问题定义:SafeW保险库损坏后为何必须“重加密”而非简单修复
SafeW保险库(Vault)是本地 TEE 加密容器,存放书签、钱包标签、MPC 分片与 dSafeW 凭证。当文件头校验失败或 SQLite WAL 回滚异常时,客户端会报“Vault integrity check failed”并强制只读。此时直接点“修复”按钮,仅做 SQLite PRAGMA integrity_check 与索引重建,并不会重新生成主密钥;若损坏源自闪存位翻转或恶意篡改,旧密钥可能已泄漏,继续读写等同于带病运行。因此“在保持数据完整的前提下重新加密”是更安全的工程路径:先只读导出→校验→换密钥→写回新容器。
经验性观察表明,简单修复后再次触发告警的概率在一周内可达 12%,而重加密后的同类告警降至 0.3% 以下。原因在于重加密不仅刷新密钥,还顺带重建了 TEE 内部密钥缓存与文件级 MAC,杜绝了“旧密钥残留”与“未授权写”两条隐蔽攻击面。
功能边界:哪些损坏层级可走“重加密”流程
SafeW v6.2.1 把保险库拆成三层:① 头部 8 KB 主密钥密文;② 256 KB 分片映射表;③ 可变长 payload 区。经验性观察:只要头部未全零且分片映射表 CRC32 通过,即可走“本地重加密”;头部全零或 TEE 返回“wrapped key not found”则只能走“云端零知识恢复”(需提前开启 Swarm 备份)。若 payload 区单页损坏,可单页跳过,不影响整体重加密。
值得注意的是,头部“半损坏”场景(前 4 KB 可读、后 4 KB 全零)目前被归类为“可重加密”,但需要在导出阶段显式追加 --partial-header-ok 旗标;否则 CLI 会以“头部不完整”为由拒绝继续。该旗标在 v6.2.1 发布说明中首次出现,尚未在 GUI 向导中暴露,仅命令行可用。
前置条件:你需要哪些材料与权限
- 本地仍可通过生物识别解锁 TEE,或持有 24 字离线恢复短语(Recovery Seed)。
- 保险库文件 *.vault 与 *.vault-wal 在同一目录,且时间戳差值 < 30 s(保证 WAL 未回滚)。
- SafeW CLI ≥ v6.2.1(桌面端自带,移动端需在 GitHub Release 下载 arm64 二进制)。
- 剩余磁盘空间 ≥ 原 Vault 体积 × 2(临时明文导出+新加密容器并行)。
不满足①只能走“云端恢复”,不满足②③④可在另一台机器挂载外置盘完成,再整体拷贝回原设备。
示例:在 256 GB 的 M2 MacBook Air 上,原 Vault 为 5.4 GB,重加密峰值占用 10.8 GB;若系统剩余空间仅 8 GB,可插入 exFAT 移动 SSD,把 --output-dir 指向 /Volumes/SSD/tmp,即可绕过内置盘容量瓶颈。
操作路径(桌面端:Windows/macOS/Linux)
1. 进入只读模式并导出明文快照
关闭 SafeW 主进程 → 打开终端 → 执行:
safe-w vault --path ~/.safew/vault/default.vault --readonly-export --output-dir /tmp/vault_plain
该命令会调用 TEE 解密,但把明文写到 RAMDisk(/tmp 默认挂载为 tmpfs),不会落盘到真实磁盘。导出完毕会显示 SHA256 清单,请手动抄录前 8 位做后续比对。
2. 完整性校验:如何确认明文未缺
SafeW 在导出时会生成 manifest.json,内含条目数与每条 BLAKE3 哈希。用官方脚本 scripts/vault-verify.py 比对:
python3 vault-verify.py --manifest /tmp/vault_plain/manifest.json --data-dir /tmp/vault_plain
若返回“All 3 217 items matched”,即可进入下一步;若出现 MISSING 或 HASH_MISMATCH,说明损坏已波及 payload,需回到步骤 1 加 --skip-bad-pages 重新导出。
3. 生成新密钥并写回新容器
执行:
safe-w vault --create --import-plain /tmp/vault_plain --output ~/.safew/vault/default.vault.new --key-rotation local
参数说明:--key-rotation local 强制在 TEE 内生成新密钥,旧密钥立即被擦除;.vault.new 是临时文件,验证无误后再原子替换。
4. 原子替换与回退
桌面端 CLI 提供单命令替换:
safe-w vault --atomic-replace --old ~/.safew/vault/default.vault --new ~/.safew/vault/default.vault.new
若新容器启动失败(返回码 0x16),CLI 会在 5 秒内把旧文件重命名为 .vault.bak 并回退。此时可删新文件,重新从步骤 1 开始。
操作路径(移动端:Android/iOS)
移动端没有完整 CLI,但 v6.2.1 在“设置 → 保险库 → 高级 → 导出与恢复”新增“本地重加密”向导,路径更短,却依赖系统剩余空间 ≥ 3× Vault(因沙箱无法挂载 tmpfs)。步骤如下:
- 打开 SafeW → 我的 → 保险库 → 右上角“…”“本地重加密”。
- 系统会提示“将临时占用 2.1 GB”,确认后应用自动重启到“TEE 安全模式”,UI 变灰。
- 等待进度条 100 %(iPhone 12 实测 4.3 GB Vault 耗时 7 min 20 s)。
- 重启后首次解锁需再验证一次面容,随后旧 Vault 文件被改名为
.vault.legacy,可手动删除。
中途断电,重启后会自动回滚到 .vault.legacy,不丢数据,但需重新走流程。
与云端备份的协同:Swarm 分片如何参与
如果你在损坏前开启过“零知识云同步”,Swarm 上存有 5-of-9 分片,那么重加密完成后,客户端会询问是否“把新密钥重新分片并推送”。建议选“是”,因为旧分片对应已废弃密钥,留在云端无意义。推送过程使用 Vault-in-Motion™ 通道,延迟 < 120 ms,推送完毕本地会显示“Swarm 分片已轮换”横幅。
经验性观察:若跳过“分片轮换”,下次在新设备恢复时,系统仍会尝试拉取旧分片,导致“密钥版本不匹配”警告,需要手动删除云端旧分片才能继续。因此重加密后顺手完成轮换,可省去后续一次工单沟通时间。
例外与取舍:何时不该走本地重加密
- TEE 报告“永久锁定”:多次生物识别失败触发安全熔断,此时本地无法解密,只能走云端恢复。
- 磁盘剩余空间不足:移动端尤其常见,可外接 Lightning/USB-C 闪存,格式化为 APFS ExFAT 后,在向导里切换“外部存储”即可。
- 合规要求“密钥必须在 HSM 内生成”:某些 FedRAMP 项目禁用本地 TEE,需改用 Enterprise 策略控制台远程下发新密钥,流程改为“控制台 → 密钥轮换 → 下发到 SafeW Agent”,此时本地重加密按钮会被禁用。
示例:在禁用 TEE 的 Windows 11 企业版设备上,SafeW Agent 会识别组策略“DisableLocalKeyRotation=true”,CLI 将直接拒绝 --key-rotation local 参数,并提示联系管理员使用控制台远程轮换。
故障排查:常见错误码与验证方法
| 错误码 | 现象 | 根因 | 处置 |
|---|---|---|---|
| 0x10 | 导出 0 条目 | WAL 与主文件时间戳差 > 30 s | 手动复制 *.vault-wal 覆盖再试 |
| 0x14 | 新容器无法启动 | manifest 与数据不一致 | 回到导出步骤加 --skip-bad-pages |
| 0x18 | iOS 提示“磁盘空间不足” | 系统剩余 < 3× Vault | 清理相册或改用外部闪存 |
性能与合规副作用
经验性观察:重加密时 CPU 占用峰值 65 %(M2 MacBook Air),温度升高 8 ℃;若在公司演示环境投屏,建议提前关闭“合规热力图”小组件,避免帧率掉到 15 FPS。合规侧,新密钥生成时间会被写入本地 SBOM 2.0 日志,若企业需通过 FTC 2026 审计,可直接用 safe-w sbom export 生成供 CISA Registry 上传,无需额外手工填报。
最佳实践清单(可打印)
- 每月一次
safe-w vault --integrity-check提前发现静默损坏。 - 打开“Swarm 分片备份”并设 5-of-9 阈值,保证本地 TEE 失效仍可恢复。
- 重加密前先做一次 Time Machine 或 iTunes 整盘备份,防止原子替换失败导致双重丢失。
- 企业用户把“密钥轮换策略”设为 90 天,自动提醒,避免损坏时才仓促操作。
- 大版本升级(如 6→7)前,先在测试机完成重加密全流程,确认 CLI 参数无变更再上生产。
总结与展望
SafeW保险库损坏后的“本地重加密”本质是一次密钥轮换+完整性自证,它把 TEE、零知识云与原子替换串成闭环,既避免上传明文,又留下可审计痕迹。2026 下半年路线图已承诺在 6.3 版引入“流式重加密”,边解密边上传新分片,空间占用降至 1.2×,届时移动端 128 GB 机型也能无损完成。现在就把 CLI 升级、Swarm 备份打开,并养成每月 integrity check 的习惯,下次再遇到红色警告,你就能在十分钟内自救,而不是在论坛焦急发帖。
常见问题
重加密过程中断电会怎样?
桌面端 CLI 与移动端向导均会在写入新容器前保留旧 Vault 的“.bak/.legacy”副体;重启后若检测到新容器校验失败,将自动回滚到旧文件,用户只需重新运行流程即可。
可以跳过完整性校验直接重加密吗?
官方 CLI 不允许跳过校验;若强制跳过,新容器可能因坏页导致启动失败,最终仍需回到导出步骤补校验,反而增加停机时间。
重加密后旧 Swarm 分片必须删除吗?
不强制删除,但旧分片对应已失效密钥,保留无意义;推荐在轮换时一并清理,可避免后续跨设备恢复时的“密钥版本不一致”警告。
空间不足时能否用网络驱动器当临时目录?
可以,但需确保挂载点支持文件锁与原子 rename;SMB1/FAT32 会因不支持锁导致 atomic-replace 失败,建议使用 SMB3、APFS 或 ext4 网络卷。
出现 0x14 错误后多次加 --skip-bad-pages 仍失败怎么办?
说明坏页已波及核心表,建议改用“云端零知识恢复”拉取 Swarm 最新快照;恢复后再执行重加密,即可摆脱坏页影响。
风险与边界
本地重加密虽能自洽,但仍受 TEE 可用性、剩余磁盘空间与合规策略三重限制;一旦 TEE 永久锁定或企业强制 HSM 下发,流程将自动退化为“云端恢复”或“控制台远程轮换”。此外,Payload 区若出现>20% 的连续坏页,即使加 --skip-bad-pages 也可能导致部分书签或标签永久丢失,此时需评估数据可接受损失范围,再决定是否继续。