2分で確認
ブラウザでF12を押してください。インストール不要。プログラミング知識不要。
| 主張 | 検証方法 | タブ |
|---|---|---|
| 追跡Cookieはありません | Application → Cookies → 技術的なセッションCookieのみ。_ga, _fbp, _gid ni similares |
Application |
| アプリ内にサードパーティサービスはありません | Network → ドメインでフィルター → solo2.net. Cero llamadas a Google, Facebook, Amazon, etc. |
Network |
| アナリティクスはランディングページのみ、アプリにはありません | Network → /info/* se ve stats.menzuri.com. En la app (/) no aparece ningún script de analytics |
Network |
| 履歴はブラウザに存在します | Application → IndexedDB → solo2-vault-{userId} con stores messages, files, etc. Datos locales |
Application |
| 連絡先リストはローカルのみ | Application → IndexedDB → store pares existe localmente. Network → no hay petición de "contacts" ni "friends" al servidor |
Application |
| 外部CDNなし | Network → すべてのJS/CSSは同一ドメインからロード。cdn.jsdelivr.net, cdnjs.cloudflare.com, unpkg.com |
Network |
| セッションは最大24時間 | Application → localStorage → solo2_session expira. Puedes cerrar sesión y ver que desaparece |
Application |
| 使用中の接続タイプを確認できます | チャットUIで:P2P(緑)vs Mirror/TURN(オレンジ)のインジケーターが常時表示 | UI |
| UmamiはCookieレスです | Application → Cookies → stats.menzuri.com incluso tras visitar el landing |
Application |
| マスターキーはランダムに生成されます | Application → 登録時、Solo2は固有の24語の単語を生成します。パスワードから導出されるのではなく、256ビットの真のエントロピーを持つ独立した鍵です | Application |
DevToolsを使えるなら
技術的な知識が必要な検証項目です。HTTP、WebRTC、基本的な暗号技術を理解していれば、これらの主張を確認できます。
| 主張 | 検証方法 |
|---|---|
| メッセージはE2E暗号化されています | Network → /cmd contienen payloads binarios opacos (zcatpack). El contenido no es texto legible. No puedes confirmar qué algoritmo se usa, pero sí que no viaja en claro |
| WebRTCシグナルはE2E暗号化されています | Network → シグナルメッセージは暗号化されたバイナリブロブとして転送されます。offer/answer en claro |
| マスターキーはパスワードから独立しています | Network → ログインでwrapped_master_key cifrado del servidor. El cliente lo descifra localmente con la contraseña. La clave maestra nunca viaja en claro. Cambiar contraseña no cambia la identidad |
| ミラーでの均一パディング | Network → リレー使用時、WebSocket/DataChannelパケットは固定サイズです。Networkタブでサイズを確認してください |
| パスワードは保護されています(平文では送信されません) | Network → ログインはハッシュを送信し、平文ではありません。サーバーが使用するアルゴリズム(Argon2id)は検証できませんが、元のパスワードがブラウザから出ないことは確認できます |
| リンクリクエストは3日で期限切れ | リクエストを作成し、応答せず、3日後に消えていることを確認してください。忍耐と2つのアカウントが必要です |
| プッシュ通知は暗号化されています | Network → Service Workerへのプッシュリクエストは暗号化されて到着します(Web Push標準)。暗号化されたペイロードはNetworkタブで確認できます |
| P2P直接接続 vs リレー | chrome://webrtc-internals/ muestra los ICE candidates y si la conexión es relay (TURN) o srflx/host (directa) |
これは検証できません
すべてが検証可能だと言えば、偽善者になります。以下の主張は、私たちを信頼するか、コードの公開を待つ必要があります。
| 主張 | 検証できない理由 |
|---|---|
| 鍵ローテーション付きDouble Ratchet | 暗号操作はWASMバイナリ内で行われます。ユーザーはロードされることを確認できますが、どのアルゴリズムが実行されているかは読めません |
| マスターキーは真のエントロピー(256ビット)で生成されます | 生成にはブラウザ内のcrypto.getRandomValuesが使用されます。24語の単語が生成されることは確認できますが、F12からエントロピーの品質やCSPRNGが安全かどうかは検証できません |
| X25519 + Ed25519 + ChaCha20-Poly1305 | 同じ問題:暗号スタックはWASM内にあります。ブラウザから曲線やアルゴリズムを確認することはできません |
| サーバーは「完全に盲目」 | クライアントが読み取り可能なデータを送信していないことは検証できます。接続メタデータ(IP、タイムスタンプ)をサーバーがどう扱うかは、信頼またはサーバー監査が必要です |
| サーバーはリンク後の関係を保存しません | サーバーのコードとデータベースへのアクセスが必要です |
| IPは記録されません | サーバーがログに何を記録しているかは検証できません |
| 鍵はメッセージごとにローテーションされます | WASM内で行われます。メッセージが送信されることは見えますが、鍵のローテーションを観察することはできません |
| 削除されたデータは本当に消えます | ローカルのIndexedDBから削除できますが、サーバーがコピーを保持していないことは検証できません(マニフェストではそもそも持っていなかったと記載していますが) |
WASMが真の壁である理由
Solo2の暗号レイヤーはWebAssemblyにコンパイルされています — ブラウザが実行するがテキストとして読めないバイナリ形式です。これはF12からどのアルゴリズムを使用しているか検証できないことを意味します。
ミニファイされたJavaScript(インターフェースに使用)は可逆的です:ブラウザがフォーマットし直すことができ、コードの構造は読み取れます。実用的な障壁ですが、実質的な壁ではありません。しかしZigからコンパイルされたWASMは根本的に異なります — es un binario de bajo nivel donde los nombres originales desaparecen y las optimizaciones del compilador transforman el código más allá de lo reconocible.
X25519によるDouble Ratchetだと述べています。私たちの言葉を信じるか、暗号レイヤーのソースコードを公開して誰でも監査できるようになるのをお待ちください。現在取り組んでいます。
より信頼してもらうために取り組んでいること
.wasmのSHA-256ハッシュを公開
本番環境の各WASMファイルの暗号ハッシュを公開します。これにより、監査者はブラウザで実行されているバイナリが私たちがコンパイルしたものと正確に一致することを検証できます。
暗号レイヤーをオープンソースとして公開
暗号レイヤー(Zig)のソースコードをパブリックリポジトリとして公開します。Signalと同じモデル:暗号プロトコルはオープン、残りのコードはクローズド。誰でもソースコードをコンパイルし、結果の.wasmのハッシュを本番環境のものと比較できます。
セキュリティは隠蔽に依存しない
セキュリティモデルは、ソースコードが公開されていても機能するよう設計されています。セキュリティがコードを誰も読めないことに依存していたら、それはセキュリティではありません — 願望です。
文書化された5つのセキュリティレイヤー
パスワード(サーバーアクセス)、24語の単語(実際のマスターキー)、デバイスシークレット(金庫保護)、Double Ratchetローテーション。各レイヤーは独立しており、透明性マニフェストで検証可能です。