Egiaztatu 2 minututan
Sakatu F12 zure nabigatzailean. Ezer instalatu gabe. Programatzen jakin gabe.
| Baieztapena | Nola egiaztatu | Fitxa |
|---|---|---|
| Ez dago inolako cookierik | Application → Cookies → hutsik. Solo2-k ez du cookierik instalatzen. Zure saioa localStorage-n mantentzen da, ez cookieetan. _ga |
Application |
| Ez dago hirugarrenen zerbitzurik aplikazioan | Network → iragazi domeinuaren arabera → solo2.net-erako eskaerak bakarrik. Ez dago Google, Facebook, Cloudflare edo besterik. |
Network |
| Analitika landing-ean bakarrik, ez aplikazioan | Network → /*-en stats.menzuri.com-erako eskaerak ikusiko dituzu. Aplikazioan (/app/*), bat ere ez. |
Network |
| Zure historia zure nabigatzailean bizi da | Application → IndexedDB → solo2-vault-{userId}. Zure datu enkriptatuak hemen daude, ez zerbitzarian. |
Application |
| Kontaktu-zerrenda lokala bakarrik | Application → IndexedDB → store pares. Zure nabigatzailean bakarrik existitzen da. |
Application |
| Kanpoko CDNrik gabe | Network → JS/CSS guztiak domeinu beretik kargatzen dira. Ez dago cdn.jsdelivr.net, unpkg.com edo antzekorik. |
Network |
| Gehienez 24 orduko saioak | Application → localStorage → solo2_session. Tokenak egiaztagarria den iraungitze-data du. |
Application |
| Ikus dezakezu zer konexio mota erabiltzen duzun | Txataren UIan: P2P adierazlea (berdea) vs Mirror/TURN (laranja) beti ikusgai | UI |
| Umami cookierik gabekoa da | Application → Cookies → ez da stats.menzuri.com-en cookierik agertzen. Umamik ez ditu cookieak erabiltzen. |
Application |
| Zure gako nagusia ausaz sortzen da | Application → erregistratzean, Solo2-k 24 hitz bakar sortzen ditu. Ez dira zure pasahitzetik eratorritakoak — 256 biteko benetako entropiarekin gako independente bat dira | Application |
DevTools erabiltzen badakizu
Ezagutza teknikoa behar duten egiaztapenak. HTTP, WebRTC eta oinarrizko kriptografia ulertzen badituzu, baieztapen hauek berretsi ditzakezu.
| Baieztapena | Nola egiaztatu |
|---|---|
| E2E enkriptatutako mezuak | Network → /cmd-erako eskaeretan payload enkriptatuak (base64/bitarra) daude. Ez dago testu arrunteko JSON irakurgarririk. |
| E2E enkriptatutako WebRTC seinaleak | Network → seinale-mezuak blob bitar enkriptatu gisa bidaiatzen dute. Ez dira JSON irakurgarriak offer/answer testu arruntean. |
| Gako nagusia pasahitzarekiko independentea | Network → login-ak zerbitzaritik zifratutako wrapped_master_key |
| Padding uniformea mirror-ean | Network → WebSocket/DataChannel paketeek tamaina finkoa dute relay erabiltzean. Egiaztatu tamainak Network fitxan |
| Pasahitza babestua (ez da testu arruntean bidaiatzen) | Network → saio-hasierak hash bat bidaltzen du, ez testu arrunta. Ezin duzu zerbitzariaren algoritmoa egiaztatu (Argon2id), baina bai zure jatorrizko pasahitza inoiz bidaltzen ez dela ikusi. |
| Lotura-eskaerak 3 egunetan iraungi egiten dira | Sortu eskaera bat, ez erantzun, egiaztatu 3 egun ondoren desagertu dela. Pazientzia behar da, baina egiaztagarria da. |
| Push jakinarazpen enkriptatuak | Network → Service Worker-erako push eskaerak enkriptatuta iristen dira (Web Push estandarra). Payload enkriptatua Network fitxan ikusten da |
| P2P konexio zuzena vs relay | chrome://webrtc-internals/ → egiaztatu ICE hautagaiak. typ srflx edo typ relay ikusten baduzu, badakizu zuzena edo birbidalitakoa den. |
Hau ezin duzu egiaztatu
Hipokritak izango ginateke dena egiaztagarria dela esango bagenu. Baieztapen hauek konfiantza eskatzen dute — edo kanpo-auditoretza.
| Baieztapena | Zergatik ezin den egiaztatu |
|---|---|
| Double Ratchet gako-errotazioarekin | Eragiketa kriptografikoak WASM bitar baten barruan gertatzen dira. Erabiltzaileak kargatzen dela ikusten du, baina ezin du irakurri zer algoritmo exekutatzen duen |
| Gako nagusia benetako entropiarekin sortzen da (256 bit) | Sortzeak crypto.getRandomValues erabiltzen du nabigatzailearen barruan. 24 hitz sortzen direla ikus dezakezu, baina ezin duzu F12tik entropiaren kalitatea egiaztatu ezta CSPRNG segurua den ere |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Arazo bera: pila kriptografikoa WASM barruan dago. Kurbak eta algoritmoak ezin dira nabigatzailetik berretsi |
| Zerbitzaria "erabat itsua" da | Egiaztatu dezakezu bezeroak datu irakurgarririk bidaltzen ez duela. Zerbitzariak konexio-metadatuekin (IPak, timestamps) zer egiten duen konfiantza edo auditoretza eskatzen du |
| Zerbitzariak ez ditu harremanak gordetzen lotura ondoren | Zerbitzariaren koderako eta datu-baserako sarbidea behar da |
| IPak ez dira erregistratzen | Ezin duzu egiaztatu zerbitzariak bere logetan zer erregistratzen duen |
| Gakoak mezu bakoitzarekin aldatzen dira | WASM barruan gertatzen da. Mezuak bidaltzen direla ikusten duzu, baina ezin duzu gako-errotazioa behatu |
| Ezabatutako datuak benetan desagertzen dira | IndexedDB lokaletik ezabatu dezakezu, baina ezin duzu egiaztatu zerbitzariak kopiak gordetzen ez dituela (nahiz eta Manifestuak inoiz ez zituela esan) |
Zergatik da WASM oztopo erreala
Solo2-ren geruza kriptografikoa WebAssembly-ra konpilatuta dago — formatu bitar bat zure nabigatzaileak exekutatzen duena baina testu gisa irakurri ezin dena. Horrek esan nahi du ezin duzula zuzenean auditoretu zure mezuak enkriptatzen dituen kodea.
JavaScript minifikatua (interfazerako erabiltzen duguna) itzulgarria da: nabigatzaileak birformateatu dezake eta kodearen egitura irakurgarria da. Prozesu neketsua da, baina posiblea. WASM ez: bitar opaku bat da.
X25519-rekin Double Ratchet dela esaten dugu. Gure hitza fidatu dezakezu, edo crypto geruzaren iturburu-kodea argitaratzen dugun arte itxaron dezakezu zuk zeuk egiaztatzeko.
Zer egiten ari garen gehiago fidatu ahal izateko
.wasm-en SHA-256 hashak argitaratu
Produkzioan dagoen WASM fitxategi bakoitzaren hash kriptografikoa argitaratuko dugu. Horrela, edozein auditorek egiaztatu ahal izango du zure nabigatzailean exekutatzen den bitarra guk konpilatu genuenarekin bat datorrela.
Crypto geruza kode ireki gisa zabaldu
Geruza kriptografikoaren (Zig) iturburu-kodea biltegi publiko gisa argitaratu. Signal-en eredu bera: protokolo kriptografiko irekia, aplikazioaren gainerakoa pribatua.
Segurtasuna ez da sekretutasunaren menpekoa
Gure segurtasun-eredua kodea publikoa izan arren funtzionatzeko diseinatuta dago. Ez gara norbaitek nola funtzionatzen duen ikusten ez duelako menpekoak — kriptografiaren sendotasunaren menpekoak gara.
5 documented security layers
Pasahitza (zerbitzarirako sarbidea), 24 hitzak (benetako gako nagusia), gailuaren sekretua (gangaren babesa) eta Double Ratchet biraketa. Geruza bakoitza independentea da eta gure Gardentasun Manifestuan egiaztagarria.