功能定位：为什么需要“加密CSV”而非普通导出

SafeW 的共享密码库（Shared Vault）面向多人协作场景，例如 DAO 财务小组、跨境电商客服团队，需要把 200+ 条链上地址、API Key、支付密码统一托管并定期离线备份。普通 CSV 虽然通用，却明文落地；加密 CSV 在导出瞬间用 AES-256-GCM 对列字段做信封加密，私钥仅保存在本地 TEE，即使备份硬盘丢失，也无需惊慌。

经验性观察：2026 年 2 月后，SafeW 社区求助帖中“密码库误删”类事件环比下降约三成，多数案例在导出加密 CSV 后通过本地恢复找回。可见该功能的核心价值是“把云端协作风险转回用户可控的物理边界”。

与相近功能的边界：加密 CSV ≠ 社交恢复分片

社交恢复分片（Social-Recovery shards）解决“私钥丢失”问题，加密 CSV 解决“数据丢失”与“合规审计”问题。前者拆成 5 份、需 3 份才能恢复私钥；后者是一份整体文件，需本地主密码或 NFC 硬件卡才能解密。两者可叠加使用：先导出加密 CSV，再把文件哈希写入链上存证，兼顾抗篡改与抗丢失。

操作路径：Android、iOS、桌面端最短入口

Android（SafeW v5.4.2 及以上）

打开 SafeW → 底部导航栏「Vault」→ 右上角「⁝」→「Shared Vaults」
选择目标共享库 → 点击顶部「Export」→ 选择「Encrypted CSV」
系统弹出 TEE 认证，指纹或面容验证后，设定本地加密密码（≥12 位，含符号）
选择保存路径：本地 Download/ 或插入的 OTG U 盘；点击「Export」即可生成 .csv.enc 文件

iOS（需 iOS 17.4+，TestFlight 版亦可）

底部「Vault」→ 右上角「…」→「Shared Vaults」
进入库后长按顶部标题 → 快捷菜单中选「Export Encrypted CSV」
Face ID 验证 → 输入导出密码 → 选择「保存到文件」或「隔空投送」
若提示“文件过大”，可改用「分卷模式」，系统会自动生成 part1/2/3，每卷 ≤50 MB

桌面端（macOS/Windows，v5.4.2）

左上角「File」→「Vault」→「Open Shared Vault」
右侧工具栏「Export」→「Encrypted CSV」
插入 SafeW-NFC 卡并触碰读卡器，完成 2FA；输入导出密码
选择保存目录，勾选「同时生成 SHA-256 校验文件」，方便后续审计

提示

导出密码≠SafeW 登录密码；忘记后无法找回，建议用密码管理器单独保存。

失败分支与回退方案

若 NFC 卡不在身边，桌面端会提示“Hardware 2FA unavailable”，此时可点「Switch to Biometric」临时改用面容，但单日限额受“生物识别支付限额”约束（默认 2000 USDC 等值）。超限需等待 UTC 00:00 重置，或改用移动端导出再 AirDrop 到电脑。

如果导出时提示“Vault is syncing”，说明共享库正在合并他人更新。经验性观察：等待 30–90 秒可自动完成；若仍卡住，可让其他成员暂时停止编辑，或切换至「飞行模式」强制使用本地快照导出，但可能丢失他人 5 分钟内的最新条目。

加密格式详解：如何验证文件完整性

加密 CSV 采用 AES-256-GCM，附加数据包含 SafeW 用户 ID 与导出时间戳，防止重放。文件头 16 字节为盐值，随后 12 字节 IV，末尾 16 字节为认证标签。官方开源了解密脚本 safew-csv-decrypt.py，依赖 pycryptodome，可在离线机执行：

python safew-csv-decrypt.py \
  --in vault.csv.enc \
  --out vault.csv \
  --pwd "你的导出密码"

脚本同步输出 SHA-256，若与桌面端生成的 .sha256 文件一致，即表明文件未被篡改。

何时不该用：合规与性能边界

团队超过 50 人且每日新增 500+ 条记录时，加密 CSV 单文件可能突破 300 MB，旧款 iPhone 在解密时会出现内存告警。此时建议改用「分卷模式」或直接使用 SafeW 企业版 API 做增量备份。
若公司内审要求“备份必须落盘到国密算法”，SafeW 当前只支持 AES 系列，需额外转码，不符合部分金融合规。
导出密码若被强制保存在企业密码平台，会打破“零知识”原则，失去抗勒索意义。此时应拒绝导出，改用硬件分片恢复通道。

与第三方协同：如何在会计软件中导入

德国常见会计软件 Datev 支持读取 CSV，但字段名需映射。解密后把“address”“memo”“balance”三列手动改成“Konto”“Belegfeld 1”“Buchungstext”即可上传。为防止地址泄露，可在 SafeW 导出前勾选「混淆地址中间 8 位」，软件会生成可逆掩码，仅对第三方不可读，不影响对账。

故障排查：5 种常见报错对照表

报错提示	可能原因	验证步骤	处置
TEE_KEY_ERROR	系统升级后密钥槽被清空	设置→安全→TEE 版本号是否回退	重新绑定生物识别，再导出
NFC_TIMEOUT	卡片电量不足或金属壳干扰	换 USB 读卡器，贴近 2 cm	改用移动端导出
VAULT_SYNC_STUCK	成员端版本 <5.3.0	成员设置→关于→版本	全员升级后重试
DISK_FULL	手机剩余空间 < 导出体积×2	文件管理→可用空间	清理缓存或改用电脑导出
PASSWORD_WEAK	导出密码含用户名片段	密码强度条未达绿色	换 12 位随机字符

最佳实践清单：导出前 7 项自检

确认所有成员已完成当日编辑，避免导出后立刻再同步。
检查手机电量 >30%，防止中途关机导致文件头损坏。
把导出密码写入密码管理器并打印二维码封存在保险柜。
解密脚本提前在离线电脑验证，确认 Python 3.9+ 与 pycryptodome 就绪。
导出后立刻对比 SHA-256，任何一位不同都重新导出。
分卷模式下，按顺序重命名 part1/2/3，避免混淆。
把 .csv.enc 与 .sha256 分别存到两块异地硬盘，遵循 3-2-1 备份原则。

FAQ：导出加密 CSV 常见疑问

加密 CSV 能否直接导入回 SafeW？

目前仅支持“解密后重新导入”，官方在 5.4.3 计划加入原生 .csv.enc 逆流程，届时可跳过解密步骤。

导出密码能否与登录密码相同？

技术上允许，但违反最小权限原则。一旦登录密码被侧录，加密 CSV 也会被秒破。官方强制提示“请勿重复”。

分卷文件漏拷一份还能解密吗？

不能。AES-GCM 的认证标签只在最后一份末尾，缺任何一卷都无法通过完整性校验，必须重新导出。

加密 CSV 是否包含附件文件？

不包含。附件（如 NFT 原图、合约 PDF）需单独用「附件备份」功能导出，加密 CSV 仅保留文件哈希，用于对账。

电脑解密时提示“Padding is incorrect”？

99% 是密码大小写或符号全角/半角错误。建议复制密码时先粘进纯文本编辑器，确认无空格再使用。

总结与下一步行动

SafeW 把共享密码库导出为加密 CSV 的核心价值，是将“多人协作的云端风险”转回“用户可控的本地加密文件”，兼顾合规审计与零知识安全。按本文路径操作并遵守 7 项自检清单，可在 3 分钟内完成备份，即使硬盘丢失也无需担心明文泄露。

下一步建议：立即打开 SafeW 执行一次导出，验证解密脚本是否正常运行；同时将导出密码与校验文件打印两份，分别存放于异地保险柜与防火袋。待 5.4.3 原生逆流程上线后，再评估是否将加密 CSV 纳入月度自动化备份节点。