功能定位:为什么 SafeW 要提供“加密 CSV + 离线密码”
SafeW 的核心卖点是“零日志 + 量子抗性”,但节点日志、分流规则、临时邮箱地址等配置数据仍落在本地。导出加密 CSV 并设置离线访问密码,本质是把“可复原的配置快照”从云端隔离出来,方便用户在断网、审计或账号迁移时快速还原环境,同时避免明文泄露。该功能在 2026-02-24 发布的 3.2.0 中正式下线测试标签,成为所有付费档的默认模块。
与“WireGuard 配置文件导出”不同,加密 CSV 额外叠加了一层本地密码信封,解密过程完全离线,不依赖 SafeW 服务器在线状态;这也意味着一旦密码遗忘,官方无法协助找回,属于“高安全、高自负责任”场景。
操作路径:桌面端与移动端的最短入口
Windows / macOS(界面语言以简体中文为例)
- 主界面左上角 ≡ 菜单 → 设置 → 高级 → 配置快照。
- 选择“导出加密 CSV”,在弹窗里勾选需要包含的模块:节点列表、分流规则、临时邮箱、AI 过滤日志(可多选)。
- 输入“离线访问密码”两次,密码长度 8–64 位,必须含大小写 + 数字;下方会实时显示强度条。
- 点击“生成”,等待进度条完成;文件默认保存在下载目录,命名格式 safew_config_YYYYmmdd_HHMMSS.csv.enc。
Android / iOS
- 首页 → 我的 → 设置 ⚙️ → 隐私与安全 → 本地备份。
- 选择“加密 CSV 导出”,系统会提示“此文件脱离 SafeW 后无法远程擦除”,点“继续”。
- 设定离线密码,移动端默认调用系统级密码键盘,可勾选“隐藏预览”防肩窥。
- 导出完成后,文件存于系统 Download/SafeW 文件夹;iOS 会额外弹出“是否保存到文件 App”引导。
提示
若你启用了“隐私沙盒”模式(Android),导出目录会被重定向到 Sandbox/Archive,需通过系统文件管理器手动复制出来,否则卸载 App 会连带删除。
阈值与测量:怎样判断“值得导出”
加密 CSV 一旦生成,文件体积 ≈ 节点数 × 1.2 kB + 规则数 × 0.3 kB。经验性观察:个人用户 100 节点 + 50 条分流规则,最终文件约 150 kB,导出耗时在旗舰手机不到 3 秒,低端机可能 10 秒左右。若你的节点池大于 500 或启用了“AI 过滤日志”,体积会线性膨胀,建议关闭日志项再导出,可缩小 60 % 以上。
合规场景举例:某远程办公团队需每季度向欧盟客户提供“零日志证明”,以往用截图 + PDF,现在直接递送加密 CSV,客户用公开脚本离线解密即可校验节点哈希,与链上 ZT-LinkProof 比对,全程不暴露私钥。
方案 A/B:加密 CSV vs. 明文 JSON 配置
| 维度 | 加密 CSV | 明文 JSON |
|---|---|---|
| 离线可读 | 需密码,防肩窥 | 任何编辑器直接打开 |
| 文件体积 | 略大(含随机盐) | 最小 |
| 跨版本兼容 | ≥3.2.0 支持向后导入 | 全版本通用 |
| 密码遗忘可找回 | 不可 | N/A |
结论:若你需要把配置文件交给同事或存放在第三方云盘,优先选加密 CSV;若只是本地快速回滚,明文 JSON 更省空间。
例外与取舍:哪些数据不会被写进 CSV
- 临时邮箱已销毁的邮件正文:仅保留地址与创建时间,用于审计。
- AI 过滤日志若超过 10 万条,默认截断最早 20 %,防止超大文件导致邮件系统拒收。
- ZT-LinkProof 的链上哈希只写入索引,不含原文件,接收方需自行链上查询。
- 账号令牌、订阅到期日等敏感字段被显式排除,避免离线文件成为“通行证”。
警告
如果你用企业 SAML 登录,导出后切换至 eIDAS 2.0 身份,再导入旧 CSV 会导致“令牌不匹配”错误。解决方法是先在设置里断开 SSO,导入完成后再重新绑定。
例外与取舍:哪些数据不会被写进 CSV
监控与验收:如何确认文件完整可用
- 文件末尾必须包含 32 字节 HMAC,否则解密脚本会报错“签名缺失”。
- 用 SafeW 官方离线解密工具(GitHub 开源)执行:
python decrypt_csv.py -f xxx.csv.enc -p <你的密码>,若输出“OK”即通过。 - 随机抽查 5 条节点 IP,与在线节点列表比对,确认无缺失。
- 在另一台干净设备导入,观察“分流规则”是否立即生效,可用
ping -c 4 example.com验证是否走指定出口。
故障排查:常见错误码与处置
| 现象 | 可能原因 | 验证步骤 | 处置 |
|---|---|---|---|
| 导出按钮灰色 | 节点缓存正在重建 | 看通知栏是否显示“节点更新中” | 等待完成或手动停止更新 |
| 提示“密码强度不足” | 缺少特殊字符 | 观察强度条是否红色 | 加入符号或延长至 12 位以上 |
| 解密时报“HMAC 不匹配” | 文件被篡改或下载不完整 | 对比文件大小与导出日志 | 重新导出并校验 SHA-256 |
适用/不适用场景清单
适用
- 跨境团队季度合规审计,需离线递交节点快照。
- 个人更换新手机,想一次性带走分流规则,不走云端同步。
- 加密货币 OTC 群组共享“干净节点列表”,要求接收方离线验证。
不适用
- 需要频繁增量同步:CSV 是全量快照,无法合并差异。
- 密码管理困难人群:遗忘即永久丢失,无法远程重置。
- 文件需公开托管且无法加密传输:HMAC 仅防篡改,不防泄漏。
最佳实践 5 条
- 导出前关闭“AI 过滤日志”,可把体积压缩 60 % 以上。
- 密码用 passphrase + 数字符号,长度 12 位即可抗暴力破解。
- 文件传出前计算 SHA-256 并写进 README,方便对方校验。
- 把 CSV 与解密脚本分开存放,降低社工捆绑风险。
- 每季度重新导出一次,避免节点失效导致还原失败。
FAQ(必须使用 FAQPage Schema)
加密 CSV 能否直接导入旧版 SafeW?
不能。加密 CSV 需要 3.2.0 及以上版本的解密模块;旧版请先用最新版客户端解密成明文 JSON,再导入旧版。
忘记离线密码怎么办?
SafeW 不存储密码,也无法远程重置。只能重新导出新的加密 CSV,并妥善备份新密码。
导出过程断网会影响文件完整性吗?
不会。加密在本地完成,断网仅导致节点列表无法增量更新,最终文件仍可用,只是节点可能不是最新。
可以把加密 CSV 放在 iCloud Drive 吗?
可以,但建议再套一层压缩包密码,防止云盘账号被爆破后文件直接泄漏。
企业版订阅到期后还能解密吗?
可以。解密脚本开源,不校验订阅状态;但导出功能需有效订阅,到期前请提前备份。
收尾:下一步行动建议
看完本篇,你已知道 SafeW 导出加密 CSV 并设置离线访问密码的完整流程、性能阈值与合规边界。建议立即打开客户端,按“设置 → 高级 → 配置快照”走一遍空运行:不勾选任何模块,先熟悉按钮位置;第二步再正式导出一份最小快照,用官方脚本验证解密,确认无误后,把密码写进物理密码管理器并删除电子明文记录。这样,即便后续要跨境审计、断网还原或设备迁移,都能在数十秒内完成环境重建,而无需担心云端泄漏或订阅过期导致的锁定。