एयर-गैप्ड Monero कोल्ड वॉलेट कैसे सेट करें

जुलाई 2024 में जब WazirX से लगभग 230 मिलियन डॉलर की क्रिप्टो एक हैक के ज़रिये निकल गई, और इससे कुछ ही महीने पहले — दिसंबर 2023 में — FIU-IND ने Binance, Kraken, Bitfinex समेत नौ ऑफ़शोर एक्सचेंजों को PMLA के तहत भारत में ब्लॉक कर दिया, तो भारतीय XMR होल्डर्स को एक कठोर सच्चाई का सामना करना पड़ा: एक्सचेंज पर पड़ी आपकी कॉइन कभी भी सच में आपकी नहीं होती। किसी भी रात को डीलिस्टिंग, फ्रीज़, या हैक हो सकती है। इसका स्वाभाविक जवाब था सेल्फ-कस्टडी की तरफ़ बढ़ना, और इस माइग्रेशन का सबसे सतर्क कोना एक ही विचार पर आ टिका — कुंजियों को ऐसे डिवाइस पर रखो जिसने कभी नेटवर्क छुआ ही न हो। एयर-गैप्ड कोल्ड वॉलेट यही है: एक ऐसी मशीन जो Monero ट्रांज़ैक्शन को पूरी तरह अलगाव में साइन करती है, ताकि कोई भी संक्रमित इंटरनेट कनेक्शन आपकी spend key तक कभी न पहुँच सके।

यह गाइड आपको ज़ीरो से ऐसा सेटअप बनाने में ले जाएगी, जो Monero ने 2017 से नेटिवली सपोर्ट किए हुए hot/cold स्प्लिट का इस्तेमाल करता है। अंत में आपके पास दो वॉलेट होंगे — एक ऑनलाइन "watch-only" व्यू जो आपका बैलेंस ट्रैक करेगा, और एक ऑफ़लाइन वॉल्ट जिसमें असली सीक्रेट्स रहेंगे। अगर आप पहले स्थान पर इस वॉल्ट को निजी तौर पर फंड कर रहे हैं, तो MoneroSwapper जैसी no-log स्वैप सर्विस के ज़रिये XMR में बदलाव करना उस एक्सचेंज पेपर ट्रेल से बचाता है जिसके खिलाफ़ एयर-गैपिंग बनाई ही गई है। चलिए, सही तरीक़े से बनाते हैं।

Monero के लिए एयर गैप ख़ास तौर पर क्यों ज़रूरी है

Monero प्रोटोकॉल लेवल पर ही आपके ट्रांज़ैक्शन ग्राफ़ को छुपाता है। RingCT रकमें छुपाता है, stealth address तकनीक प्राप्तकर्ता को ओझल करती है, और ring signatures (जो जल्द ही FCMP++ से रिप्लेस होंगे) असली खर्च करने वाले को decoys के बीच ढक देते हैं। लेकिन ये कुछ भी उस लैपटॉप पर पड़ी प्राइवेट कीज़ को नहीं बचाता जिस पर आप रोज़ ब्राउज़र चलाते हैं, टॉरेंट क्लाइंट, और पिछले हफ़्ते कोई संदिग्ध PDF।

ख़तरा एंडपॉइंट है, चेन नहीं। क्लिपबोर्ड हाइजैकर्स, Lumma और RedLine जैसे infostealer मैलवेयर, और नक़ली वॉलेट क्लोन ने 2024–2025 में करोड़ों डॉलर की क्रिप्टो लूटी है। भारत में भी टार्गेटेड हमलों की पुष्टि हुई है जहाँ Telegram पर वायरल "official-looking" APK फ़ाइलें यूज़र्स के mnemonic seed को सीधे हमलावरों के सर्वर तक भेजती पाई गईं। एयर gap पूरे रिमोट-अटैक सरफ़ेस को हटा देती है क्योंकि साइनिंग डिवाइस के पास हमलावर तक पहुँचने का कोई रास्ता ही नहीं होता।

• कुंजी का अलगाव: आपकी spend key और 25-शब्द mnemonic seed कभी भी इंटरनेट से जुड़ी मशीन पर मौजूद नहीं होती, इसलिए दूर बैठा कोई मैलवेयर उन्हें चुरा नहीं सकता।
• Tamper-evident साइनिंग: हर outgoing ट्रांज़ैक्शन का destination और amount आप ऑफ़लाइन डिवाइस पर साइन होने से पहले ख़ुद देख लेते हैं, जिससे क्लिपबोर्ड-स्वैप अटैक नाकाम हो जाते हैं।
• नियामक लचीलापन: MiCA, FATF travel-rule, और भारत में FIU-IND की कार्रवाइयों के बाद डीलिस्टिंग तेज़ हो रही है — सेल्फ-कस्टडी ही XMR रखने का टिकाऊ तरीक़ा है, और कोल्ड स्टोरेज इसका सबसे मज़बूत रूप।
• Fungibility बरक़रार: सीधे आपके नियंत्रण वाली कॉइन्स Monero की fungibility को सुरक्षित रखती हैं, बिना किसी एक्सचेंज द्वारा लगाए "tainted" लेबल के।

शुरू करने से पहले क्या-क्या चाहिए

एयर-गैप्ड सेटअप के लिए दो डिवाइस और इनके बीच फ़ाइल भेजने का एक one-way तरीक़ा चाहिए। ऑनलाइन मशीन Monero नेटवर्क से बात करती है; ऑफ़लाइन मशीन कभी नहीं करती। यह विभाजन एक बार सही हो जाए, तो बाक़ी सब यंत्रवत है।

ऑफ़लाइन डिवाइस चुनना

सबसे सस्ता भरोसेमंद विकल्प है एक पुराना लैपटॉप, जिसकी Wi-Fi कार्ड को फ़िज़िकली निकाल दिया गया हो या डिसेबल कर दिया गया हो और Ethernet पोर्ट पर कोई केबल न लगी हो। बिना नेटवर्किंग पेरिफ़रल्स वाला Raspberry Pi भी काम करता है, और एक डेडिकेटेड मशीन जो USB से Tails बूट करती है वह भी। Tails डिफ़ॉल्ट से amnesic है — शटडाउन पर सब भूल जाती है — इसलिए आप उसे persistent encrypted storage के साथ सिर्फ़ wallet फ़ाइलों के लिए pair करते हैं, या हर session में अपनी seed से रिस्टोर करते हैं।

जो भी चुनें, नियम परम है: वह डिवाइस ज़िंदगी भर किसी नेटवर्क से नहीं जुड़ेगी, कभी नहीं। जिस पल जुड़ी, एयर gap टूट गई और कुंजियों को संभावित रूप से एक्सपोज़ माना जाना चाहिए।

सॉफ़्टवेयर विकल्प

तीन Monero क्लाइंट कोल्ड साइनिंग को अच्छे से संभालते हैं। ऑफ़िशियल Monero GUI और CLI के साथ full cold-wallet workflow शिप होता है। Feather Wallet, एक हल्का community client, सुंदर offline-signing flow जोड़ता है और उन यूज़र्स के लिए बढ़िया है जो full node नहीं चलाना चाहते। तीनों ही ओपन सोर्स और reproducible हैं।

बाक़ी गाइड में मैं DIY एयर-गैप्ड तरीक़े को ऑफ़िशियल क्लाइंट के साथ मानकर चलूँगा, क्योंकि यह वह underlying model सिखाता है जिसे बाक़ी सभी तरीक़े abstract कर देते हैं। एक बार hot/cold स्प्लिट समझ गए, तो हार्डवेयर वॉलेट का flow वही विचार है, बस सीक्रेट्स एक चिप में सीलबंद होते हैं।

Hot/Cold स्प्लिट असल में कैसे काम करता है

Monero का cold-signing डिज़ाइन फंड्स को देखने की क्षमता को उन्हें ख़र्च करने की क्षमता से अलग करता है। यह सीधे उन दो कुंजियों पर मैप होता है जो हर Monero वॉलेट अपनी mnemonic seed से derive करता है: view key, जो सॉफ़्टवेयर को आपके आने वाले outputs पहचानने देती है, और spend key, जो उन्हें ख़र्च करने के लिए ज़रूरी है।

ऑनलाइन मशीन पर सिर्फ़ आपके address और private view key से बना watch-only वॉलेट रहता है। यह ब्लॉकचेन स्कैन करता है, आपके stealth address outputs पहचानता है, और बैलेंस दिखाता है — लेकिन एक भी कॉइन हिला नहीं सकता। ऑफ़लाइन मशीन के पास complete wallet होता है, spend key समेत, और यही एक ऐसी चीज़ है जो valid signature तैयार कर सकती है।

अगर आपका watch-only वॉलेट कभी compromise हो भी जाए, तो हमलावर को आपका बैलेंस और आने वाले ट्रांज़ैक्शन पता चल जाएँगे — पर वह एक piconero भी ख़र्च नहीं कर पाएगा, क्योंकि spend key एयर-गैप्ड डिवाइस से कभी निकली ही नहीं।

इसलिए ख़र्च करना दो मशीनों के बीच एक relay बन जाता है। ऑनलाइन वॉलेट एक unsigned transaction draft करता है, ऑफ़लाइन वॉलेट उसकी जाँच करके sign करता है, और ऑनलाइन वॉलेट signed result को mempool पर broadcast करता है। Key images — वे cryptographic markers जो double-spend रोकते हैं — ऑफ़लाइन calculate होते हैं और वापस sync होते हैं ताकि watch-only वॉलेट जान सके कि कौन-से outputs पहले ही ख़र्च हो चुके हैं। कोई secret gap के पार नहीं जाता; सिर्फ़ transaction artifacts जाते हैं।

चरण-दर-चरण: अपना एयर-गैप्ड कोल्ड वॉलेट बनाना

पहली बार के लिए एक घंटा अलग रखें। धीरे काम करें — यहाँ हर ग़लती recoverable है, सिवाय leaked seed या टूटी एयर gap के। एक साफ़ USB स्टिक (या दोनों डिवाइसों पर QR-capable webcam) तैयार रखें।

1. बाइनरीज़ verify करें। ऑनलाइन मशीन पर getmonero.org से Monero क्लाइंट डाउनलोड करें, फिर SHA-256 hashes चेक करें और maintainer's key के विरुद्ध GPG signature verify करें। Reproducible builds का मतलब है कि binary वही होनी चाहिए जो community ने स्वतंत्र रूप से compile की है। यह step कभी न छोड़ें — एक backdoored वॉलेट बाक़ी सब step बेकार कर देता है।
2. वॉलेट offline बनाएँ। Verified binary को USB से एयर-गैप्ड डिवाइस पर लाएँ। वहाँ monero-wallet-cli से एक बिल्कुल नया वॉलेट generate करें। 25-शब्द mnemonic seed काग़ज़ पर लिखें — कभी फ़ोटो नहीं, कभी text file में नहीं, कभी क्लाउड पर नहीं। यह offline वॉलेट spend key और view key दोनों रखता है।
3. View-only credentials निकालें। Offline वॉलेट पर primary address नोट करें और private view key reveal करने का command चलाएँ। यह दो values ही online साइड के लिए कभी ज़रूरी होंगी।
4. Watch-only वॉलेट online बनाएँ। Internet से जुड़ी मशीन पर "Create wallet from keys" (view-only) चुनें और address, private view key, और एक restore height डालें जो वॉलेट बनाने के वक़्त से मेल खाती हो। इसे अपने node या Tor पर trusted remote node के साथ sync होने दें।
5. फंड करें और कन्फ़र्म करें। अपने नए address पर XMR भेजें। एक बार confirm होने पर watch-only वॉलेट incoming output को detect कर लेगा। यदि Monero निजी तौर पर हासिल कर रहे हैं, तो purchase को no-KYC swap के ज़रिये route करें ताकि funding transaction पर कोई identity link न रहे।
6. Outputs और key images sync करें। ख़र्च करने के लिए, watch-only वॉलेट से outputs export करें, फ़ाइल को offline डिवाइस पर ले जाएँ, import करें, फिर key images वापस online साइड पर export करें और उन्हें import करें। इससे watch-only बैलेंस सही और spendable-aware हो जाता है।
7. Draft, sign और broadcast करें। Online वॉलेट पर अपने destination के लिए एक unsigned transaction बनाएँ। unsigned_monero_tx फ़ाइल को offline डिवाइस पर ले जाएँ, स्क्रीन पर recipient और amount review करें, और sign करें। नतीजे में आई signed_monero_tx फ़ाइल वापस लाएँ और network पर submit करें।

छोटे, बार-बार होने वाले ख़र्चों के लिए USB shuttle की जगह animated QR codes का इस्तेमाल कर सकते हैं — Feather और GUI दोनों unsigned व signed ट्रांज़ैक्शन को QR sequences के रूप में encode कर सकते हैं जिन्हें हर डिवाइस का कैमरा scan कर लेगा, और offline मशीन पूरी तरह portless रह जाएगी।

एक व्यावहारिक उदाहरण: सही ढंग से किया गया दीर्घ-काल holding

एक बंगलुरु-स्थित होल्डर पर विचार करें जो XMR को privacy reserve के रूप में जमा कर रहा है। वह कई महीनों में छोटे batches में ख़रीदता है, हर बार BTC या USDT को Monero में स्वैप करता है और सीधे अपने एयर-गैप्ड कोल्ड वॉलेट के address पर भेज देता है। Online watch-only वॉलेट बढ़ता बैलेंस ट्रैक करता है; seed एक fireproof safe में रखी है, और एक steel backup दूसरी जगह — शायद माता-पिता के घर के लॉकर में।

भारत में टैक्स compliance और privacy एक-दूसरे के विरोधी नहीं हैं। आयकर विभाग Section 115BBH के तहत Virtual Digital Assets पर 30% फ़्लैट टैक्स लगाता है — कोई set-off नहीं, कोई loss carry-forward नहीं — और ₹10,000 (specified persons के लिए ₹50,000) से ऊपर transfers पर Section 194S के तहत 1% TDS कटता है। सेल्फ-कस्टडी किसी को disposals की रिपोर्टिंग से छूट नहीं देती। पर कोल्ड स्टोरेज में रखने का सीधा मतलब है कि कोई third-party custodian नहीं है, और कोई एक्सचेंज नहीं है जिसे वॉलेट की पूरी history के लिए subpoena या PMLA notice भेजा जा सके। जब होल्डर अंततः ख़र्च करता है, तो वह offline sign करता है, Tor-routed node के ज़रिये broadcast करता है, और Dandelion++ propagation layer यह छुपा देती है कि transaction को पहले किस node ने relay किया।

अगर उसी होल्डर ने इसके बजाय अपना stack किसी centralized exchange पर छोड़ा होता, तो FIU-IND की एक कार्रवाई या MiCA-style डीलिस्टिंग एक forced fire-sale या frozen withdrawal का कारण बन सकती थी — जैसा WazirX हैक के समय हज़ारों यूज़र्स के साथ हुआ, जिनके फंड्स आज भी आंशिक रूप से locked हैं और legal proceedings में फँसे हैं। एयर gap ने उस custodial liability को एक private, संप्रभु reserve में बदल दिया — और यही पूरा बिंदु है।

FAQ

क्या एयर-गैप्ड वॉलेट छोटी राशि के लिए ज़रूरत से ज़्यादा है?

हर हफ़्ते ख़र्च होने वाले pocket-money sums के लिए, hot mobile वॉलेट ठीक है और कहीं ज़्यादा सुविधाजनक। एयर-गैप्ड तरीक़ा अपनी जटिलता तब कमाता है जब आप ऐसी रकम स्टोर कर रहे हैं जो malware को खोने पर आपको सच में बहुत बुरा लगे। बहुत-से लोग दोनों चलाते हैं: रोज़मर्रा के ख़र्च के लिए hot wallet और बचत के लिए एयर-गैप्ड vault।

अगर मेरी offline डिवाइस ख़राब हो जाए तो?

कुछ भी नहीं खोता, क्योंकि वॉलेट 25-शब्द mnemonic seed में रहता है, हार्डवेयर में नहीं। उसे किसी भी नई offline मशीन पर restore करें और आपको spend key का पूरा नियंत्रण वापस मिल जाता है। इसी वजह से seed backup डिवाइस से कहीं ज़्यादा अहम है — शब्दों की रक्षा करें, हार्डवेयर बेझिझक बदलें।

क्या मैं इसे बनाने के बजाय हार्डवेयर वॉलेट इस्तेमाल कर सकता हूँ?

हाँ। Ledger आपकी spend key को secure element में रखता है और transactions को sign करता है जबकि कुंजियाँ chip से कभी बाहर नहीं निकलतीं, जो कम manual काम के साथ वैसा ही isolation goal हासिल करता है। Trade-off हैं closed firmware, vendor निर्भरता, और Monero-specific features के लिए ऐतिहासिक रूप से धीमा support, इसलिए power users अक्सर full transparency के लिए DIY एयर gap को प्राथमिकता देते हैं।

क्या online wallet के लिए अपना node चलाना ज़रूरी है?

सख़्ती से ज़रूरी नहीं, पर यह सबसे private विकल्प है। Watch-only वॉलेट को public remote node से जोड़ने पर आपकी view key activity और IP उस node operator तक leak होती है, जब तक आप Tor या I2P पर रूट न करें। अपना node चलाना — या कम-से-कम Tor के पीछे trusted node इस्तेमाल करना — उस metadata को आपके हाथों में रखता है। भारतीय ISPs के लिए यह विशेष रूप से प्रासंगिक है, जहाँ DPI और data retention नियम लगातार सख़्त हो रहे हैं।

क्या FCMP++ बदल देगा कि कोल्ड वॉलेट कैसे काम करते हैं?

यह upgrade ring signatures को Full-Chain Membership Proofs++ से replace करेगा ताकि anonymity set बहुत बड़ा हो जाए, और roadmap पर Seraphis व Jamtis address overhaul भी है। Hot/cold signing model ख़ुद नहीं बदलेगा — आप अब भी online draft करेंगे और offline sign — इसलिए आज बनाया गया एयर-गैप्ड सेटअप साफ़-साफ़ आगे चलता रहेगा।

निष्कर्ष

एक एयर-गैप्ड Monero कोल्ड वॉलेट यह फ़र्क़ है कि आप अपनी privacy के मालिक हैं या उसे उससे किराये पर ले रहे हैं जो आपकी keys रखता है। सेटअप एक दोपहर और एक पुराना लैपटॉप माँगता है, और बदले में आपको ऐसा vault मिलता है जहाँ remote attackers बस पहुँच ही नहीं सकते — आपकी spend key isolated, हर ट्रांज़ैक्शन sign होने से पहले inspect, और आपका XMR अगली डीलिस्टिंग की लहर से insulated। इसे verified binaries, steel seed backup, और Tor-routed node के साथ pair कीजिए, और आपके पास ऐसा storage है जो किसी भी custodian के बराबर है — बिना custodian के।

आख़िरी टुकड़ा है इसे ऐसे फंड करना कि आपने अभी-अभी जो surveillance हटाई है वह फिर वापस न आ जाए। अपना Monero किसी no-log, no-KYC swap के ज़रिये हासिल करें ताकि कॉइन्स साफ़ history के साथ cold storage पर लैंड हों — आप MoneroSwapper से Monero anonymously ख़रीद सकते हैं और सीधे अपने एयर-गैप्ड address पर भेज सकते हैं। पहले वॉलेट बनाइए, फिर निजी तौर पर फंड कीजिए, और आपकी कुंजियाँ आपकी ही रहेंगी।