怎么在SafeW中备份加密压缩包密钥文件？

功能定位与版本演进

SafeW Secure Workspace 把“加密压缩包密钥文件”视为独立资产，与沙盒镜像、策略包并列管理。自 7.0 起引入“国密/商密双通道加密”，7.2 把密钥导出做成向导式，并新增“硬件指纹变更即自动冻结”机制，解决“换主板后密钥失效”的老大难问题。

关键词“备份加密压缩包密钥文件”在 SafeW 语境里特指：将沙盒内生成的 .zkey（含 SM4-XTS 与 AES-256-XTS 双密文头）复制到外部介质，同时保留 TPM 2.0 绑定记录，以便在设备损毁或重装后仍可解密历史压缩包。

操作路径（桌面端）

以 Windows 11 24H2、SafeW 7.2 为例，最短路径：

1. 在隐形桌面中按 Alt + Shift + S 调出“安全工具箱”；
2. 依次点 密钥管理 → 导出 → 加密压缩包密钥；
3. 向导第 1 页勾选“同时导出国密头”，第 2 页选择“离线 U 盘”（需 FAT32，NTFS 会被拒绝）；
4. 插入 U 盘后立即双击系统托盘 SafeW 图标，输入沙盒口令，完成指纹签名；
5. 导出完毕会生成两个文件：workspace.zkey 与 workspace.zkey.tpm，后者为 TPM 封印记录。

若托盘图标被隐藏，可在任务管理器“详细信息”页手动启动 SafeWTray.exe，路径因安装方式而异，请以实际为准。

操作路径（移动端）

SafeW 移动版（Android 13 及以上）仅支持“只读导入”，不提供密钥导出，防止 USB-C 口被恶意 Hub 嗅探。若需在手机端查看压缩包，可先把 .zkey 与对应 .zip 拷到电脑，用桌面端解密后，再通过“隐形桌面 → 文件中转站”扫码分发到 SafeW 移动端沙盒。

失败分支与回退方案

常见卡在“TPM 签名失败 0x80280005”：原因是主板更换或 BIOS 清空。此时 SafeW 会强制进入“48h 社交恢复倒计时”，无法立即导出。回退步骤：

• 在另一台已授信设备登录同一账号，打开“守护人中心”发送在线签名；
• 收集 ≥51% 守护人签名后，系统会生成新的 tpm-recovery.blob，拷回原机即可重新导出。

经验性观察：若守护人分布在 3 个时区，平均等待时间可能从 48 h 延长到 72 h，建议提前把守护人拉进同一 Telegram 群，用 Bot 提醒在线。

最佳实践清单

1. 每季度执行一次“导出+校验”循环：解密 1 个旧压缩包，确认双算法头完整；
2. U 盘用 FAT32 且只分一个区，避免 SafeW 误识别为多分区移动硬盘而拒绝写入；
3. 把 .zkey 与 .zkey.tpm 分开存放：前者放银行保险箱，后者放公司保险柜，降低单点失窃风险；
4. 在导出日志里复制“SHA-256 指纹”到纸质密码本，防止 U 盘位翻转导致静默损坏；
5. 若公司合规要求“密钥不出境”，请在导出向导第 3 页把“允许云暂存”取消勾选，SafeW 会强制走本地通道，耗时可能增加数十秒。

不适用场景

1. 个人家庭 NAS 备份：SafeW 导出的 .zkey 仍依赖 TPM 2.0 封印，换主板即失效，不适合纯家庭环境；
2. 多人共享压缩包：密钥与设备指纹强绑定，无法像传统 Zip 密码那样口头告知同事；
3. 离线长存 ≥10 年：TPM 2.0 规范仍在演进，经验性观察提示 5~7 年后可能出现验证失败，建议同时保留纸质打印的恢复码。

验证与观测方法

完成导出后，可立即在 SafeW 主界面按 Ctrl + D 打开“诊断面板”，输入指令：

verify-key /path/to/workspace.zkey

若返回 Dual-Header: SM4-XTS + AES-256-XTS [OK] 且下方无红色 TPM 告警，即表示备份可用。

FAQ

总结与下一步

SafeW 的加密压缩包密钥备份逻辑是“先隔离、后放行”的延伸：默认把密钥锁在 TPM，只有主动导出才能脱离设备。只要按季度执行“导出-校验-异地存放”三步，即可在硬件损毁、主板更换、社交恢复窗口内完成无损还原。下一步，建议你把本文最佳实践清单打印贴机，设置日历提醒，每 90 天跑一次完整流程，确保关键时刻压缩包能解得开、拿得到、用得起。