Principiu fundamental
Serverul Solo2 este complet orb. No sabe con quién hablas, qué dices, ni qué archivos compartes. Ni siquiera las señales técnicas que establecen la conexión entre dispositivos son legibles para el servidor — viajan cifradas de extremo a extremo.
Mesajele tale călătoresc direct între dispozitive, criptate de la un capăt la altul. Istoricul tău trăiește criptat în browserul tău, niciodată pe serverul nostru.
Cheile de criptare se rotesc automat cu fiecare mesaj. Fiecare mesaj este criptat cu o cheie unică care se elimină imediat după. Aceasta este cunoscută tehnic drept Double Ratchet, y significa que incluso si alguien obtuviese una clave, solo podría leer un único mensaje — no la conversación. Además, la seguridad se restaura automáticamente tras cada turno de comunicación: una clave comprometida se vuelve inútil en cuanto se intercambia el siguiente mensaje.
Când conexiunea directă între dispozitive nu este posibilă (de exemplu, din cauza restricțiilor de rețea), se folosește un server oglindă (tehnic numit TURN): datele se reflectă de la un dispozitiv la altul, dar oglinda nu este conștientă de ceea ce reflectă — totul călătorește criptat de la un capăt la altul și serverul nu poate citi. În plus, toate pachetele sunt umplute la o dimensiune uniformă pentru a împiedica un observator să deducă informații analizând dimensiunea sau frecvența traficului.
Poți vedea întotdeauna în aplicație ce tip de conexiune folosești — directa o a través del servidor espejo — y actuar en consecuencia.
Cheia ta principală se generează aleatoriu cu 256 de biți de entropie reală — același nivel ca Bitcoin. Al crear tu cuenta, Solo2 genera una clave única que se representa como 24 palabras. Tu contraseña protege el acceso al servicio. Tus 24 palabras son la llave de tus datos. Son dos llaves diferentes para dos puertas diferentes.
Chiar dacă serverul nostru dispare, datele tale supraviețuiesc. Cu cele 24 de cuvinte poți accesa seiful tău local fără conexiune la server. Datele tale sunt ale tale — cu adevărat.
1. Date pe care le AVEM pe server
1.1 Contul tău de utilizator
Acestea sunt toate câmpurile care există în înregistrarea ta. Nu mai sunt altele.
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Nume de utilizator | Ca să te poți autentifica | Text simplu (este public prin design) | Până când îți ștergi contul |
| Parolă | Autentificare | Protejată cu Argon2id (recomandat de OWASP, rezistent la atacuri cu hardware specializat). Nu stocăm niciodată parola ta reală, solo una huella matemática irreversible | Până când îți ștergi contul |
| Nume public | Ca contactele tale să te recunoască | Text simplu (îl alegi tu) | Până când îl schimbi sau îți ștergi contul |
| Cod de legătură | Adresa ta în cadrul Solo2 — ca un număr de telefon. Este ceea ce partajezi cu cineva pentru ca acesta să te găsească și să îți trimită o solicitare de conexiune | Text simplu, unic (~10 caractere) | Până când îți ștergi contul |
| Cheie publică | Șir criptografic pe care aplicația îl folosește automat pentru a cripta datele care îți sunt trimise. Nimeni nu îl folosește direct — aplicația se ocupă. Codul de legătură este pentru a te găsi; cheia publică este pentru a cripta către tine | Cheie publică (44 de caractere). Poate fi cunoscută fără risc — doar cheia ta privată, care trăiește în browserul tău, poate decripta | Până când îți ștergi contul |
| Sold financiar | Bani pe care i-ai adăugat în cont | Număr (în cenți) | Până când îți ștergi contul |
| Sold bonus | Bonusuri primite (invitații, promoții, cadouri). Se consumă înaintea soldului financiar | Număr (în cenți) | Până când îți ștergi contul |
| Tipul contului | Planul tău curent (probă, standard, auriu, platină) | Text | Până când se schimbă sau îți ștergi contul |
| Data de sfârșit a perioadei de probă | Când se termină perioada ta de probă gratuită | Dată | Până când îți ștergi contul |
| Data și ora înregistrării | Când ți-ai creat contul | Dată și oră completă (timestamp) | Permanent |
| Ultima activitate | Când ai folosit aplicația ultima dată | Dată și oră | Se actualizează la fiecare utilizare |
| Identificatori interni | Coduri pe care sistemul le folosește intern pentru a se referi la tine | ID-uri opace, fără semnificație în afara sistemului | Până când îți ștergi contul |
| Versiune de securitate | Ce versiune a algoritmului de protecție a parolei a fost utilizată | Număr intern | Până când îți ștergi contul |
| Indicatori de stare | Flaguri tehnice (dacă soldul tău s-a schimbat, dacă ai modul de securitate maximă activ) | 1 byte — echivalentul unei singure litere. Nu încape nimic mai mult | Până când îți ștergi contul |
Ca să îți faci o idee despre volum: înregistrarea ta ocupă aproximativ 250 de caractere fixe (identificatori, date, chei, solduri) plus lungimea numelor pe care le alegi. Parola nu influențează: se stochează întotdeauna ca o amprentă de dimensiune fixă. De exemplu, dacă te numești «Ion», iar numele tău public este «Ion Popescu», tot ce ocupi pe serverul nostru sunt aproximativ 264 de caractere — mai puțin decât acest paragraf.
1.2 Sesiuni active
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Token de sesiune | Menținerea autentificării tale active | Stocăm doar o amprentă ireversibilă (hash), nu tokenul original | 24 de ore máximo, luego se borra automáticamente |
| Data ultimei activități | Expirarea sesiunilor inactive | Dată și oră | Se șterge odată cu sesiunea |
1.3 Solicitări de legătură
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| ID-ul solicitantului | Pentru a ști cine a trimis solicitarea | ID intern | 3 zile máximo. Si no se responde, se elimina automáticamente |
| ID-ul destinatarului | Pentru a ști cui îi este adresată | ID intern | La fel ca solicitantul |
| Stare | În așteptare / acceptată / respinsă | Text | Se șterge la rezolvare sau la expirare |
Notă importantă: Una vez aceptada la vinculación, el servidor no guarda la relación. Tu lista de contactos existe solo en tu navegador, cifrada.
1.4 Invitații
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Cod de invitație | Link unic pentru a invita pe cineva | Token aleatoriu | Până când este folosit sau expiră (30 de zile) |
| ID-ul expeditorului | Pentru a ști cine a invitat | ID intern | Permanent (contabilitate) |
| Suma cadou | Sold oferit cadou cu invitația | Număr | Permanent (contabilitate) |
1.5 Abonamente push (notificări)
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Adresă de notificare | Trimiterea notificărilor către browserul tău | URL-ul furnizorului browserului (Google, Mozilla sau Apple) | Până când dezactivezi notificările sau îți ștergi contul |
| Chei de criptare push | Criptarea notificării pentru ca doar browserul tău să o poată citi | Standard Web Push | La fel ca adresa |
1.6 Feedback (suport)
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Mesajul tău | Ca să te putem ajuta | Text simplu | Până când îl procesăm |
| ID-ul tău de utilizator | Pentru a ști cine are nevoie de ajutor | ID intern | La fel ca mesajul |
1.7 Semnalizare de conexiune (efemeră)
Pentru ca două dispozitive să se poată conecta direct, trebuie să facă schimb de semnale tehnice de stabilire a conexiunii (protocol WebRTC). Aceste semnale trec prin serverul nostru pentru scurt timp, dar criptate de la un capăt la altul — el servidor solo transporta un bloque opaco que no puede descifrar.
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Semnale de conexiune | Stabilirea conexiunii directe între dispozitive | Criptate de la un capăt la altul cu cheia publică a destinatarului. Serverul nu le poate citi sau modifica | 60 de secunde máximo, luego se borran. En memoria, nunca en disco |
1.8 Server oglindă (releu TURN)
Dacă conexiunea directă nu este posibilă, se folosește un server oglindă: datele trec prin el ca lumina prin oglindă — se reflectă dintr-o parte în alta, dar oglinda nu este conștientă de ceea ce reflectă. Toate pachetele sunt umplute la o dimensiune uniformă pentru ca un observator să nu poată distinge un mesaj de un simplu puls de conexiune.
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Credențiale de acces | Autentificarea ta pe serverul oglindă | Identitatea ta se transformă într-o amprentă ireversibilă — serverul oglindă nu știe cine ești | 24 de ore, luego se regenera |
1.9 Plăți procesate
Plățile sunt singurul punct unde există o fricțiune reală cu anonimatul. Să fim sinceri în privința asta.
Când te înregistrezi pe Solo2, alegi un nume de utilizator (poate fi inventat), o parolă și un nume public (de asemenea inventat, dacă dorești). Nicio dată nu te leagă de o persoană reală. Dar dacă faci o plată cu cardul, instituția ta financiară știe cine ești.
Ceea ce primim noi de la procesatorul de plăți este exclusiv o confirmare și o sumă. Nu primim și nu stocăm numele titularului, numărul cardului, actul de identitate sau vreo dată personală a plătitorului. Sunt sume mici — legal echivalente cu un bon de casă, ca și cum ai cumpăra o acadea de la un chioșc: chioșcarul nu înregistrează actul de identitate al celui care plătește.
În plus, înregistrarea plății este deliberat deconectată de tu cuenta de usuario. No existe ningún campo en nuestra base de datos que cruce un ticket de cobro con una cuenta concreta.
| Dată | De ce | Protecție | Durată |
|---|---|---|---|
| Înregistrare de plată | Contabilitate și obligații fiscale | Confirmare + sumă. Fără date personale ale plătitorului. Fără legătură cu vreun cont de utilizator | Permanent (obligație legală) |
Despre cel mai rău scenariu posibil: Incluso con una orden judicial, la cadena de rastreo sería: tu tarjeta → tu banco → la pasarela de pago → nuestro ticket de cobro. Pero nuestro ticket no contiene ningún identificador de usuario. No es un descuido: es una decisión de diseño. No existe ningún campo ni índice en nuestra base de datos que relacione un pago con una cuenta. La única vía teórica sería una correlación temporal — si fueses el único pago en un periodo dado — pero incluso en ese caso extremo, la cuenta no contiene información que identifique a la persona real: el nombre de usuario y el nombre público pueden ser totalmente inventados.
Toate veniturile noastre sunt legale și intră contabilizate prin procesatorul de plăți. Achităm impozitele corespunzătoare. Dar anonimatul clientului este total din partea noastră.
2. Date pe care NU le avem pe server
Aceasta este ceea ce ne definește. Serverul Solo2 nu stochează și nu are acces la:
- Mesajele tale — Viajan directamente entre dispositivos, cifrados de extremo a extremo. El servidor nunca los ve.
- Fișierele tale — Igual que los mensajes: directos y cifrados.
- Lista ta de contacte — Existe solo en tu navegador, cifrada en La Bóveda.
- Istoricul tău de chat — Solo en tu navegador, cifrado.
- Locația ta — Los GeoSellos se calculan en tu dispositivo y se envían directamente al destinatario. El servidor nunca los procesa.
- Analize de utilizare — La aplicación Solo2 no tiene ningún sistema de analíticas, ni cookies de seguimiento, ni scripts de terceros.
- Date despre dispozitiv — No recogemos modelo, resolución, sistema operativo, ni ninguna característica de tu dispositivo.
- Metadate de comunicare — No sabemos con quién hablas, cuándo, con qué frecuencia, ni durante cuánto tiempo.
Despre adresa ta IP
Nu înregistrăm adresa ta IP. Nici aplicația, nici serverul web nu stochează adrese IP în logurile lor. Semnalele de conexiune, care ar putea conține IP-ul tău, sunt criptate de la un capăt la altul — serverul nu le poate citi.
3. Date în browserul tău (Seiful)
Tot ce urmează trăiește exclusiv în browserul tău, cifrado con AES-256-GCM (un estándar de cifrado de grado militar utilizado por gobiernos y entidades financieras). La clave se genera a partir de tu contraseña mediante Argon2id (el algoritmo más resistente disponible contra ataques con hardware especializado), y este proceso ocurre enteramente dentro de tu navegador. Tu contraseña nunca se envía al servidor.
Datele tale sunt criptate în repaus — chiar dacă cineva ar accesa stocarea browserului tău, ar găsi doar blocuri criptate ilizibile fără parola ta.
Când exportezi o copie de siguranță, aceasta este criptată cu aceeași protecție (Argon2id + AES-256-GCM). Doar cine cunoaște parola ta o poate decripta.
| Dată | Criptare | Control |
|---|---|---|
| Mesaje | AES-256-GCM | Tu decizi când le ștergi |
| Fișiere | AES-256-GCM | Tu decizi când le ștergi |
| Contacte (perechi) | AES-256-GCM | Tu decizi pe cine legi |
| Stare de verificare | AES-256-GCM | Tu verifici identitatea fiecărui contact |
| Index de căutare | Criptat cu tokenuri ireversibile (HMAC) | Se reconstruiește din mesajele tale |
| Stare de livrare | AES-256-GCM | Ce mesaje au fost livrate |
| Mesaje în așteptare | AES-256-GCM | Coadă de trimitere când nu există conexiune |
Stocare temporară a browserului
| Dată | Tip | Durată | De ce |
|---|---|---|---|
| Sesiune utilizator | Memorie locală a browserului (localStorage) | Până când te deconectezi | Menținerea autentificării tale |
| Versiunea aplicației | Memorie locală a browserului (localStorage) | Permanent | Detectarea actualizărilor |
| Preferință de temă | Memorie locală a browserului (localStorage) | Permanent | Memorarea temei tale vizuale |
| Preferință de limbă | Memorie locală a browserului (localStorage) | Permanent | Memorarea limbii tale |
| Parolă (mod securitate maximă) | Memorie de tab (sessionStorage) | Dispare la închiderea tabului | Reinitializarea criptării dacă reîncarci pagina |
Notă privind securitatea în browser
Solo2 funcționează în browserul tău web. Datele tale criptate sunt protejate în repaus, dar când aplicația este deschisă și îți arată mesajele decriptate pe ecran, securitatea depinde și de mediul tău:
- Extensii de browser: Una extensión maliciosa con acceso a las páginas que visitas podría, en teoría, leer lo que se muestra en pantalla. Recomendamos utilizar el menor número posible de extensiones y solo de fuentes de confianza.
- Browser curat: Un navegador actualizado y sin extensiones innecesarias es tu mejor aliado.
- Aplicație nativă: En el futuro, ofreceremos una aplicación de escritorio (Windows, Mac, Linux) que proporcionará un nivel adicional de aislamiento al no depender del entorno del navegador.
4. Conexiuni de rețea
Aplicația Solo2
| Domeniu | Motiv | Dată trimisă |
|---|---|---|
| solo2.net | API-ul aplicației | Autentificare, semnalizare, prezență |
| pay.menzuri.com | Procesator de plăți | Doar dacă efectuezi o plată |
Niciun alt domeniu. Ningún script externo. Ningún CDN de seguimiento. La política de seguridad de contenido (CSP) del servidor lo impone técnicamente: cualquier intento de cargar recursos de otros dominios es bloqueado por el navegador.
Chiar și pentru a descoperi adresa IP publică a dispozitivului tău (necesară pentru a stabili conexiuni directe între utilizatori), folosim propriul nostru server (tehnic numit STUN). Nu delegăm serviciilor externe. Îl gestionăm noi.
Pagina de prezentare
Pagina de prezentare (solo2.net/info) — care este independentă de aplicație — utilizează un sistem de măsurare anonim găzduit pe propriile noastre servere din Germania:
| Domeniu | Motiv | Dată trimisă |
|---|---|---|
| stats.menzuri.com | Măsurare anonimă a vizitelor | Pagină vizitată (fără cookie-uri, fără IP, fără identificare) |
Acest sistem nu instalează cookie-uri, nu înregistrează adresa ta IP, nu te identifică, nu te urmărește între vizite și nu partajează date cu terți. Aplicația Solo2 nu are acest sistem și nici niciun alt tip de analiză.
5. Ștergerea datelor tale
Există două acțiuni diferite, și este important să cunoști diferența:
Ștergerea datelor locale
Din setările aplicației ai două opțiuni de ștergere locală:
- Șterge datele mele — Elimina solo tus datos (identidad, bóveda, sesión) sin afectar a otros usuarios que usen el mismo navegador.
- Resetare de urgență — Borra absolutamente todo: datos de todos los usuarios, Service Worker, caché y claves criptográficas. Requiere doble confirmación.
În ambele cazuri, contul tău pe server continuă să existe. Puedes volver a iniciar sesión, pero tus datos locales se habrán perdido irreversiblemente. Al hacerlo, se genera una identidad criptográfica completamente nueva: quien tuviese tu clave pública anterior ya no puede cifrar nada para ti. Si un contacto anterior quiere reconectarse, deberá solicitarte vinculación de nuevo, y tú decides si la aceptas o no.
Recuperare automată între dispozitive
Dacă îți pierzi datele pe un dispozitiv și ai altul conectat, Solo2 detectează situația și îți oferă să restaureze identitatea și seiful automat. Restaurarea călătorește criptată (Argon2id) prin conexiune directă între dispozitivele tale — fără a trece prin server.
Eliminarea contului tău de pe server
- Se elimină toate las filas en la base de datos asociadas a tu ID: cuenta, sesiones, solicitudes, invitaciones, suscripciones push, feedback.
- Eliminarea este atomică (todo o nada): o se borra todo o no se borra nada.
- Înregistrările de plăți rămân deliberat deconectate de tu identidad — existen por obligación legal, pero no se puede trazar un pago a tu persona.
- Identificatorii din logurile serverului sunt amprente ireversibile: un log nu poate fi legat de contul tău odată ce acesta a fost eliminat.
- Seiful din browserul tău nu se elimină automat cu această acțiune (nu avem acces la browserul tău). Pentru a-l șterge, execută mai întâi resetarea de urgență sau curăță datele site-ului din browserul tău.
5b. Cheia ta principală și cele 24 de cuvinte
La crearea contului în Solo2, se generează o cheie principală cu 256 de biți de entropie reală (aceeași pe care o folosește Bitcoin). Această cheie este reprezentată ca 24 de cuvinte pe care doar tu le cunoști. Parola ta învelește această cheie pentru a o stoca criptat pe server — serverul nu o poate citi.
Asta înseamnă că ai două chei independente: tu contraseña (para conectar al servidor y recuperar tu clave envuelta) y tus 24 palabras (para acceder directamente a tus datos sin servidor). Si pierdes una, la otra te protege. Si pierdes ambas, tus datos son irrecuperables — como en Bitcoin.
Algoritmi exacți (verificabil)
Generare: CSPRNG del sistema operativo (crypto.getRandomValues, 256 bits). Cifrado de la clave maestra: Argon2id (OWASP) para derivar la clave de envoltorio + AES-256-GCM (cifrado autenticado) para protegerla. Identidad: Ed25519 (firma) + X25519 (intercambio). Mensajes: Double Ratchet con ChaCha20-Poly1305. Al cerrar la pestaña del navegador, todos los datos sensibles desaparecen de la memoria.
Cum este protejată cheia ta master
| Layer | What it is | Where it lives |
|---|---|---|
| Password | Acces la server. Învelește cheia ta principală | În memoria ta + hash pe server |
| Device secret | Invisible second factor, generated automatically on install | On your device (non-extractable) |
| Cheie principală (24 de cuvinte) | 256 de biți de entropie reală, generată aleatoriu. Nivel Bitcoin (BIP39) | Pe o hârtie pe care tu o păstrezi + învelită pe server |
| Key rotation | Each message uses a unique key that is destroyed after (Double Ratchet) | Automatic, transparent |
If you change your password
Schimbarea parolei este instantanee. Cheia ta principală este doar re-învelită cu noua parolă — identitatea ta nu se schimbă, seiful nu se re-criptează, contactele tale nu sunt afectate, iar cele 24 de cuvinte rămân aceleași. Este o operație de milisecunde.
Recovery
Dacă îți pierzi parola, poți accesa seiful cu cele 24 de cuvinte — fără server. Dacă îți pierzi cele 24 de cuvinte, te poți autentifica cu parola și serverul îți returnează cheia învelită. Dacă le pierzi pe amândouă, datele tale sunt irecuperabile. Ca în Bitcoin, asta este securitate prin design.
6. Ce se întâmplă dacă cineva accesează serverul fără autorizație
Dacă un atacator ar obține acces complet la serverul Solo2, ar obține:
- Nume de utilizator și nume publice
- Coduri de legătură
- Chei publice (inutile fără cheia privată, care se află în browserul tău)
- Amprente de parole (inutile fără un atac de forță brută extrem de costisitor datorită Argon2id)
- Amprente de tokenuri de sesiune (inutile fără tokenul original)
- Solicitări de legătură în așteptare (ID-uri interne, expiră în 3 zile)
- Tipul contului, solduri și date de înregistrare
- Înregistrări de plăți (fără a le putea lega de un utilizator concret)
Ce NU ar obține:
- Niciun mesaj (nu au fost niciodată pe server)
- Niciun fișier (nu au fost niciodată pe server)
- Nicio listă de contacte (nu a fost niciodată pe server)
- Niciun istoric de chat (nu a fost niciodată pe server)
- Nicio cheie privată de criptare (trăiesc în browserul tău)
- Nicio adresă IP (nu se înregistrează)
7. Angajamentul nostru
Acest manifest va fi actualizat la fiecare modificare relevantă în gestionarea datelor. Dacă adăugăm un câmp nou în baza de date, va apărea aici. Dacă eliminăm ceva, de asemenea.
Versiunea în vigoare este întotdeauna această pagină.