Temeljno načelo
Solo2 ustvari zasebni tunel med dvema osebama. Neposredno. Brez posrednikov.
Naš strežnik opravlja le eno stvar: predstavi oba konca tunela, da se najdeta. Za to potrebuje minimalno nujno — identifikatorja obeh partnerjev — ki ju hrani v pomnilniku RAM le med milisekundami, ko traja predstavitev. V trenutku, ko sta se napravi našli, se ti podatki izbrišejo iz pomnilnika. Nikoli, v nobenem trenutku, niso zapisani na disk.
Ko sta povezana, strežnik izgine. V pogovoru ne sodeluje. Ne vidi ga. Ne shranjuje ga. Ne ve, koliko časa traja, niti kako pogosto govorita, niti o čem govorita.
Ne prosimo vas, da nam verjamete. Prosimo vas, da to preverite:
Preizkus 1 — Strežnik je odveč.
Ko je neposredni tunel vzpostavljen, naš strežnik ne sodeluje več. Če bi se v tistem trenutku zrušil, bi se vaš pogovor nadaljeval brez prekinitev. Dokler so vaše naprave prižgane in povezane v internet, je tunel vaš. Mi nismo več tam.
Preizkus 2 — Pošljite datoteko velikosti 10 gigabajtov.
Ne le, da bo šlo hitro — našemu strežniku je popolnoma vseeno. Poskusite biti 24 ur skupaj in pošiljati datoteke velikosti 10 gigabajtov ali več, neprekinjeno. Naš strežnik tega sploh ne bo opazil, ker ne posega vmes. Poskusite to s katero koli drugo storitvijo za sporočanje.
Preizkus 3 — Govorite o teleskopih.
Preživite popoldne v pogovoru z nekom o teleskopih ali ribiških palicah ali o čemer koli, česar nikoli niste iskali na internetu. Počakajte nekaj dni. Nikjer se ne bo pojavilo oglaševanje za teleskope. Vaše besede niso zapustile vašega tunela.
Vaši podatki, vaša odgovornost.
To je naša največja vrlina in, če smo iskreni, tisto, na kar se boste najtežje navadili. Vaša sporočila, datoteke in kontakti živijo v šifrirani shrambi znotraj vaše naprave. Na nobenem strežniku ni kopije. Zaščiteni so s 24 besedami — enaka stopnja varnosti kot Bitcoin. Vendar so na enem samem mestu, razen če Solo2 namestite na drugo napravo — obe shrambi se bosta samodejno sinhronizirali, ko bosta hkrati povezani. Izvozite lahko tudi šifrirano varnostno kopijo. Tukaj ni oblaka, ki bi vas rešil, če izgubite svojo edino napravo. Vaši podatki so vaši, z vsemi posledicami.
Podrobno
Strežnik Solo2 je popolnoma slep. Ne ve, s kom govorite, kaj pravite, niti katerih datotek si izmenjujete. Niti tehnični signali, ki vzpostavijo povezavo med napravami, niso berljivi za strežnik — potujejo šifrirani od konca do konca.
Vaša sporočila potujejo neposredno med napravami, šifrirana od konca do konca. Vaša zgodovina živi šifrirana v vašem brskalniku, nikoli na našem strežniku.
Šifrirni ključi se samodejno rotirajo z vsakim sporočilom. Vsako sporočilo je šifrirano z edinstvenim ključem, ki se takoj zatem zavrže. To je tehnično znano kot Double Ratchet in pomeni, da bi tudi če bi kdo pridobil ključ, lahko prebral le eno samo sporočilo — ne pa pogovora. Poleg tega se varnost samodejno obnovi po vsakem krogu komunikacije: ogrožen ključ postane neuporaben takoj, ko se izmenja naslednje sporočilo.
Ko neposredna povezava med napravami ni mogoča (na primer zaradi omrežnih omejitev), se uporabi strežnik ogledalo (tehnično imenovan TURN): podatki se odražajo z ene naprave na drugo, vendar se ogledalo ne zaveda, kaj odraža — vse potuje šifrirano od konca do konca in strežnik tega ne more brati. Poleg tega se vsi paketi napolnijo do enotne velikosti, da bi opazovalcu preprečili sklepanje informacij z analizo velikosti ali pogostosti prometa.
V aplikaciji lahko vedno vidite, katero vrsto povezave uporabljate — neposredno ali prek strežnika ogledalo — in ustrezno ukrepate.
Vaš glavni ključ se generira naključno z 256 bitno realno entropijo — na isti ravni kot Bitcoin. Ob ustvarjanju računa Solo2 generira edinstven ključ, ki je predstavljen kot 24 besed. Geslo ščiti dostop do storitve. Vaših 24 besed je ključ do vaših podatkov. Gre za dva različna ključa za dvoja različna vrata.
Tudi če naš strežnik izgine, vaši podatki preživijo. Z vašimi 24 besedami lahko dostopate do svoje lokalne shrambe brez povezave s strežnikom. Vaši podatki so vaši — zares.
1. Podatki, ki jih na strežniku IMAMO
1.1 Vaš uporabniški račun
To so vsa polja, ki obstajajo v vašem zapisu. Nobenega več ni.
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Uporabniško ime | Da se lahko prijavite | Navadno besedilo (je javno po zasnovi) | Dokler ne izbrišete računa |
| Geslo | Avtentikacija | Zaščiteno z Argon2id (priporoča OWASP, odporno na napade s specializirano strojno opremo). Nikoli ne shranjujemo vašega pravega gesla | Dokler ne izbrišete računa |
| Javno ime | Da vas vaši kontakti prepoznajo | Navadno besedilo (izberete ga sami) | Dokler ga ne spremenite ali izbrišete računa |
| Koda za povezovanje | Vaš naslov znotraj Solo2 — kot telefonska številka. To je tisto, kar delite z nekom, da vas najde in vam pošlje zahtevo za povezavo | Navadno besedilo, edinstveno (~10 znakov) | Dokler ne izbrišete računa |
| Ekonomska bilanca | Denar, ki ste ga dodali na svoj račun | Število (v centih) | Dokler ne izbrišete računa |
| Bonus bilanca | Prejete ugodnosti (promocije). Porabi se pred ekonomsko bilanco | Število (v centih) | Dokler ne izbrišete računa |
| Vrsta računa | Vaš trenutni načrt (preizkusni, standardni, zlati, platinasti) | 1 bajt (celo število: 0=preizkus, 1=standardni, 2=zlati, 3=platinasti, 4=ustavljen, 5=suspendiran) | Dokler se ne spremeni ali izbrišete računa |
| Datum in ura registracije | Kdaj ste ustvarili svoj račun | Poln datum in ura (timestamp) | Trajno |
| Interni identifikatorji | Sistem potrebuje dve interni kodi za sklicevanje na vas brez uporabe vašega uporabniškega imena. Ena je vaš glavni ID, druga pa referenčna koda. Obe sta neprozorni — zunaj sistema ne pomenita ničesar | Dve naključni kodi po 24 znakov (npr.: u_7kX9mP2...). Ne vsebujejo vašega imena, datuma niti nobenega osebnega podatka — so popolnoma naključni | Dokler ne izbrišete računa |
| Varnostna različica | Katera različica algoritma za zaščito gesla je bila uporabljena | Interna številka | Dokler ne izbrišete računa |
| Indikatorji stanja | Tehnične oznake (če se je vaše stanje spremenilo, če imate aktiven način maksimalne varnosti) | 1 bajt — ekvivalent ene same črke. Nič več ne gre notri | Dokler ne izbrišete računa |
Da bi si ustvarili predstavo o obsegu: vaš celoten zapis zavzema približno 400 bajtov — manj kot ta odstavek. To so vaša imena (lahko izmišljena), odtis vašega gesla (fiksna velikost, 60 bajtov), vaš šifriran glavni ključ (neprozoren blok ~128 bajtov, ki ga ne moremo brati), dve številki za vaše stanje, nekaj datumov in en bajt konfiguracije. To je vse, kar obstajate na našem strežniku.
1.2 Aktivne seje
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Hash sejno žetona | Ohranjanje vaše prijave aktivne | Nepovratni odtis (SHA-256). Prvotni žeton (token) se nikoli ne shrani na strežnik | 24 ur — nato se popolnoma izbriše |
| Datum ustvarjanja | Da sistem ve, kdaj je bila ustvarjena — uporabno za samodejno čiščenje | Numerični timestamp (unix sekunde) | Izbriše se s sejo |
| Datum poteka | Seja poteče 24 ur po ustvarjanju. Ne podaljšuje se z uporabo — ima fiksen datum poteka | Numerični timestamp (ustvarjanje + 24 ur) | 24 ur — nato se popolnoma izbriše |
Ob odjavi ali poteku se vrstica popolnoma izbriše iz baze podatkov. Ne ostane nobena sled, da je seja obstajala.
1.3 Zahteve za povezovanje
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| ID vlagatelja | Vedenje, kdo je poslal zahtevo | Interna koda s 24 naključnimi znaki | 3 dni — nato se samodejno izbriše |
| ID prejemnika | Vedenje, komu je namenjena | Interna koda s 24 naključnimi znaki | 3 dni — nato se samodejno izbriše |
| Status | V čakanju / sprejeto / zavrnjeno | 1 bajt (celo število: 0=v čakanju, 1=sprejeto, 2=zavrnjeno) | Izbriše se ob razrešitvi ali poteku (3 dni) |
| Datum ustvarjanja | Vedenje, kdaj je bila zahteva ustvarjena, da se omogoči njeno samodejno brisanje | Numerični timestamp (unix sekunde) — 4 do 8 bajtov | 3 dni — nato se samodejno izbriše |
Pomembna opomba: Dokler zahteva čaka (največ 3 dni), strežnik ve, da je uporabnik A zahteval povezavo z uporabnikom B. Po 3 dneh se zahteva samodejno izbriše. Ko je povezava sprejeta, strežnik ne hrani razmerja. Vaš seznam kontaktov obstaja le v vašem brskalniku, šifriran.
1.4 Koda za povezovanje
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Koda za povezovanje (alias) | Kratek identifikator, da vas drug uporabnik lahko najde in zahteva ustvarjanje tunela | Naključna koda z 8 znaki, izpeljana iz vašega internega ID-ja | Trajno (je vaš javni identifikator za povezavo) |
1.5 Naročnine push (obvestila)
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Naslov za obvestila | Pošiljanje obvestil v vaš brskalnik | URL ponudnika brskalnika (Google, Mozilla ali Apple) | Dokler ne deaktivirate obvestil ali izbrišete računa |
| Ključi za šifriranje push obvestil | Šifriranje obvestila, da ga lahko prebere le vaš brskalnik | Standard Web Push | Enako kot naslov |
1.6 Feedback (podpora)
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Vaše sporočilo | Da vam lahko pomagamo | Navadno besedilo | Dokler ga ne obdelamo |
| Vaš uporabniški ID | Da vemo, kdo potrebuje pomoč | Interni ID | Enako kot sporočilo |
1.7 Signalizacija povezave (efemerna)
Da bi se dve napravi lahko neposredno povezali, morata izmenjati nekatere tehnične signale za vzpostavitev povezave (protokol WebRTC). Edini trenutek, ko naš strežnik v pomnilniku hrani vašo uporabniško kodo in kodo vašega kontakta, je med milisekundami, ko obdeluje to zahtevo za povezavo. Traja le trenutek, nahaja se le v pomnilniku RAM in nikoli ni zapisano na disk. Signali sami so šifrirani od konca do konca
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Signali povezave | Vzpostavitev neposredne povezave med napravami | Šifrirano od konca do konca z javnim ključem prejemnika. Strežnik jih ne more brati niti spreminjati | 60 sekund |
1.8 Strežnik ogledalo (TURN relay)
Če neposredna povezava ni mogoča, se uporabi strežnik ogledalo: podatki gredo skoznjo kot svetloba skozi ogledalo — odražajo se z ene strani na drugo, vendar se ogledalo ne zaveda, kaj odraža. Vsi paketi so napolnjeni do enotne velikosti, tako da opazovalec ne more ločiti sporočila od preprostega utripa povezave (heartbeat).
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Povezovalni podatki za dostop | Avtentikacija na strežniku ogledalo | Vaša identiteta se spremeni v nepovratni odtis — strežnik ogledalo ne ve, kdo ste | 24 ur |
1.9 Obdelana plačila
Plačila so edina točka, kjer obstaja dejansko trenje z anonimnostjo. Bodimo iskreni glede tega.
Ko se registrirate v Solo2, izberete uporabniško ime (lahko je izmišljeno), geslo in javno ime (tudi to je lahko izmišljeno). Noben podatek vas ne poveže z resnično osebo. Če pa izvedete plačilo s kartico, vaša finančna institucija ve, kdo ste.
Tisto, kar mi prejmemo od plačilnega prehoda, je le potrditev in znesek. Ne prejmemo in ne shranjujemo imena imetnika, niti številke kartice, niti davčne številke, niti nobenega osebnega podatka plačnika. Gre za majhne zneske — zakonsko enakovredne gotovinskemu računu, kot je nakup lizike v kiosku: prodajalec ne zabeleži davčne številke tistega, ki plača.
Poleg tega je zapis o plačilu namerno ločen
| Podatek | Zakaj | Zaščita | Trajanje |
|---|---|---|---|
| Zapis o plačilu | Računovodske in davčne obveznosti | Potrditev + znesek. Brez osebnih podatkov plačnika. Brez povezave z nobenim uporabniškim računom | Trajno (zakonska obveznost) |
O najslabšem možnem scenariju:
Vsi naši prihodki so zakoniti in knjiženi prek plačilnega prehoda. Odvajamo ustrezne davke. Vendar je anonimnost stranke z naše strani popolna.
2. Podatki, ki jih na strežniku NIMAMO
To je tisto, kar nas definira. Strežnik Solo2 ne shranjuje in nima dostopa do
- Vaša sporočila
- Vaše datoteke
- Vaš seznam kontaktov
- Vaša zgodovina klepeta
- Vaša lokacija
- Analitika uporabe
- Podatki o napravi
- Metapodatki komunikacije
O vašem IP naslovu
Vaš IP naslov se ne shranjuje v nobeni bazi podatkov. V tehničnih zapisih strežnika (logih) se IP naslovi spremenijo v nepovratne odtise (hash) — koristno za odkrivanje vzorcev zlorab, vendar nemogoče za vrnitev na prvotni IP. Ti zapisi se samodejno izbrišejo vsakih 7 dni. Signali povezave, ki bi lahko vsebovali vaš IP, so šifrirani od konca do konca — strežnik jih ne more brati.
3. Podatki v vašem brskalniku (Shramba)
Vse naslednje živi izključivo v vašem brskalniku
Vaši podatki so šifrirani v mirovanju — tudi če bi kdo pridobil dostop do shrambe vašega brskalnika, bi našel le nečitljive šifrirane bloke brez vašega gesla.
Ko izvozite varnostno kopijo, se ta šifrira z isto zaščito (Argon2id + AES-256-GCM). Le kdor pozna vaše geslo, jo lahko dešifrira.
| Podatek | Šifriranje | Nadzor |
|---|---|---|
| Sporočila | AES-256-GCM | Vi se odločite, kdaj jih boste izbrisali |
| Datoteke | AES-256-GCM | Vi se odločite, kdaj jih boste izbrisali |
| Kontakti (pari) | AES-256-GCM | Vi se odločite, s kom se boste povezali |
| Status preverjanja | AES-256-GCM | Vi preverite identiteto vsakega kontakta |
| Indeks iskanja | Šifrirano z nepovratnimi žetoni (HMAC) | Rekonstruira se iz vaših sporočil |
| Status dostave | AES-256-GCM | Katera sporočila so bila dostavljena |
| Čakajoča sporočila | AES-256-GCM | Vrsta za pošiljanje, ko ni povezave |
Začasna shramba brskalnika
| Podatek | Vrsta | Trajanje | Zakaj |
|---|---|---|---|
| Uporabniška seja | Lokalni pomnilnik brskalnika (localStorage) | Dokler se ne odjavite | Ohranjanje vaše prijave |
| Različica aplikacije | Lokalni pomnilnik brskalnika (localStorage) | Trajno | Zaznavanje posodobitev |
| Preferenca teme | Lokalni pomnilnik brskalnika (localStorage) | Trajno | Zapomnitev vaše vizualne teme |
| Jezikovna preferenca | Lokalni pomnilnik brskalnika (localStorage) | Trajno | Zapomnitev vašega jezika |
| Geslo (način maksimalne varnosti) | Pomnilnik zavihka (sessionStorage) | Izgine, ko zaprete zavihek | Ponovna inicializacija šifriranja, če osvežite stran |
Opomba o varnosti v brskalniku
Solo2 deluje znotraj vašega spletnega brskalnika. Vaši šifrirani podatki so zaščiteni v mirovanju, ko pa je aplikacija odprta in vam na zaslonu prikazuje dešifrirana sporočila, je varnost odvisna tudi od vašega okolja:
- Razširitve brskalnika:
- Čist brskalnik:
- Nativna aplikacija:
4. Omrežne povezave
Aplikacija Solo2
| Domena | Razlog | Poslani podatek |
|---|---|---|
| solo2.net | API aplikacije | Avtentikacija, signalizacija, prisotnost |
| pay.menzuri.com | Plačilni prehod | Le če izvedete plačilo |
Nobena druga domena.
Tudi za odkrivanje javnega IP naslova vaše naprave (nujno za vzpostavitev neposrednih povezav med uporabniki) uporabljamo lasten strežnik (tehnično imenovan STUN). Ne prenašamo na zunanje storitve. Upravljamo ga sami.
Predstavitvena stran
Predstavitvena stran (solo2.net) — ki je neodvisna od aplikacije — uporablja sistem anonimnega merjenja, ki gostuje na naših lastnih strežnikih v Nemčiji:
| Domena | Razlog | Poslani podatek |
|---|---|---|
| stats.menzuri.com | Anonimno merjenje obiskov | Obiskana stran (brez piškotkov, brez IP-ja, brez identifikacije) |
Ta sistem ne namešča piškotkov, ne beleži vašega IP naslova, vas ne identificira, vam ne sledi med obiski in ne deli podatkov s tretjimi osebami. Aplikacija Solo2 nima tega sistema niti katere koli druge vrste analitike.
5. Izbris vaših podatkov
Obstajata dve različni dejanji in pomembno je, da poznate razliko:
Izbris lokalnih podatkov
V nastavitvah aplikacije imate dve možnosti lokalnega izbrisa:
- Izbriši moje podatke
- Nasilna ponastavitev (reset)
V obeh primerih vaš račun na strežniku še naprej obstaja.
Samodejna obnova med napravami
Če izgubite podatke v eni napravi in imate povezano drugo, Solo2 zazna situacijo in vam ponudi samodejno obnovo vaše identitete in shrambe. Obnova potuje šifrirana (Argon2id) prek neposredne povezave med vašimi napravami — brez prehajanja prek strežnika.
Izbris vašega računa s strežnika
- Izbrišejo se vsi
- Izbris je atomski
- Zapisi o plačilih ostanejo namerno ločeni
- Identifikatorji v logih strežnika so nepovratni odtisi: loga ni mogoče povezati z vašim računom, ko je ta enkrat izbrisan.
- Shramba v vašem brskalniku se s tem dejanjem ne izbriše samodejno (nimamo dostopa do vašega brskalnika). Da bi jo izbrisali, najprej izvedite nuklearni izbris ali očistite podatke spletnega mesta v svojem brskalniku.
5b. Vaš glavni ključ in vaših 24 besed
Ob ustvarjanju računa Solo2 se generira glavni ključ z 256 biti realne entropije (enako kot uporablja Bitcoin). Ta ključ je predstavljen kot 24 besed, ki jih poznate le vi. Vaše geslo ovije ta ključ, da se shrani šifriran na strežniku — strežnik ga ne more brati.
To pomeni, da imate dva neodvisna ključa
Natančni algoritmi (preverljivo)
Generiranje: CSPRNG
Kako se ščiti vaš glavni ključ
| Plast | Kaj je to | Kje živi |
|---|---|---|
| Geslo | Dostop do strežnika. Ovije vaš glavni ključ | V vašem spominu + hash na strežniku |
| Skrivnost naprave | Nevidni drugi faktor, samodejno generiran ob namestitvi | V vaši napravi (ni mogoče izvleči) |
| Glavni ključ (24 besed) | 256 bitov realne entropije, generirane naključno. Raven Bitcoina (BIP39) | Na papirju, ki ga hranite vi + ovit na strežniku |
| Rotacija ključev | Vsako sporočilo uporablja edinstven ključ, ki se nato uniči (Double Ratchet) | Samodejno, pregledno |
Če spremenite svoje geslo
Sprememba vašega gesla je trenutna. Vaš glavni ključ se le ponovno "ovije" z novim geslom — vaša identiteta se ne spremeni, vaša shramba se ne prešifrira, vaši kontakti niso prizadeti in vaših 24 besed ostane enakih. Gre za operacijo milisekund.
Obnova
Če izgubite geslo, lahko do svoje shrambe dostopate s svojimi 24 besedami — brez potrebe po strežniku. Če izgubite svojih 24 besed, se lahko prijavite z geslom in strežnik vam vrne vaš ovit ključ. Če izgubite oboje, so vaši podatki neobnovljivi. Kot v Bitcoinu, je to varnost po zasnovi.
6. Kaj se zgodi, če kdo nepooblaščeno dostopi do strežnika
Če bi napadalec pridobil popoln dostop do strežnika Solo2, bi pridobil:
- Uporabniška imena in javna imena
- Kode za povezovanje
- Javni ključi (neporabni brez zasebnega ključa, ki je v vašem brskalniku)
- Odtisi gesel (neporabni brez izjemno dragega napada s surovno silo zahvaljujoč Argon2id)
- Odtisi sejnih žetonov (neporabni brez prvotnega žetona)
- Čakajoče zahteve za povezovanje (interni ID-ji, potečejo v 3 dneh)
- Vrsta računa, stanja in datumi registracije
- Zapisi o plačilih (brez možnosti povezave s konkretnim uporabnikom)
Česa NE BI pridobil:
- Nobenega sporočila (nikoli niso bila na strežniku)
- Nobene datoteke (nikoli niso bile na strežniku)
- Nobenega seznama kontaktov (nikoli ni bil na strežniku)
- Nobene zgodovine klepeta (nikoli ni bila na strežniku)
- Nobenega zasebnega ključa za šifriranje (živijo v vašem brskalniku)
- Nobenega IP naslova (ne beležijo se)
7. Naša zaveza
Ta manifest bo posodobljen ob vsaki pomembni spremembi pri upravljanju podatkov. Če dodamo novo polje v bazo podatkov, se bo pojavilo tukaj. Če kaj odstranimo, prav tako.
Veljavna različica je vedno ta stran.