O Trezor Host Protocol (THP) é o protocolo open-source que adiciona criptografia de ponta a ponta à Trezor Safe 7 — funcionando tanto via Bluetooth quanto via USB-C e bloqueando ataques mesmo que o próprio Bluetooth seja comprometido.
O Trezor Host Protocol (THP) é o protocolo de comunicação segura desenvolvido pela Trezor para proteger toda a troca de dados entre a Trezor Safe 7 e o aplicativo Trezor Suite. Diferente dos protocolos usados em modelos anteriores, o THP opera como uma camada independente do meio físico — seja Bluetooth BLE ou USB-C — garantindo que nenhuma mensagem possa ser interceptada, alterada ou injetada por terceiros.
A iniciativa responde a uma necessidade concreta: Bluetooth, apesar de conveniente, não foi projetado para cenários de segurança financeira de alto nível. Ao longo dos anos, pesquisadores documentaram vulnerabilidades como BlueBorne, KNOB e BIAS em diferentes versões do protocolo. Para uma hardware wallet que custodia chaves privadas, depender exclusivamente da segurança nativa do Bluetooth seria tecnicamente inadequado.
O que é o Trezor Host Protocol e como ele funciona
O THP pode ser entendido como o equivalente ao HTTPS para a comunicação da Trezor: uma camada de criptografia que protege os dados independentemente do canal de transporte. Assim como o HTTPS funciona tanto em redes Wi-Fi quanto em conexões cabeadas, o THP opera da mesma forma sobre Bluetooth ou USB-C.
O protocolo organiza a comunicação em quatro camadas distintas, cada uma com responsabilidade específica:
Transporte físico dos dados via Bluetooth BLE ou cabo USB-C. É o meio, não a proteção.
Multiplexação de conexões, segmentação de pacotes, detecção de erros e sincronização entre dispositivos.
O núcleo do THP. Criptografa e descriptografa todas as mensagens usando o Noise Protocol Framework (handshake XX).
Gerenciamento de sessões e codificação de mensagens no formato Protocol Buffers, para comunicação com o Trezor Suite.
A camada L3 é baseada no Noise Protocol Framework, especificamente no padrão de handshake XX — o mesmo utilizado por aplicativos como WhatsApp e pelo protocolo VPN WireGuard. O handshake gera duas chaves de sessão únicas: uma para cada direção da comunicação. Se qualquer anomalia for detectada — mensagem inesperada, formato inválido ou falha de verificação —, a conexão é imediatamente encerrada.
Double pairing e invisibilidade: segurança Bluetooth em camadas
Um dos diferenciais mais técnicos do THP é o sistema de double pairing. Além do pareamento Bluetooth convencional, o protocolo exige uma segunda etapa de verificação exclusiva do THP. O processo ocorre da seguinte forma ao conectar a Safe 7 a um novo dispositivo pela primeira vez:
- ✅ Etapa 1 — Pareamento Bluetooth padrão: o celular ou computador e a Safe 7 se conectam via BLE e confirmam o código de pareamento inicial.
- ✅ Etapa 2 — Handshake criptográfico THP: o protocolo executa o handshake XX do Noise Framework, gerando chaves de sessão criptográficas únicas para aquela conexão.
- ✅ Etapa 3 — Verificação visual: um código de segurança é exibido na tela da Safe 7. O usuário o digita no Trezor Suite para confirmar que o dispositivo correto está conectado — bloqueando qualquer tentativa de ataque man-in-the-middle.
- ✅ Etapa 4 — Credencial de pareamento: após confirmação, a Safe 7 emite uma credencial criptográfica para aquele host. Nas conexões seguintes, o canal seguro é restabelecido automaticamente.
Além do double pairing, o THP implementa um mecanismo de invisibilidade: a Safe 7 não aparece em buscas Bluetooth genéricas. Ela responde apenas a dispositivos que possuam a credencial emitida durante o pareamento, eliminando o risco de rastreamento passivo — uma preocupação legítima para quem utiliza hardware wallets em ambientes públicos.
Por que o isolamento do chip Bluetooth importa
Na Safe 7, o chip Bluetooth é um componente separado, sem acesso direto aos Secure Elements (TROPIC01 + Optiga Trust M EAL6+) onde ficam as chaves privadas. O Bluetooth funciona apenas como canal de transporte — os dados que transitam por ele já estão criptografados pelo THP. Toda transação exige confirmação física na tela do dispositivo. Comprometer o Bluetooth exigiria quebrar simultaneamente: o protocolo Bluetooth, o THP, o isolamento do chip e a confirmação física. Cada camada é independente da outra.
THP é open-source: qualquer um pode auditar o código
O THP segue a filosofia de transparência total da Trezor: toda a especificação técnica e a implementação de referência estão disponíveis publicamente no repositório trezor-firmware no GitHub. Qualquer pesquisador de segurança pode inspecionar, testar e apontar falhas. A Trezor mantém ainda um programa de recompensas (Security Bounty) para quem encontrar vulnerabilidades.
Essa abordagem contrasta com os protocolos Bluetooth da Ledger e da SecuX, que são closed-source. Tanto Ledger quanto SecuX oferecem criptografia e confirmação na tela do dispositivo — o que representa segurança adequada para hardware wallets —, mas seus protocolos não podem ser auditados publicamente. O THP é o único protocolo open-source do setor com double pairing e invisibilidade a escaneamento.
📌 Nota editorial
Conforme declarou Tomáš Sušanka, CTO da Trezor, em documentação técnica oficial: mesmo que o Bluetooth fosse completamente comprometido por um atacante, o THP garantiria a segurança das comunicações de forma independente. A especificação completa está disponível em trezor.io.
Quais modelos Trezor usam o THP — e o que muda para outros modelos
Atualmente, o Trezor Host Protocol está implementado apenas na Trezor Safe 7, o primeiro e único modelo da linha com conectividade Bluetooth. Modelos anteriores — como a Trezor Safe 5 — utilizam exclusivamente USB e o protocolo Codec v1, que não inclui criptografia na camada de transporte, mas exige confirmação física na tela para toda operação.
Para quem busca aprofundamento técnico sobre como configurar e operar dispositivos Trezor com segurança, a KriptoBR oferece um curso dedicado, do básico ao avançado, com suporte em português.
Posso desativar o Bluetooth na Safe 7?
Sim. A Safe 7 permite desativar o Bluetooth completamente nas configurações do dispositivo. Quando desativado, o aparelho opera exclusivamente via cabo USB-C, como qualquer hardware wallet cabeada. Essa flexibilidade é relevante para quem prefere isolamento máximo ou utiliza o dispositivo em ambientes controlados, como um cofre ou estação de trabalho dedicada.
Perguntas frequentes sobre o THP
- ✅ O Bluetooth da Safe 7 é seguro? Sim. O THP opera independentemente do Bluetooth. Mesmo que o protocolo BLE fosse comprometido, o THP manteria as comunicações seguras. Toda transação exige confirmação física na tela.
- ✅ O THP é realmente open-source? Sim. Especificação e implementação estão no GitHub da Trezor, auditáveis por qualquer pesquisador de segurança independente.
- ✅ O que é o double pairing? Um sistema de verificação dupla: além do pareamento Bluetooth padrão, o THP exige confirmação via código exibido na tela da Safe 7, bloqueando ataques man-in-the-middle.
- ✗ Ledger e SecuX têm o mesmo protocolo? Não. Ledger e SecuX oferecem Bluetooth com criptografia e confirmação na tela — segurança adequada —, mas seus protocolos são closed-source, sem double pairing nem invisibilidade a escaneamento.
- ✗ Outros modelos Trezor usam THP? Não. O THP está disponível apenas na Safe 7, único modelo Trezor com Bluetooth. A Safe 5 e demais modelos operam via USB com protocolo Codec v1.
🔗 Leitura recomendada
Para quem utiliza ou considera a guarda física de frases de recuperação, o guia definitivo da Trezor Keep Metal detalha como proteger as 24 palavras de recuperação em metal resistente a fogo e água.
Contexto: por que o Bluetooth exige atenção especial em hardware wallets
Bluetooth é uma tecnologia de alcance curto projetada para conveniência, não para segurança financeira. Vulnerabilidades como BlueBorne (2017) permitiam execução remota de código em dispositivos BLE sem qualquer interação do usuário. O KNOB Attack (2019) permitia reduzir a força da criptografia Bluetooth a ponto de torná-la quebrável. O BIAS Attack (2020) explorava falhas no processo de autenticação. Nenhuma dessas vulnerabilidades afetaria a Safe 7, pois o THP opera em uma camada completamente independente do Bluetooth — mas elas ilustram por que uma camada adicional de proteção é tecnicamente justificada.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Hardware wallets com suporte técnico em português
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Trezor Safe 7 vs Ledger Flex: comparativo técnicoUm olhar técnico sobre as diferenças de arquitetura de segurança entre os dois modelos premium com Bluetooth do mercado.
🔑 O que é o Noise Protocol FrameworkConheça o padrão criptográfico usado pelo WhatsApp e WireGuard que também está no núcleo do THP da Trezor.