Foliohatun opas kryptojen säilytykseen — näin suojaat kolikot kun et luota kehenkään

Kryptomaailmassa kukaan ei sano "foliohattu" halveksivasti. Se on kunniamerkki. Lähinnä sellainen ansioristi, jonka saa kun on menettänyt yöunensa riittävän monta kertaa miettiessään, onko oma OpSec kunnossa.

Tämä juttu on sinulle, jos olet koskaan:

• herännyt kello kolme yöllä googlaamaan "is Trezor firmware backdoored"
• harkinnut Faraday-häkin ostamista laitteistolompakollesi
• vaihtanut VPN-palveluntarjoajaa, koska edellinen kirjautui Five Eyes -maahan

Jos tuo kuulostaa tutulta, tervetuloa kotiin. Jos ei, niin ehkä tämän jutun jälkeen ymmärrät, miksi meidän foliohattujen unettomuus on itse asiassa ihan perusteltua.

Lyhyt ja kaunis kryptoturvallisuuden historia — eli miten päädyimme tähän

Ennen kuin mennään nykypäivän turvallisuuspinoihin, on hyvä ymmärtää mistä tulemme. Koska se selittää paljon siitä, miksi foliohatut ovat sellaisia kuin ovat.

2009–2011: Villin lännen aikaa

Bitcoinin alkuaikoina "lompakko" tarkoitti kirjaimellisesti tiedostoa nimeltä wallet.dat tietokoneesi kovalevyllä. Siinä se. Ei salausta, ei varmuuskopioita, ei mitään turvajärjestelmiä. Jos kovalevysi hajosi, bitcoinisi katosivat. Jos poistit tiedoston vahingossa, bitcoinisi katosivat. Jos heitit vanhan läppärin roskiin — no, kysy James Howellsilta miltä se tuntuu.

Howells heitti vuonna 2013 kiintolevyn kaatopaikalle. Siinä levyssä oli 8 000 BTC. Nykyrahassa noin 800 miljoonaa euroa. Hän on siitä lähtien yrittänyt saada Newportin kaupunkia kaivamaan kaatopaikkaa auki. Vieläkään ei ole onnistunut.

Toinen klassikko: Stefan Thomas unohti salasanan IronKey-USB-tikultaan. 7 002 BTC. Hänellä oli kymmenen yritystä ennen kuin tikku lukittuu pysyvästi. Jäljellä on kaksi. Ei painetta.

Tämä oli aikakautta, jolloin ihmiset louhivat bitcoineja kannettavalla ja säilyttivät niitä kuin mitä tahansa tiedostoja. Jälkiviisaus on kaunista.

2012–2014: Paperilompakoiden kulta-aika

Jossain vaiheessa joku tajusi, ettei kryptoja ehkä kannata pitää samalla koneella jolla katsoo Netflixiä. Syntyi paperilompakko — tulostettu QR-koodi, jossa julkinen ja yksityinen avain.

BitAddress.org oli suosituin generaattori. Idea oli yksinkertainen: generoit avainparin offline-selaimessa, tulostit sen, ja piilotit paperin jonnekin turvalliseen. Teoriassa loistava. Käytännössä:

• Ihmiset tulostivat avaimiaan WiFi-tulostimilla (jotka tallentavat tulostusjobeja)
• Paperi kastui, repesi tai katosi
• Joku hullu laminoi avaimensa ja hautasi ne puutarhaan (tämä on oikeasti tapahtunut)

Paperilompakko oli aikansa paras ratkaisu, mutta se vaati tasoa kurinalaisuutta, jota harva omasi.

2014–2016: Laitteistolompakot saapuvat

Vuonna 2014 Trezor julkaisi Model Onen — ensimmäisen kuluttajille suunnatun laitteistolompakon. Pieni USB-laite, joka allekirjoitti transaktiot offline ja näytti osoitteen omalla näytöllään.

Tämä oli käänteentekevä hetki. Yhtäkkiä ei tarvinnut olla Linux-guru pitääkseen avaimensa turvassa. Ledger seurasi perässä, ja nyt oli kokonainen tuotekategoria, joka perustui yhteen ideaan: avain ei koskaan poistu laitteesta.

No, ainakin niin väitettiin. Mutta siitä lisää kohta.

2017–2020: Multisig ja "älä luota yhteenkään laitteeseen"

Kun laitteistolompakot yleistyivät, foliohatut alkoivat kysyä seuraavaa kysymystä: entä jos itse laitteessa on bugi? Tai takaovi? Tai jos joku fyysisesti varastaa sen?

Syntyi multisig-kulttuuri. Sparrow Wallet, Specter Desktop, Casa — työkalut, jotka mahdollistivat usean laitteen allekirjoitusvaatimuksen. Ideana: yksikään yksittäinen laite ei voi liikuttaa varojasi. Tarvitset 2/3, 3/5 tai minkä tahansa konfiguraation.

2020–nykypäivä: Foliohatusta valtavirtaan

DeFi-buumi, NFT-huuma ja ennen kaikkea FTX:n romahdus vuonna 2022 tekivät "not your keys, not your coins" -mantrasta valtavirtaa. Yhtäkkiä jokainen krypto-YouTuber mainosti laitteistolompakoita.

Mutta foliohatut olivat olleet siellä vuosia aikaisemmin. Ja heidän ratkaisunsa menivät paljon syvemmälle kuin "osta Ledger".

Foliohatun turvallisuuspino 2026

Nyt kun tiedät mistä tulemme, mennään asiaan. Näin foliohattu oikeasti säilyttää kryptonsa vuonna 2026.

1. Pörssit ovat muiden ihmisten lompakoita

Foliohatun ensimmäinen sääntö: kryptopörssi on fiat-ramppi, ei säilytyspaikka. Ostat, siirrät, poistut. Koko prosessi kestää alle tunnin. Mielellään alle viisitoista minuuttia.

Miksi? Koska kun kolikot ovat pörssissä, ne eivät ole sinun. Ne ovat SQL-tietokannan rivejä jonkun toisen palvelimella. Jos pörssi hakeutuu konkurssiin, jäätyy tai saa hakkeroinnin, olet velkojien jonossa — et omistaja.

FTX:n asiakkaat odottivat yli kaksi vuotta saadakseen murto-osan varoistaan takaisin — ja nekin dollareissa, eivät kryptossa. Jos Bitcoin nousi sinä aikana 3x, se on sinun ongelmasi. Foliohattu ei joudu tähän tilanteeseen, koska hänen kolikkonsa eivät koskaan olleet pörssissä yön yli.

Konkreettisesti: osta pörssissä, siirrä omaan lompakkoon, poista API-avaimet, kirjaudu ulos. Tässä järjestyksessä.

2. Laitteistolompakko — mutta mikä ja miten

Laitteistolompakko on perusvaatimus, mutta foliohattu ei nappaa ensimmäistä Black Friday -tarjousta Amazon-ostoskoriin. Valinta tehdään periaatteella.

Avoin lähdekoodi on pakollinen. Trezor julkaisee laiteohjelmistonsa GitHubissa — kuka tahansa voi tarkistaa koodin. Ledger pitää osan lähekoodistaan suljettuna, mikä foliohatulle tarkoittaa yhtä asiaa: "mitä te piilottelette?"

Vuonna 2023 Ledger yllätti kaikki paljastamalla "Recover"-ominaisuuden, joka mahdollisti siemenlauseen jakamisen kolmansille osapuolille päivityksen kautta. Yritys väitti, ettei ominaisuus aktivoidu ilman käyttäjän lupaa. Foliohatun vastaus: "Jos laite pystyy lähettämään siemenlauseen ulos, se ei ole turvallinen. Piste."

Tämä on klassinen foliohattuargumentti, ja se on loogisesti aukotonta: turvallisuus ei voi perustua lupaukseen siitä, ettei jotain tehdä — sen pitää perustua siihen, ettei sitä voi tehdä.

Foliohatun suosikit 2026:

• Trezor Safe 5 — täysin avoin lähdekoodi, kosketusnäyttö, Shamir-tuki natiivisti
• SeedSigner — tee-se-itse-laitteistolompakko Raspberry Pi Zerolla. Kustannus noin 50 €. Täysin ilmaraollinen. Ei tallenna mitään — aina "kylmä"
• Coldcard Mk4 — Bitcoin-only, ilmaraollinen, MicroSD-allekirjoitus, turvapiiri

Yhteistä näille: mikään niistä ei koskaan yhdistä internetiin allekirjoitusta varten. Ja jokaisen koodi on tarkistettavissa.

3. Siemenlause — paperi on amatööreille

24 sanaa, jotka hallitsevat kaiken. Yksi huonosti suojattu siemenlause ja koko turvallisuuspino on arvoton. Paperi on maallikoille — se palaa, kastuu, repeytyy ja haalistuu.

Metalliin kaivertaminen on foliohatun minimi:

• Cryptosteel Capsule — irtonaiset metallikirjaimet kapselin sisällä, kestää 1200°C
• Blockplate — rei'itettävä teräslevy, ei irtonaisia osia
• Itse tehty — ruostumattomasta teräksestä stanssattu levy. Foliohattu rakentaa mielellään itse, koska silloin tietää tarkalleen mitä käsissään on

Mutta yksi metallilevy yhdessä paikassa on edelleen yksi vikapiste. Talo palaa, kassakaappi takavarikoidaan, vaimo löytää avioeron yhteydessä. Tästä päästään seuraavaan tasoon.

4. Shamirin salaisuusjako — hajautettu siemenlause

Tämä on kohta, jossa foliohattu erottuu harrastelijasta.

Shamirin salaisuusjako (Shamir's Secret Sharing, SSS) jakaa siemenlauseen esimerkiksi viiteen osaan, joista mitkä tahansa kolme riittävät palauttamiseen. Yksittäinen osa on matemaattisesti hyödytön — siitä ei voi päätellä mitään alkuperäisestä siemenlauseesta.

Trezor tukee tätä natiivisti SLIP-39-standardilla. Käytännössä:

• 5 metallista siemenlevyä
• Säilytetään viidessä eri fyysisessä sijainnissa: koti, pankin kassakaappi, luotettu sukulainen, toinen kaupunki, ulkomaat
• Yhden tai kahden levyn menetys tai varastaminen ei riitä palauttamiseen
• Kolme levyä yhdessä palauttaa kaiken

Tämä suojaa samanaikaisesti varkaudelta, tulipalolta, tulvalta, avioerolta ja yksittäisen sijainnin takavarikolta. Se on hajautettu turvallisuus — sama periaate, jolla Bitcoin itse toimii.

Pointti: jos siemenlauseesi on yhdessä paikassa, sinulla on luottamukseen perustuva turvallisuusmalli. Foliohattu ei tee luottamukseen perustuvia turvallisuusmalleja.

5. Multisig — älä luota yhteen laitteeseen

Shamirin jako suojaa siemenlausetta. Multisig suojaa itse allekirjoitusprosessia. Ne ovat eri asioita, ja foliohattu käyttää molempia.

Multisig (moniallekirjoitus) vaatii esimerkiksi 2/3 eri laitteistolompakkoa allekirjoittamaan siirron. Jos yhden laitteen laiteohjelmistossa on takaovi, hyökkääjä saa yhden allekirjoituksen kolmesta. Se on kuin avain, joka avaa yhden kolmesta lukosta — hyödytön yksinään.

Foliohatun multisig-esimerkki:

Siirto vaatii kaksi kolmesta. Yksittäisen laitteen varastaminen, takavarikointi tai rikkoutuminen ei menetä varoja eikä mahdollista varkautta. Ja koska laitteet ovat eri valmistajilta, yhden valmistajan laiteohjelmistobugi ei vaaranna koko järjestelyä.

Bitcoinilla tämä hoituu Sparrow Walletilla tai Specter Desktopilla. Ethereumin puolella Safe (entinen Gnosis Safe) on standardi.

6. Ilmaraollinen tietokone — digitaalinen eristysselli

Foliohattu ei koskaan yhdistä allekirjoituslaitetta internetiin. Hän käyttää air-gapped (ilmaraollista) tietokonetta, joka on käytännössä digitaalinen eristysselli:

• Vanha kannettava, josta WiFi-kortti ja Bluetooth-moduuli on fyysisesti poistettu (ei pelkästään ohjelmallisesti kytketty pois — fyysisesti irrotettu)
• Käyttöjärjestelmänä Tails OS USB-tikulta — käynnistys tikultia, ei kiintolevylle jää jälkiä
• Siirrot allekirjoitetaan offline ja siirretään QR-koodilla tai MicroSD-kortilla verkkoon yhdistettyyn laitteeseen

Tämä tarkoittaa, että vaikka allekirjoitustietokoneessa olisi haittaohjelma, se ei voi lähettää dataa mihinkään. Ei WiFiä, ei Bluetoothia, ei USB-dataa (vain virta). Se on tietokone, joka puhuu ulkomaailmalle vain pikseleillä (QR-koodi) tai muistikortilla.

Kyllä, tämä on vaivalloista. Siirtoon, joka normaalisti kestää 30 sekuntia, menee 15 minuuttia. Mutta foliohattu ei etsi mukavuutta. Hän etsii takeita.

7. Yksityisyyden kerrokset — koska omistaminen on riskitekijä

Omaisuuden suojaaminen ei riitä — foliohatun pitää suojata myös se tieto, että hänellä ylipäätään on kryptoja. Kryptomaailmassa julkisella avaimella voi nähdä koko lompakkosi saldon. Ja viiden dollarin jakoavain on edelleen kaikkein tehokkain hakkerointimenetelmä.

Verkkoliikenteen suojaus:

• Tor kaikkeen kryptoliikenteeseen — oma Bitcoin-solmu Torin yli
• VPN on heikko vaihtoehto (VPN-palveluntarjoaja näkee kaiken), mutta parempi kuin ei mitään
• Oma Bitcoin-solmu (Bitcoin Core, Umbrel tai RaspiBlitz) — niin blockchain-kyselyt eivät mene kolmannen osapuolen palvelimelle. Jos kysyt joltain muulta "mikä on lompakkoni saldo?", se toinen tietää mitä omistat

Transaktioiden yksityisyys:

• CoinJoin (Wasabi Wallet, JoinMarket) sekoittaa Bitcoin-siirtojen jäljet — teet yhteistyötransaktion muiden kanssa, jolloin ketjuanalytiikkayhtiö ei voi seurata rahavirtaa
• PayJoin tekee tavallisesta maksusta analytiikkayhtiöille mahdottoman erottaa sekoituksesta
• Monero (XMR) — kun tarvitset oletusarvoista yksityisyyttä ilman lisävaivaa. Monerossa jokainen transaktio on yksityinen ilman erityistoimia

Fyysinen turvallisuus (eli OpSec-perusteet):

• Älä koskaan puhu kryptoomistuksistasi julkisesti. Ei juhlissa, ei Twitterissä, ei edes äidille
• Ei kryptologoa autossa, vaatteissa tai läppärin tarrassa
• Jos joku kysyy, "omistatko kryptoja?", vastaus on aina: "myin ne 2018 tappiolla, huonoin sijoitukseni"

8. Hämäyslompakko — plausible deniability

Tämä on oikeasti nerokas juttu, joka tulee suoraan kryptografian maailmasta.

Foliohattu pitää hämäyslompakkoa (decoy wallet), jossa on uskottava mutta pieni summa kryptoa. Jos joku pakottaa avaamaan lompakon — fyysisesti tai oikeudellisesti — näytät tätä.

Trezor tukee tätä passphrase-ominaisuudella: sama siemenlause + eri salasana = täysin eri lompakko. Oletus-salasanalla (tyhjä) aukeaa hämäyslompakko pienellä summalla. Oikea varallisuus on toisen passphrasen takana, jonka olemassaoloa ei voi matemaattisesti todistaa.

Tämä on kryptografista uskottavaa kiistettävyyttä (plausible deniability). Kukaan — ei poliisi, ei tuomioistuin, ei hyökkääjä — voi todistaa, onko olemassa toista lompakkoa. He voivat epäillä, mutta todistaminen on matemaattisesti mahdotonta.

Tietysti: hämäyslompakossa pitää olla uskottava summa. Tyhjä lompakko ei vakuuta ketään. Pieni summa, joka vastaa "harrastelijatason" omistuksia, on paras strategia.

9. Perintösuunnitelma — koska foliohattukin on kuolevainen

Tässä on kryptoturvallisuuden suuri ironia: mitä paremmin suojaat varallisuutesi, sitä todennäköisemmin se katoaa ikuisesti kun kuolet. Arviolta 3–4 miljoonaa Bitcoinia on jo pysyvästi kadonnut — merkittävä osa kuolleiden omistajien mukana.

Foliohattu ratkaisee tämän:

• Perintökirje kassakaapissa — ohjeistaa luotetun henkilön keräämään Shamir-osuudet. Kirje ei sisällä avaimia, vaan prosessin
• Aikalukittu mekanismi — esimerkiksi Glacier Protocol -tyylinen järjestely, jossa asianajaja saa avausohjeistuksen vasta kuolintodistuksen jälkeen
• Multisig-avaimen luovutus testamentilla — yksi kolmesta avaimesta perijälle juridisen prosessin jälkeen
• Dead man's switch — palvelu joka lähettää ohjeet, jos et vahvista olevasi elossa tietyin väliajoin

Tämä on hankala tasapainottelu. Liian helppo perintöjärjestely heikentää turvallisuutta elinaikana. Liian monimutkainen tarkoittaa, ettei kukaan saa varoja kuoleman jälkeen. Foliohattu löytää keskitien — ja testaa järjestelyn vuosittain.

Foliohatut olivat oikeassa — historiallinen todistusaineisto

Tämä osio on omistettu kaikille, jotka joskus sanoivat foliohatulle "oletpa vainoharhainen". Spoileri: foliohatut ovat olleet oikeassa häiritsevän usein.

Mt. Gox (2014) — "Pörssi voi romahtaa"

Kryptomaailman alkuaikoina Mt. Gox käsitteli yli 70 % kaikista Bitcoin-transaktioista. Vuonna 2014 pörssi ilmoitti 850 000 Bitcoinin "katoamisesta". Foliohatut olivat varoittaneet Mt. Goxin turvallisuusongelmista vuodesta 2011 lähtien — ja heitä oli naurettu.

Lopputulos: Mt. Goxin velkojat saivat ensimmäiset korvaukset vasta vuonna 2024, kymmenen vuotta myöhemmin. Foliohattu, joka siirsi kolikkonsa pois 2012? Ei menettänyt senttiäkään.

Bitfinex (2016) — "Multisig ei pelasta, jos pörssi hallitsee avaimia"

Bitfinex käytti "edistyksellistä" multisig-ratkaisua BitGon kanssa. Hakkerit varastivat silti 120 000 BTC. Foliohatun opetus: multisig on turvaton, jos yksi osapuoli hallitsee kaikkia avaimia. Todellinen multisig tarkoittaa, että avaimet ovat eri henkilöiden, eri laitteiden ja eri sijaintien hallussa.

QuadrigaCX (2019) — "Entä jos pörssin omistaja kuolee?"

Kanadan suurimman kryptopörssin perustaja Gerald Cotten "kuoli" Intiassa. Hänellä oli ainoana henkilönä pääsy pörssin kylmälompakoihin. 250 miljoonaa dollaria asiakkaiden varoja katosi.

Foliohatut olivat kysyneet jo vuosia: "Mitä tapahtuu, jos pörssin ainoa avaintenhaltiija ei ole käytettävissä?" Vastaus oli: kaikki menetetään. Onko Cotten oikeasti kuollut? Kryptografiassa ei luoteta — varmistetaan.

Ledgerin tietovuoto (2020) — "KYC-data on aikpommi"

Ledgerin asiakastietokanta vuoti nettiin: 272 000 tilausta nimineen, osoitteineen ja puhelinnumeroineen. Seurasi fyysisiä uhkauksia, phishing-hyökkäyksiä ja kotirikoksia. Ihmiset, jotka olivat ostaneet turvalaitteen, joutuivat vaaraan koska ostivat turvalaitteen.

Foliohattu, joka osti Trezorinsa käteisellä kryptokonerenssista tai tilasi nimimerkillä prepaid-kortilla? Ei vuodossa. Foliohatun sääntö #47: turvalaite, jonka ostaminen vaatii henkilötietojesi luovuttamista, ei ole turvalaite.

Ledger Recover -skandaali (2023) — "Firmware voi pettää"

Kun Ledger ilmoitti Recover-ominaisuudesta, joka mahdollisti siemenlauseen jakamisen kolmansille osapuolille, koko kryptoyhteisö meni sekaisin. Ledger vakuutti, ettei ominaisuus aktivoidu automaattisesti.

Foliohatut olivat varoittaneet suljetun lähdekoodin riskeistä vuosikaudet. Heidän argumenttinsa: "Jos laiteohjelmisto pystyy lähettämään siemenlauseen ulos, turvallisuusmalli on rikki riippumatta lupauksista." Recover-paljastus todisti heidät oikeiksi.

FTX (2022) — "Keskitetty pörssi on vastapuoliriski"

FTX:n romahdus on foliohattujen suurin voitto ja samalla surullisin "I told you so" -hetki. Sam Bankman-Fried käytti asiakkaiden varoja hedge-rahastonsa tappioiden paikkaamiseen. 8 miljardia dollaria katosi.

Ennen romahdusta FTX näytti luotettavalta: suuri varallisuus, julkkismarkkinointia, stadium-nimeämissopimuksia, ja SEC-lobbausta. Foliohatut eivät luottaneet, koska foliohatut eivät arvioi luotettavuutta markkinointibudjetin perusteella.

OneCoin (2014–2019) — "Jos et voi tarkistaa lohkoketjua, sitä ei ole"

OneCoin keräsi yli 4 miljardia dollaria sijoituksia kryptovaluuttaan, jolla ei ollut lohkoketjua. Kirjaimellisesti. Se oli SQL-tietokanta, jonka lukuja muutettiin käsin.

Foliohatut totesivat alusta asti: "Näyttäkää lohkoketju tai se ei ole olemassa." Heitä kutsuttiin kateellisiksi. Kuusi vuotta ja miljardit euroa myöhemmin poliisi pidätti tekijät.

Celsius, BlockFi, Voyager (2022) — "Yield ei ole ilmaista"

"Talleta kryptosi meille ja saat 8 % korkoa!" Foliohattu kysyi: "Mistä se tuotto tulee?" Kukaan ei osannut vastata selvästi. Vuoden 2022 romahduksessa kaikki kolme hakeutuivat konkurssiin, ja asiakkaiden varat jäivät jumiin.

Foliohatun sääntö: jos et ymmärrä mistä tuotto tulee, sinä olet tuotto.

Yhteenveto: vainoharhaisuus on ominaisuus, ei bugi

Kryptojen historiassa systemaattinen epäluottamus on ollut paras sijoitusstrategia. Ei siksi, että kaikki olisi huijausta — vaan siksi, että tarpeeksi moni asia on ollut, ja etukäteen ei voi tietää mikä.

Foliohatun turvallisuuspino 2026:

Sinun ei tarvitse ottaa kaikkia askelia käyttöön. Mutta jokainen askel, jonka otat, tekee varallisuudestasi vaikeammin varastettavan, takavarikoitavan tai menetettävän.

Ja jos joku sanoo, että olet liian vainoharhainen? Hymyile ja sano: "Tsekkaa Mt. Goxin velkojien lista. Minua sieltä ei löydy."

Tänään vainoharhainen, huomenna oikeassa. Taas kerran.

Tämä artikkeli on yleistä tietoturvaopastusta eikä taloudellista neuvontaa. Tarkista aina paikallinen lainsäädäntö koskien yksityisyystyökaluja ja kryptovaluuttojen säilytystä.