Fundamenteel principe
Solo2 creëert een privétunnel tussen twee mensen. Direct. Zonder tussenpersonen.
Onze server doet precies één ding: de twee uiteinden van de tunnel aan elkaar voorstellen zodat ze elkaar kunnen vinden. Daarvoor heeft hij het absolute minimum nodig — de identificatoren van de twee paren — die hij in RAM vasthoudt gedurende de milliseconden van de introductie. Op het moment dat de twee apparaten elkaar hebben gevonden, worden die gegevens uit het geheugen gewist. Ze worden nooit, op geen enkel moment, naar schijf geschreven.
Zodra jullie verbonden zijn, verdwijnt de server. Hij neemt niet deel aan het gesprek. Hij ziet het niet. Hij slaat het niet op. Hij weet niet hoe lang het duurt, hoe vaak jullie praten, of waar jullie over praten.
We vragen je niet om ons te geloven. We vragen je om het zelf te verifiëren:
Test 1 — De server is overbodig.
Zodra de directe tunnel is opgezet, doet onze server niet meer mee. Als hij op dat moment zou uitvallen, zou je gesprek zonder onderbreking doorgaan. Zolang jullie apparaten aan staan en met internet verbonden zijn, is de tunnel van jullie. Wij zijn er niet meer.
Test 2 — Stuur een bestand van 10 gigabyte.
Het zal niet alleen snel zijn — onze server kan het niets schelen. Probeer 24 uur lang onafgebroken bestanden van 10 gigabyte of meer te versturen. Onze server merkt het niet eens, want hij is niet betrokken. Probeer dat maar eens met welke andere berichtendienst dan ook.
Test 3 — Praat over telescopen.
Breng een middag door met iemand pratend over telescopen, of hengels, of wat dan ook dat je nog nooit op internet hebt gezocht. Wacht een paar dagen. Er verschijnen nergens advertenties voor telescopen. Je woorden hebben je tunnel nooit verlaten.
Jouw gegevens, jouw verantwoordelijkheid.
Dit is onze grootste kwaliteit en, eerlijk gezegd, waar je het moeilijkst aan zult wennen. Je berichten, bestanden en contacten leven in een versleutelde kluis op je apparaat. Er is geen kopie op welke server dan ook. Ze zijn beschermd met 24 woorden — hetzelfde beveiligingsniveau als Bitcoin. Maar ze zijn op slechts één plek, tenzij je Solo2 op een tweede apparaat installeert — beide kluizen synchroniseren automatisch wanneer ze tegelijk verbonden zijn. Je kunt ook een versleutelde backup exporteren. Er is hier geen cloud die je redt als je je enige apparaat verliest. Je gegevens zijn van jou, met alle consequenties.
In detail
De server van Solo2 is volledig blind. Hij weet niet met wie je praat, wat je zegt, noch welke bestanden je deelt. Zelfs de technische signalen die de verbinding tussen apparaten tot stand brengen zijn niet leesbaar voor de server — ze reizen end-to-end versleuteld.
Je berichten reizen rechtstreeks tussen apparaten, end-to-end versleuteld. Je gespreksgeschiedenis leeft versleuteld in je browser, nooit op onze server.
De versleutelingssleutels roteren automatisch bij elk bericht. Elk bericht wordt versleuteld met een unieke sleutel die onmiddellijk daarna wordt weggegooid. Dit staat technisch bekend als Double Ratchet, en het betekent dat zelfs als iemand een sleutel zou bemachtigen, hij slechts één bericht zou kunnen lezen — niet het gesprek. Bovendien wordt de beveiliging automatisch hersteld na elke communicatieronde: een gecompromitteerde sleutel wordt nutteloos zodra het volgende bericht wordt uitgewisseld.
Wanneer een directe verbinding tussen apparaten niet mogelijk is (bijvoorbeeld door netwerkbeperkingen), wordt een spiegelserver gebruikt (technisch een TURN-server): de gegevens worden van het ene apparaat naar het andere gespiegeld, maar de spiegel is zich niet bewust van wat hij spiegelt — alles reist end-to-end versleuteld en de server kan het niet lezen. Bovendien worden alle pakketten opgevuld tot een uniforme grootte om te voorkomen dat een waarnemer informatie kan afleiden door de grootte of frequentie van het verkeer te analyseren.
Je kunt in de applicatie altijd zien welk type verbinding je gebruikt — direct of via de spiegelserver — en dienovereenkomstig handelen.
Je hoofdsleutel wordt willekeurig gegenereerd met 256 bits echte entropie — hetzelfde niveau als Bitcoin. Bij het aanmaken van je account genereert Solo2 een unieke sleutel die wordt weergegeven als 24 woorden. Je wachtwoord beschermt de toegang tot de dienst. Je 24 woorden zijn de sleutel tot je gegevens. Het zijn twee verschillende sleutels voor twee verschillende deuren.
Zelfs als onze server verdwijnt, overleven je gegevens. Met je 24 woorden kun je zonder serververbinding toegang krijgen tot je lokale kluis. Je gegevens zijn van jou — echt waar.
1. Gegevens die WEL op de server staan
1.1 Je gebruikersaccount
Dit zijn alle velden die in je registratie bestaan. Er zijn er geen meer.
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Gebruikersnaam | Zodat je kunt inloggen | Platte tekst (is openbaar door ontwerp) | Totdat je je account verwijdert |
| Wachtwoord | Authenticatie | Beschermd met Argon2id (aanbevolen door OWASP, bestand tegen aanvallen met gespecialiseerde hardware). We slaan nooit je echte wachtwoord op | Totdat je je account verwijdert |
| Weergavenaam | Zodat je contacten je herkennen | Platte tekst (jij kiest het) | Totdat je het wijzigt of je account verwijdert |
| Koppelingscode | Je adres binnen Solo2 — als een telefoonnummer. Dit deel je met iemand zodat die je kan vinden en een verbindingsverzoek kan sturen | Platte tekst, uniek (~10 tekens) | Totdat je je account verwijdert |
| Financieel saldo | Geld dat je aan je account hebt toegevoegd | Getal (in centen) | Totdat je je account verwijdert |
| Bonussaldo | Ontvangen bonussen (acties). Worden vóór het rekeningsaldo verbruikt | Getal (in centen) | Totdat je je account verwijdert |
| Accounttype | Je huidige abonnement (proef, standaard, goud, platina) | 1 byte (geheel getal: 0=proef, 1=standaard, 2=goud, 3=platina, 4=gepauzeerd, 5=opgeschort) | Totdat het wijzigt of je je account verwijdert |
| Datum en tijd van registratie | Wanneer je je account hebt aangemaakt | Volledige datum en tijd (timestamp) | Permanent |
| Interne identificatiecodes | Het systeem heeft twee interne codes nodig om naar je te verwijzen zonder je gebruikersnaam te gebruiken. De ene is je primaire ID en de andere een referentiecode. Beide zijn ondoorzichtig — ze betekenen niets buiten het systeem | Twee willekeurige codes van elk 24 tekens (bijv.: u_7kX9mP2...). Ze bevatten geen naam, datum of persoonlijke gegevens — ze zijn puur willekeurig | Totdat je je account verwijdert |
| Beveiligingsversie | Welke versie van het wachtwoordbeschermingsalgoritme is gebruikt | Intern nummer | Totdat je je account verwijdert |
| Statusindicatoren | Technische flags (of je saldo is gewijzigd, of je de maximale beveiligingsmodus actief hebt) | 1 byte — het equivalent van één enkele letter. Er past niet meer in | Totdat je je account verwijdert |
Om je een idee te geven van de omvang: je volledige registratie is ongeveer 400 bytes — minder dan deze alinea. Het zijn je namen (verzonnen als je wilt), een vingerafdruk van je wachtwoord (vast formaat, 60 bytes), je versleutelde hoofdsleutel (een ondoorgrondelijk blob van ~128 bytes dat we niet kunnen lezen), twee getallen voor je saldo, enkele datums en een configuratiebyte. Dat is alles wat je bent op onze server.
1.2 Actieve sessies
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Hash van het sessietoken | Je login actief houden | Onomkeerbare vingerafdruk (SHA-256). Het originele token wordt nooit op de server opgeslagen | 24 uur — daarna volledig verwijderd |
| Aanmaakdatum | Zodat het systeem weet wanneer deze is aangemaakt — nuttig voor automatisch opruimen | Numeriek tijdstempel (unix-seconden) | Wordt verwijderd met de sessie |
| Vervaldatum | De sessie verloopt 24 uur na aanmaak. Ze wordt niet vernieuwd door gebruik — ze heeft een vaste vervaldatum | Numeriek tijdstempel (aanmaak + 24 uur) | 24 uur — daarna volledig verwijderd |
Bij uitloggen of verlopen wordt de rij volledig uit de database verwijderd. Er blijft geen spoor achter dat de sessie bestond.
1.3 Koppelingsverzoeken
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| ID van de aanvrager | Weten wie het verzoek heeft verstuurd | Interne code van 24 willekeurige tekens | 3 dagen — daarna automatisch verwijderd |
| ID van de ontvanger | Weten voor wie het bedoeld is | Interne code van 24 willekeurige tekens | 3 dagen — daarna automatisch verwijderd |
| Status | In behandeling / geaccepteerd / geweigerd | 1 byte (geheel getal: 0=in afwachting, 1=geaccepteerd, 2=afgewezen) | Verwijderd bij oplossing of bij verlopen (3 dagen) |
| Aanmaakdatum | Weten wanneer het verzoek is aangemaakt om het automatisch te kunnen verwijderen | Numerieke tijdstempel (unix-seconden) — 4 tot 8 bytes | 3 dagen — daarna automatisch verwijderd |
Belangrijke opmerking: Zolang het verzoek in behandeling is (maximaal 3 dagen), weet de server dat gebruiker A een verbinding heeft aangevraagd met gebruiker B. Na 3 dagen wordt het verzoek automatisch verwijderd. Zodra de koppeling is geaccepteerd, slaat de server de relatie niet op. Je contactenlijst bestaat alleen in je browser, versleuteld.
1.4 Verbindingscode
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Verbindingscode (alias) | Korte identificatie zodat een andere gebruiker je kan vinden en een tunnel kan aanvragen | Willekeurige code van 8 tekens afgeleid van je interne ID | Permanent (het is je openbare verbindingsidentificatie) |
1.5 Push-abonnementen (meldingen)
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Meldingsadres | Meldingen naar je browser sturen | URL van de browserleverancier (Google, Mozilla of Apple) | Totdat je meldingen uitschakelt of je account verwijdert |
| Push-versleutelingssleutels | De melding versleutelen zodat alleen jouw browser deze kan lezen | Web Push-standaard | Hetzelfde als het adres |
1.6 Feedback (ondersteuning)
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Je bericht | Zodat we je kunnen helpen | Platte tekst | Totdat we het verwerken |
| Je gebruikers-ID | Om te weten wie hulp nodig heeft | Interne ID | Hetzelfde als het bericht |
1.7 Verbindingssignalering (efemeer)
Om twee apparaten rechtstreeks te laten verbinden, moeten ze technische verbindingssignalen uitwisselen (WebRTC-protocol). Het enige moment waarop onze server jouw gebruikerscode en die van je contact in het geheugen houdt, is tijdens de milliseconden dat dit verbindingsverzoek wordt verwerkt. Het duurt een oogwenk, het bevindt zich alleen in het RAM-geheugen en wordt nooit naar schijf geschreven. De signalen zelf zijn end-to-end versleuteld
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Verbindingssignalen | De directe verbinding tussen apparaten tot stand brengen | End-to-end versleuteld met de publieke sleutel van de ontvanger. De server kan ze niet lezen of wijzigen | 60 seconden |
1.8 Spiegelserver (TURN-relay)
Als een directe verbinding niet mogelijk is, wordt een spiegelserver gebruikt: de gegevens gaan er doorheen zoals licht door een spiegel — ze worden van de ene kant naar de andere gereflecteerd, maar de spiegel is zich niet bewust van wat hij reflecteert. Alle pakketten worden opgevuld tot een uniforme grootte zodat een waarnemer geen bericht kan onderscheiden van een eenvoudige verbindingsheartbeat.
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Toegangscredential | Je authenticeren bij de spiegelserver | Je identiteit wordt omgezet in een onomkeerbare vingerafdruk — de spiegelserver weet niet wie je bent | 24 uur |
1.9 Verwerkte betalingen
Betalingen zijn het enige punt waar er echte spanning is met anonimiteit. Laten we daar eerlijk over zijn.
Wanneer je je registreert bij Solo2, kies je een gebruikersnaam (mag verzonnen zijn), een wachtwoord en een weergavenaam (ook verzonnen als je wilt). Geen enkel gegeven koppelt je aan een echte persoon. Maar als je een betaling met een kaart doet, weet je financiële instelling wel wie je bent.
Wat wij van de betalingsprovider ontvangen is uitsluitend een bevestiging en een bedrag. We ontvangen noch bewaren de naam van de rekeninghouder, het kaartnummer, het identiteitsbewijs, noch enig persoonsgegeven van de betaler. Het gaat om kleine bedragen — juridisch equivalent aan een contant bonnetje, alsof je een lolly koopt bij een kiosk: de kioskhouder registreert niet het identiteitsbewijs van wie betaalt.
Bovendien is het betalingsrecord opzettelijk losgekoppeld
| Gegeven | Waarom | Bescherming | Duur |
|---|---|---|---|
| Betalingsrecord | Boekhouding en fiscale verplichtingen | Bevestiging + bedrag. Zonder persoonlijke gegevens van de betaler. Zonder koppeling aan enig gebruikersaccount | Permanent (wettelijke verplichting) |
Over het ergst denkbare scenario:
Al onze inkomsten zijn legaal en worden geboekt via de betalingsprovider. We dragen de bijbehorende belastingen af. Maar de anonimiteit van de klant is van onze kant totaal.
2. Gegevens die NIET op de server staan
Dit is wat ons definieert. De server van Solo2 slaat niet op en heeft geen toegang tot
- Je berichten
- Je bestanden
- Je contactenlijst
- Je chatgeschiedenis
- Je locatie
- Gebruiksanalyses
- Apparaatgegevens
- Communicatiemetadata
Over je IP-adres
Je IP-adres wordt in geen enkele database opgeslagen. In de technische logbestanden van de server worden IP-adressen omgezet in onomkeerbare vingerafdrukken (hashes) — bruikbaar om misbruikpatronen te detecteren, maar onmogelijk om terug te herleiden naar het oorspronkelijke IP-adres. Deze logbestanden worden elke 7 dagen automatisch verwijderd. De verbindingssignalen, die je IP-adres zouden kunnen bevatten, zijn end-to-end versleuteld — de server kan ze niet lezen.
3. Gegevens in je browser (De Kluis)
Alles hieronder leeft uitsluitend in je browser
Je gegevens zijn versleuteld in rust — zelfs als iemand toegang zou krijgen tot de opslag van je browser, zou hij alleen onleesbare versleutelde blokken vinden zonder je wachtwoord.
Wanneer je een back-up exporteert, wordt deze versleuteld met dezelfde bescherming (Argon2id + AES-256-GCM). Alleen wie je wachtwoord kent kan het ontsleutelen.
| Gegeven | Versleuteling | Controle |
|---|---|---|
| Berichten | AES-256-GCM | Jij beslist wanneer je ze verwijdert |
| Bestanden | AES-256-GCM | Jij beslist wanneer je ze verwijdert |
| Contacten (paren) | AES-256-GCM | Jij beslist met wie je koppelt |
| Verificatiestatus | AES-256-GCM | Jij verifieert de identiteit van elk contact |
| Zoekindex | Versleuteld met onomkeerbare tokens (HMAC) | Wordt opgebouwd vanuit je berichten |
| Afleveringsstatus | AES-256-GCM | Welke berichten zijn afgeleverd |
| Wachtende berichten | AES-256-GCM | Verzendwachtrij wanneer er geen verbinding is |
Tijdelijke browseropslag
| Gegeven | Type | Duur | Waarom |
|---|---|---|---|
| Gebruikerssessie | Lokaal browsergeheugen (localStorage) | Totdat je uitlogt | Je login behouden |
| App-versie | Lokaal browsergeheugen (localStorage) | Permanent | Updates detecteren |
| Themavoorkeur | Lokaal browsergeheugen (localStorage) | Permanent | Je visuele thema onthouden |
| Taalvoorkeur | Lokaal browsergeheugen (localStorage) | Permanent | Je taal onthouden |
| Wachtwoord (maximale beveiligingsmodus) | Tabblad-geheugen (sessionStorage) | Verdwijnt bij het sluiten van het tabblad | De versleuteling herinitialiseren als je de pagina herlaadt |
Opmerking over browserbeveiliging
Solo2 werkt binnen je webbrowser. Je versleutelde gegevens zijn in rust beschermd, maar wanneer de applicatie geopend is en je je ontsleutelde berichten op het scherm toont, hangt de beveiliging ook af van je omgeving:
- Browserextensies:
- Schone browser:
- Native applicatie:
4. Netwerkverbindingen
De Solo2-applicatie
| Domein | Reden | Verzonden gegeven |
|---|---|---|
| solo2.net | Applicatie-API | Authenticatie, signalering, aanwezigheid |
| pay.menzuri.com | Betalingsprovider | Alleen als je een betaling doet |
Geen enkel ander domein.
Zelfs om het openbare IP-adres van je apparaat te ontdekken (nodig om directe verbindingen tussen gebruikers tot stand te brengen), gebruiken we onze eigen server (technisch een STUN-server). We delegeren niet aan externe diensten. We beheren het zelf.
De presentatiepagina
De presentatiepagina (solo2.net) — die onafhankelijk is van de applicatie — gebruikt een anoniem meetsysteem dat gehost wordt op onze eigen servers in Duitsland:
| Domein | Reden | Verzonden gegeven |
|---|---|---|
| stats.menzuri.com | Anonieme bezoekmeting | Bezochte pagina (zonder cookies, zonder IP, zonder identificatie) |
Dit systeem plaatst geen cookies, registreert je IP-adres niet, identificeert je niet, volgt je niet tussen bezoeken en deelt geen gegevens met derden. De Solo2-applicatie heeft dit systeem niet, noch enig ander type analyse.
5. Je gegevens verwijderen
Er zijn twee verschillende acties, en het is belangrijk dat je het verschil kent:
Lokale gegevens verwijderen
Vanuit de instellingen van de applicatie heb je twee opties voor lokaal verwijderen:
- Mijn gegevens verwijderen
- Noodreset
In beide gevallen blijft je account op de server bestaan.
Automatisch herstel tussen apparaten
Als je je gegevens op een apparaat verliest en een ander apparaat verbonden hebt, detecteert Solo2 de situatie en biedt aan om je identiteit en kluis automatisch te herstellen. Het herstel reist versleuteld (Argon2id) via een directe verbinding tussen je apparaten — zonder via de server te gaan.
Je account van de server verwijderen
- Alle rijen in de database die gekoppeld zijn aan je ID worden verwijderd: alle
- De verwijdering is atomair
- Betalingsrecords blijven opzettelijk losgekoppeld
- De identificatiecodes in de serverlogs zijn onomkeerbare vingerafdrukken: een log kan niet aan je account worden gekoppeld zodra het is verwijderd.
- De Kluis in je browser wordt niet automatisch verwijderd met deze actie (wij hebben geen toegang tot je browser). Om deze te verwijderen, voer je eerst de noodreset uit of wis je de sitegegevens in je browser.
5b. Je hoofdsleutel en je 24 woorden
Bij het aanmaken van je Solo2-account wordt een hoofdsleutel gegenereerd met 256 bits echte entropie (dezelfde als bij Bitcoin). Deze sleutel wordt weergegeven als 24 woorden die alleen jij kent. Je wachtwoord omhult deze sleutel om hem versleuteld op de server op te slaan — de server kan hem niet lezen.
Dit betekent dat je twee onafhankelijke sleutels
Exacte algoritmen (verifieerbaar)
Generatie: CSPRNG
Hoe je hoofdsleutel wordt beschermd
| Laag | Wat het is | Waar het zich bevindt |
|---|---|---|
| Wachtwoord | Servertoegang. Omhult je hoofdsleutel | In je geheugen + hash op de server |
| Apparaatgeheim | Onzichtbare tweede factor, automatisch gegenereerd bij installatie | Op je apparaat (niet-extraheerbaar) |
| Hoofdsleutel (24 woorden) | 256 bits echte entropie, willekeurig gegenereerd. Bitcoin-niveau (BIP39) | Op een papier dat jij bewaart + omhuld op de server |
| Sleutelrotatie | Elk bericht gebruikt een unieke sleutel die daarna wordt vernietigd (Double Ratchet) | Automatisch, transparant |
Als je je wachtwoord wijzigt
Je wachtwoord wijzigen is onmiddellijk. Je hoofdsleutel wordt simpelweg opnieuw omhuld met het nieuwe wachtwoord — je identiteit verandert niet, je kluis wordt niet opnieuw versleuteld, je contacten worden niet beïnvloed, en je 24 woorden blijven dezelfde. Het is een bewerking van milliseconden.
Herstel
Als je je wachtwoord verliest, kun je met je 24 woorden toegang krijgen tot je kluis — zonder server. Als je je 24 woorden verliest, kun je inloggen met je wachtwoord en de server geeft je omhulde sleutel terug. Als je beide verliest, zijn je gegevens onherstelbaar. Net als bij Bitcoin is dat beveiliging by design.
6. Wat er gebeurt als iemand onbevoegd toegang krijgt tot de server
Als een aanvaller volledige toegang tot de server van Solo2 zou krijgen, zou hij het volgende verkrijgen:
- Gebruikersnamen en weergavenamen
- Koppelingscodes
- Publieke sleutels (nutteloos zonder de privésleutel, die in je browser zit)
- Wachtwoordvingerafdrukken (nutteloos zonder een extreem kostbare brute-force-aanval dankzij Argon2id)
- Sessietokenvingerafdrukken (nutteloos zonder het originele token)
- Openstaande koppelingsverzoeken (interne ID's, verlopen na 3 dagen)
- Accounttype, saldi en registratiedatums
- Betalingsrecords (zonder ze aan een specifieke gebruiker te kunnen koppelen)
Wat hij NIET zou verkrijgen:
- Geen enkel bericht (ze waren nooit op de server)
- Geen enkel bestand (ze waren nooit op de server)
- Geen enkele contactenlijst (die was nooit op de server)
- Geen enkele chatgeschiedenis (die was nooit op de server)
- Geen enkele privésleutel (die leven in je browser)
- Geen enkel IP-adres (die worden niet geregistreerd)
7. Ons engagement
Dit manifest wordt bijgewerkt bij elke relevante wijziging in het gegevensbeheer. Als we een nieuw veld aan de database toevoegen, verschijnt het hier. Als we iets verwijderen, ook.
De geldende versie is altijd deze pagina.