Bezpieczeństwo

Matematyki nikt nie złamie siłowo

Wyłącznie standardowe, dobrze przeanalizowane prymitywy — złożone tak, by jedyną drogą do środka było Twoje hasło lub klucz bezpieczeństwa.

Jak sekret staje się szyfrogramem

Twój sekret hasło · klucz FIDO2
Wyprowadzenie klucza Argon2id
Klucz główny wyprowadzony w pamięci
Szyfr wewnętrzny XChaCha20-Poly1305
Szyfr zewnętrzny AES-256-GCM
Na dysku nieprzejrzysty szyfrogram

Jak sejf wygląda na dysku

vault.torminal v3

{
  "version": 3,
  "keyslots": [
    { "kind": "password", "kdf": { "memKib": 262144 } },
    { "kind": "passkey",  "credentialId": "…" }
  ],
  "payload": {
    "nonce":  "…",   // AES-256-GCM  (outer)
    "nonce2": "…",   // XChaCha20    (inner)
    "ciphertext": "…opaque random bytes…"
  }
}

Klucz główny wyprowadzany jest w pamięci i zerowany przy blokadzie — nigdy nie trafia na dysk.
Jeden sejf, wiele dróg do środka: slot na hasło plus opcjonalne klucze bezpieczeństwa, z hasłem zawsze zachowanym jako odzyskiwanie.
Błędne hasło czysto nie przechodzi przez tag uwierzytelniający. Żadnego częściowego odszyfrowania, żadnych śmieci.
Samoopisujące się parametry KDF; starsze sejfy migrują w przód przy odblokowaniu.
Na dysku to nieprzejrzyste bajty — nigdy żadnego tekstu jawnego.

Przed czym chroni

Skradziony laptop

Kradzież na poziomie dysku daje nieprzejrzyste bajty. Bez Twojego hasła lub klucza bezpieczeństwa nie ma czego odczytać.

Sieć, która Cię obserwuje

Kierowanie przez Tor ukrywa, dokąd się łączysz, a DNS nigdy nie wycieka poza obwód — ani do dostawcy internetu, ani do resolvera.

Podmieniony klucz serwera

Klucze hostów są przypięte. Zmieniony odcisk zatrzymuje połączenie, zanim wyśle się choćby bajt Twojej sesji.

Gotowy, kiedy Ty jesteś

Za darmo, bez rejestracji, bez telemetrii. Twoje serwery, Twój komputer, Twoje klucze.