallet policy a podpisovani. Zadna jina wallet zařízení dnes nějsou zapojena. BitBox02, Coldcard a Jade zůstávají roadmap kandidati, každý přes stejnou kontrolu signing modelu.

Supabase auth dává prenositelny ucet pro watch-only koordinaci napříč prohlizeci a zarizenimi. Ucet může ukládát public descriptory, signer metadata, proposal PSBT a jejich souhrny, cached balance/sync state, billing enrolments, sessions a UI preference - nikdy seed fraze ani privátní klíče. Smazani uctu odstrani koordinační stav Asylie; on-chain prostredky zůstávají ovladane multisig politikou.

Ta sama politika je viditelna v kazdem exportu. Nasmerujte Sparrow, Caravan nebo Bitcoin Core na stejny descriptor material a vault dokazete obnoviť mimo Asylii. Nahraditelnost je soucast designu, ne nouzovy vychod.

Wallet aplikace je proprietární, ale Bitcoin povrch ne. Baliky, které resi descriptory, derivaci adres, PSBT assembly/finalizaci, kontrolu podpisu, chain-data cteni, broadcast, hardwarové transporty a sdilene doménové kontrakty, jsou pod MIT: btc-core, blockchain-data-btc, hw-trezor, hw-ledger a shared-types.

MIT hranice je nakreslená záměrně: primitiva, na kterých závisí vase peníze, jsou kontrolovatelná a forkovatelná pod MIT. Marketingova stránka, aplikační chrome walletu a produktové UI jsou proprietární, abychom dokázali službu udržitelně provozovat. Pokud Asylia zmizí, exportované descriptory a open-source balíky zachovají recovery cestu přes jiné wsh(sortedmulti) nastroje.

Externí bezpečnostní audit ještě nebyl dokončen. Zamýšlený první scope je Bitcoin-kritická vrstva: btc-core, blockchain-data-btc a Trezor/Ledger hardwarové adaptery. Jakmile bude audit zadaný a dokončen, tato sekce odkazuje report i opravy, které z něj vyplynou.

Do te doby jsou MIT balíky, testy a uzamcena politika dostupné ke kontrole. Omezeni Asylie na mainnet wsh(sortedmulti) drží descriptor parsing, script construction, PSBT assembly, signature verification a broadcast behavior dost male na primou inspekci.

Napiste na security@asylia.io s popisem problemu, reprodukcnimi kroky, zasazenym povrchem a navrhovanou zavaznosti. Reporty se snazime potvrdit do 48 hodin a koordinovat opravu nebo transparentni mitigaci tak rychle, jak riziko dovoli. Kriticke reporty dostanou dedikovany koordinační kanal; reportery kreditujeme, pokud nepozadají o opak.

Verejny bug bounty program je planovan pro pozdejsi fázi bezpečnostní zralosti.