Nguyên tắc cơ bản
Solo2 tạo ra một đường truyền riêng tư giữa hai người. Trực tiếp. Không qua trung gian.
Máy chủ của chúng tôi chỉ làm một việc duy nhất: giới thiệu hai đầu của đường truyền để họ tìm thấy nhau. Để làm được điều đó, nó cần mức tối thiểu cần thiết — mã định danh của hai bên — được giữ trong bộ nhớ RAM trong vài mili giây diễn ra quá trình giới thiệu. Ngay khi hai thiết bị tìm thấy nhau, dữ liệu đó sẽ bị xóa khỏi bộ nhớ. Không bao giờ, tại bất kỳ thời điểm nào, dữ liệu đó được ghi vào đĩa.
Sau khi kết nối, máy chủ sẽ biến mất. Nó không tham gia vào cuộc hội thoại. Nó không nhìn thấy. Nó không lưu trữ. Nó không biết cuộc gọi kéo dài bao lâu, tần suất các bạn nói chuyện, hay các bạn nói về vấn đề gì.
Chúng tôi không yêu cầu bạn tin tưởng chúng tôi. Chúng tôi yêu cầu bạn tự mình kiểm tra:
Thử nghiệm 1 — Máy chủ là dư thừa.
Sau khi đường truyền trực tiếp được thiết lập, máy chủ của chúng tôi không còn tham gia nữa. Nếu nó ngừng hoạt động vào lúc đó, cuộc trò chuyện của bạn vẫn tiếp tục mà không bị gián đoạn. Chừng nào thiết bị của các bạn còn bật và kết nối internet, đường truyền đó là của các bạn. Chúng tôi không còn ở đó nữa.
Thử nghiệm 2 — Gửi một tệp 10 gigabyte.
Không những nó sẽ chạy nhanh — mà máy chủ của chúng tôi còn không quan tâm chút nào. Hãy thử gửi tệp 10GB hoặc hơn liên tục trong 24 giờ. Máy chủ của chúng tôi thậm chí sẽ không nhận ra, vì nó không can thiệp. Hãy thử làm điều đó với bất kỳ dịch vụ nhắn tin nào khác.
Thử nghiệm 3 — Nói về kính thiên văn.
Hãy dành một buổi chiều nói chuyện với ai đó về kính thiên văn, hoặc cần câu cá, hoặc bất cứ điều gì bạn chưa bao giờ tìm kiếm trên internet. Đợi vài ngày. Quảng cáo về kính thiên văn sẽ không xuất hiện ở bất cứ đâu. Những lời nói của bạn không hề rời khỏi đường truyền của mình.
Dữ liệu của bạn, trách nhiệm của bạn.
Đây là ưu điểm lớn nhất của chúng tôi và nói một cách chân thành, cũng là điều bạn sẽ cảm thấy khó làm quen nhất. Tin nhắn, tệp và danh bạ của bạn nằm trong một kho lưu trữ mã hóa trên thiết bị của bạn. Không có bản sao trên bất kỳ máy chủ nào. Chúng được bảo vệ bằng 24 từ — cùng mức độ bảo mật với Bitcoin. Nhưng chúng chỉ ở một nơi duy nhất, trừ khi bạn cài đặt Solo2 trên thiết bị thứ hai — cả hai kho lưu trữ sẽ tự động đồng bộ hóa khi được kết nối cùng lúc. Bạn cũng có thể xuất một bản sao lưu mã hóa — hoặc một bản sao đọc được ở các định dạng tiêu chuẩn để mang dữ liệu của bạn đến bất cứ đâu bạn muốn. Ở đây không có đám mây nào cứu được bạn nếu bạn làm mất thiết bị duy nhất của mình. Dữ liệu của bạn là của bạn, với tất cả các hệ quả đi kèm.
Chi tiết
Máy chủ của Solo2 hoàn toàn mù. Nó không biết bạn đang nói chuyện với ai, bạn nói gì, hay bạn chia sẻ tệp nào. Ngay cả các tín hiệu kỹ thuật thiết lập kết nối giữa các thiết bị cũng không thể đọc được đối với máy chủ — chúng được mã hóa đầu-cuối.
Tin nhắn của bạn di chuyển trực tiếp giữa các thiết bị, được mã hóa đầu-cuối. Lịch sử của bạn sống trong trạng thái mã hóa trên trình duyệt, không bao giờ nằm trên máy chủ của chúng tôi.
Các khóa mã hóa tự động xoay vòng sau mỗi tin nhắn. Mỗi tin nhắn được mã hóa bằng một khóa duy nhất và sẽ được loại bỏ ngay sau đó. Về mặt kỹ thuật, điều này được gọi là Double Ratchet, và nó có nghĩa là ngay cả khi ai đó lấy được một khóa, họ cũng chỉ có thể đọc được một tin nhắn duy nhất — chứ không phải toàn bộ cuộc hội thoại. Ngoài ra, tính bảo mật được khôi phục tự động sau mỗi lượt giao tiếp: một khóa bị xâm phạm sẽ trở nên vô dụng ngay khi tin nhắn tiếp theo được trao đổi.
Khi kết nối trực tiếp giữa các thiết bị không thể thực hiện được (ví dụ: do hạn chế mạng), một máy chủ phản chiếu (kỹ thuật gọi là TURN) sẽ được sử dụng: dữ liệu được phản chiếu từ thiết bị này sang thiết bị khác, nhưng máy chủ phản chiếu không nhận thức được những gì nó đang phản chiếu — mọi thứ đều di chuyển dưới dạng mã hóa đầu-cuối và máy chủ không thể đọc được. Ngoài ra, tất cả các gói tin đều được lấp đầy (padding) để có kích thước đồng nhất nhằm ngăn chặn người quan sát suy luận thông tin bằng cách phân tích kích thước hoặc tần suất lưu lượng mạng.
Bạn luôn có thể thấy trong ứng dụng loại kết nối nào đang được sử dụng — trực tiếp hoặc qua máy chủ phản chiếu — và hành động phù hợp.
Khóa chính của bạn được tạo ngẫu nhiên với 256 bit entropy thực — cùng cấp độ với Bitcoin. Khi tạo tài khoản, Solo2 tạo ra một khóa duy nhất được đại diện bằng 24 từ. Mật khẩu của bạn bảo vệ quyền truy cập vào dịch vụ. 24 từ là chìa khóa dữ liệu của bạn. Đó là hai chìa khóa khác nhau cho hai cánh cửa khác nhau.
Ngay cả khi máy chủ của chúng tôi biến mất, dữ liệu của bạn vẫn tồn tại. Với 24 từ của mình, bạn có thể truy cập kho lưu trữ cục bộ mà không cần kết nối máy chủ. Dữ liệu của bạn là của bạn — một cách thực sự.
1. Dữ liệu chúng tôi CÓ trên máy chủ
1.1 Tài khoản người dùng của bạn
Đây là tất cả các trường dữ liệu tồn tại trong hồ sơ của bạn. Không còn cái nào khác.
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Tên người dùng | Để bạn có thể đăng nhập | Văn bản thuần túy (được công khai theo thiết kế) | Cho đến khi bạn xóa tài khoản |
| Mật khẩu | Xác thực | Được bảo vệ bằng Argon2id (được đề xuất bởi OWASP, có khả năng chống lại các cuộc tấn công bằng phần cứng chuyên dụng). Chúng tôi không bao giờ lưu trữ mật khẩu thực của bạn | Cho đến khi bạn xóa tài khoản |
| Khóa chính đã được bao bọc | Để bạn có thể mở kho lưu trữ bằng cách đăng nhập với mật khẩu, mà không phải gõ 24 từ mỗi lần. Nếu bạn mất các từ của mình, lớp bao bọc này chính là cách khôi phục của bạn | Khối không trong suốt (80 byte) được mã hóa bằng một khóa dẫn xuất từ mật khẩu của bạn — máy chủ không thể mở nó | Cho đến khi bạn xóa tài khoản |
| Dấu vết khôi phục | Để xác minh rằng 24 từ của bạn là chính xác khi bạn khôi phục quyền truy cập vào tài khoản — mà máy chủ không bao giờ nhìn thấy chúng | Dấu vết không thể đảo ngược (SHA-256, 64 ký tự). Không tiết lộ điều gì về các từ hay khóa của bạn | Cho đến khi bạn xóa tài khoản |
| Tên công khai | Để danh bạ nhận ra bạn | Văn bản thuần túy (do bạn chọn) | Cho đến khi bạn thay đổi hoặc xóa tài khoản |
| Mã liên kết | Địa chỉ của bạn trong Solo2 — giống như một số điện thoại. Đó là thứ bạn chia sẻ với ai đó để họ tìm thấy bạn và gửi yêu cầu kết nối | Văn bản thuần túy, duy nhất (~10 ký tự) | Cho đến khi bạn xóa tài khoản |
| Số dư tài chính | Số tiền bạn đã nạp vào tài khoản | Số (tính theo xu) | Cho đến khi bạn xóa tài khoản |
| Số dư thưởng | Tiền thưởng nhận được (khuyến mãi). Được sử dụng trước số dư tài chính | Số (tính theo xu) | Cho đến khi bạn xóa tài khoản |
| Loại tài khoản | Gói của bạn: thường, người sáng lập hoặc bạch kim (quản trị viên chỉ tồn tại cho các tài khoản quản trị) | 1 byte (số nguyên) | Cho đến khi thay đổi hoặc bạn xóa tài khoản |
| Trạng thái tài khoản | Tình trạng tài khoản của bạn: đang hoạt động, đang trong thời gian dùng thử, bị bạn tạm dừng, hoặc đang trong thời gian ân hạn. Nếu bạn tạm dừng tài khoản, trường này chính là thứ ghi nhớ điều đó | 1 byte (số nguyên) | Cho đến khi thay đổi hoặc bạn xóa tài khoản |
| Dấu thời điểm cắt dịch vụ | Lưu lại thời điểm dịch vụ bị cắt: do quản trị viên đặt khi đình chỉ một tài khoản, hoặc do hệ thống đặt khi số dư của bạn về không (đây là khởi đầu của thời gian ân hạn). Ở một tài khoản bình thường giá trị là 0 | Timestamp số (0 = không cắt) | Cho đến khi tài khoản được kích hoạt lại — nạp tiền hoặc gỡ bỏ — hoặc bị xóa |
| Ngày và giờ đăng ký | Khi bạn tạo tài khoản | Ngày và giờ đầy đủ (timestamp) | Vĩnh viễn |
| Mã định danh nội bộ | Hệ thống cần hai mã nội bộ để tham chiếu đến bạn mà không cần sử dụng tên người dùng. Một cái là ID chính và cái kia là mã tham chiếu. Cả hai đều không trong suốt — chúng không có ý nghĩa gì bên ngoài hệ thống | Hai mã ngẫu nhiên gồm 24 ký tự mỗi mã (ví dụ: u_7kX9mP2...). Chúng không chứa tên, ngày tháng hay bất kỳ dữ liệu cá nhân nào — hoàn toàn ngẫu nhiên | Cho đến khi bạn xóa tài khoản |
| Phiên bản bảo mật | Phiên bản thuật toán bảo vệ mật khẩu nào đã được sử dụng | Số hiệu nội bộ | Cho đến khi bạn xóa tài khoản |
| Chỉ báo trạng thái | Các nhãn kỹ thuật (nếu số dư thay đổi, nếu bạn đang bật chế độ bảo mật tối đa) | 1 byte — tương đương với một chữ cái duy nhất. Không thể chứa thêm gì khác | Cho đến khi bạn xóa tài khoản |
Để bạn dễ hình dung về dung lượng: toàn bộ bản ghi của bạn chiếm khoảng 400 byte — ít hơn đoạn văn này. Đó là tên của bạn (có thể giả), một dấu vết mật khẩu (kích thước cố định, 128 ký tự), khóa chính đã mã hóa của bạn (một khối không trong suốt 80 byte mà chúng tôi không thể đọc được), một dấu vết khôi phục (64 ký tự không tiết lộ điều gì), hai con số cho số dư, vài ngày tháng và bốn byte cấu hình. Đó là tất cả sự tồn tại của bạn trên máy chủ của chúng tôi.
1.2 Các phiên làm việc đang hoạt động
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Mã băm (hash) của mã thông báo phiên | Duy trì trạng thái đăng nhập của bạn | Dấu vết không thể đảo ngược (SHA-256). Mã thông báo gốc không bao giờ được lưu trữ trên máy chủ | 24 giờ — sau đó sẽ bị xóa hoàn toàn |
| Ngày tạo | Để hệ thống biết thời điểm được tạo — hữu ích cho việc tự động dọn dẹp | Timestamp số (giây unix) | Bị xóa cùng với phiên làm việc |
| Ngày hết hạn | Phiên làm việc hết hạn sau 24 giờ kể từ khi tạo. Nó không được gia hạn theo quá trình sử dụng — nó có ngày hết hạn cố định | Timestamp số (thời điểm tạo + 24 giờ) | 24 giờ — sau đó sẽ bị xóa hoàn toàn |
Khi đăng xuất hoặc khi hết hạn, dòng dữ liệu đó sẽ bị xóa hoàn toàn khỏi cơ sở dữ liệu. Không còn dấu vết nào cho thấy phiên làm việc đó đã tồn tại.
1.3 Yêu cầu liên kết
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| ID của người yêu cầu | Biết ai đã gửi yêu cầu | Mã nội bộ gồm 24 ký tự ngẫu nhiên | 3 ngày — sau đó sẽ tự động xóa |
| ID của người nhận | Biết yêu cầu được gửi đến ai | Mã nội bộ gồm 24 ký tự ngẫu nhiên | 3 ngày — sau đó sẽ tự động xóa |
| Trạng thái | Đang chờ / đã chấp nhận / bị từ chối | 1 byte (số nguyên: 0=đang chờ, 1=đã chấp nhận, 2=bị từ chối) | Bị xóa khi được giải quyết hoặc khi hết hạn (3 ngày) |
| Ngày tạo | Biết thời điểm yêu cầu được tạo để có thể tự động xóa | Timestamp số (giây unix) — 4 đến 8 byte | 3 ngày — sau đó sẽ tự động xóa |
Lưu ý quan trọng: Trong khi yêu cầu đang chờ xử lý (tối đa 3 ngày), máy chủ có biết người dùng A đã yêu cầu kết nối với người dùng B. Sau 3 ngày, yêu cầu sẽ tự động bị xóa. Sau khi việc liên kết được chấp nhận, máy chủ không lưu trữ mối quan hệ đó. Danh sách liên hệ của bạn chỉ tồn tại trong trình duyệt của bạn, dưới dạng mã hóa.
1.4 Mã liên kết
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Mã liên kết (alias) | Mã định danh ngắn để người dùng khác tìm thấy bạn và yêu cầu tạo đường truyền | Mã ngẫu nhiên gồm 8 ký tự được tạo từ ID nội bộ của bạn | Vĩnh viễn (đó là mã định danh kết nối công khai của bạn) |
1.5 Đăng ký push (thông báo)
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Địa chỉ thông báo | Gửi thông báo đến trình duyệt của bạn | URL của nhà cung cấp trình duyệt (Google, Mozilla hoặc Apple) | Cho đến khi bạn tắt thông báo hoặc xóa tài khoản |
| Khóa mã hóa push | Mã hóa thông báo để chỉ trình duyệt của bạn mới có thể đọc được | Tiêu chuẩn Web Push | Giống như địa chỉ |
1.6 Phản hồi (hỗ trợ)
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Tin nhắn của bạn | Để chúng tôi có thể hỗ trợ bạn | Văn bản thuần túy | Cho đến khi chúng tôi xử lý xong |
| ID người dùng của bạn | Để biết ai cần hỗ trợ | ID nội bộ | Giống như tin nhắn |
1.7 Tín hiệu kết nối (tạm thời)
Để hai thiết bị có thể kết nối trực tiếp, chúng cần trao đổi các tín hiệu kỹ thuật thiết lập kết nối (giao thức WebRTC). Thời điểm duy nhất mà máy chủ của chúng tôi giữ trong bộ nhớ mã người dùng của bạn và của đối phương là trong vài mili giây khi nó xử lý yêu cầu kết nối này. Quá trình này diễn ra trong tích tắc, chỉ nằm trong bộ nhớ RAM và không bao giờ được ghi vào đĩa. Bản thân các tín hiệu này được mã hóa đầu-cuối
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Tín hiệu kết nối | Thiết lập kết nối trực tiếp giữa các thiết bị | Được mã hóa đầu-cuối bằng khóa công khai của người nhận. Máy chủ không thể đọc hay sửa đổi chúng | 60 giây |
1.8 Máy chủ phản chiếu (TURN relay)
Nếu không thể kết nối trực tiếp, một máy chủ phản chiếu sẽ được sử dụng: dữ liệu đi qua nó giống như ánh sáng đi qua gương — chúng được phản chiếu từ bên này sang bên kia, nhưng máy chủ phản chiếu không nhận thức được những gì nó đang phản chiếu. Tất cả các gói tin đều được lấp đầy để có kích thước đồng nhất sao cho người quan sát không thể phân biệt được đâu là tin nhắn và đâu là tín hiệu kết nối thông thường.
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Thông tin truy cập | Xác thực bạn trên máy chủ phản chiếu | Danh tính của bạn được chuyển đổi thành dấu vết không thể đảo ngược — máy chủ phản chiếu không biết bạn là ai | 24 giờ |
1.9 Các khoản thanh toán đã xử lý
Thanh toán là điểm duy nhất có sự xung đột thực sự với tính ẩn danh. Hãy thành thật về điều đó.
Khi bạn đăng ký Solo2, bạn chọn một tên người dùng (có thể giả), một mật khẩu và một tên công khai (cũng có thể giả nếu muốn). Không có dữ liệu nào liên kết bạn với một người thực. Nhưng nếu bạn thực hiện thanh toán bằng thẻ, tổ chức tài chính của bạn sẽ biết bạn là ai.
Những gì chúng tôi nhận được từ cổng thanh toán chỉ là một xác nhận và một số tiền. Chúng tôi không nhận hoặc lưu trữ tên chủ thẻ, số thẻ, số định danh cá nhân (DNI) hay bất kỳ dữ liệu cá nhân nào của người thanh toán. Đây là những khoản tiền nhỏ — về mặt pháp lý tương đương với một biên lai thanh toán bằng tiền mặt, giống như mua một cây kẹo mút ở cửa hàng tạp hóa: người bán hàng không ghi lại số định danh của người mua.
Ngoài ra, hồ sơ thanh toán đã cố tình hủy liên kết khỏi tài khoản người dùng của bạn. Không có trường nào trong cơ sở dữ liệu của chúng tôi khớp với phiếu thu tiền với một tài khoản cụ thể.
| Dữ liệu | Tại sao | Bảo vệ | Thời hạn |
|---|---|---|---|
| Hồ sơ thanh toán | Kế toán và nghĩa vụ thuế | Xác nhận + số tiền. Không có dữ liệu cá nhân của người trả tiền. Không liên kết với bất kỳ tài khoản người dùng nào | Vĩnh viễn (nghĩa vụ pháp lý) |
Về tình huống xấu nhất có thể xảy ra: Ngay cả khi có lệnh của tòa án, chuỗi theo dõi sẽ là: thẻ của bạn → ngân hàng của bạn → cổng thanh toán → phiếu thu tiền của chúng tôi. Nhưng vé của chúng tôi không chứa bất kỳ số nhận dạng người dùng nào. Đó không phải là sự giám sát: đó là một quyết định thiết kế. Không có trường hoặc chỉ mục nào trong cơ sở dữ liệu của chúng tôi liên quan đến khoản thanh toán cho tài khoản. Cách lý thuyết duy nhất sẽ là mối tương quan về thời gian - nếu bạn là người thanh toán duy nhất trong một khoảng thời gian nhất định - nhưng ngay cả trong trường hợp cực đoan đó, tài khoản không chứa thông tin nhận dạng người thật: tên người dùng và tên công khai hoàn toàn có thể được tạo ra.
Tất cả các khoản thu của chúng tôi đều hợp pháp và được hạch toán thông qua cổng thanh toán. Chúng tôi thực hiện đầy đủ nghĩa vụ thuế. Nhưng về phía chúng tôi, sự ẩn danh của khách hàng là tuyệt đối.
2. Dữ liệu chúng tôi KHÔNG CÓ trên máy chủ
Đây là những gì định nghĩa chúng tôi. Máy chủ Solo2 không lưu trữ hoặc truy cập :
- Tin nhắn của bạn — Truyền trực tiếp giữa các thiết bị, được mã hóa hai đầu. Máy chủ không bao giờ nhìn thấy chúng.
- Tệp của bạn — Giống như tin nhắn: trực tiếp và được mã hóa.
- Danh sách liên hệ của bạn — Chỉ tồn tại trong trình duyệt của bạn, được mã hóa tại Bóveda.
- Lịch sử trò chuyện của bạn — Chỉ trong trình duyệt của bạn, được mã hóa.
- Vị trí của bạn — GeoStamp được tính toán trên thiết bị của bạn và gửi trực tiếp đến người nhận. Máy chủ không bao giờ xử lý chúng.
- Phân tích sử dụng — Ứng dụng Solo2 không có bất kỳ hệ thống phân tích, cookie theo dõi hoặc tập lệnh của bên thứ ba nào.
- Dữ liệu thiết bị — Chúng tôi không thu thập kiểu máy, độ phân giải, hệ điều hành hoặc bất kỳ đặc điểm nào của thiết bị của bạn.
- Siêu dữ liệu liên lạc — Chúng tôi không biết bạn nói chuyện với ai, khi nào, tần suất hoặc trong bao lâu.
Về địa chỉ IP của bạn
Địa chỉ IP của bạn không được lưu trữ trong bất kỳ cơ sở dữ liệu nào. Trong các nhật ký kỹ thuật của máy chủ, địa chỉ IP được chuyển đổi thành dấu vết không thể đảo ngược (hash) — hữu ích để phát hiện các mẫu lạm dụng, nhưng không thể khôi phục lại IP gốc. Các nhật ký này được xóa tự động sau mỗi 7 ngày. Các tín hiệu kết nối, vốn có thể chứa IP của bạn, được mã hóa đầu-cuối — máy chủ không thể đọc được.
3. Dữ liệu trong trình duyệt của bạn (Kho lưu trữ)
Mọi thứ bên dưới chỉ tồn tại trong trình duyệt của bạn, được mã hóa bằng AES-256-GCM (tiêu chuẩn mã hóa cấp quân sự được chính phủ và tổ chức tài chính sử dụng). Khóa được tạo từ mật khẩu của bạn bằng cách sử dụng Argon2id (thuật toán mạnh mẽ nhất hiện có để chống lại các cuộc tấn công bằng phần cứng chuyên dụng) và quá trình này diễn ra hoàn toàn trong trình duyệt của bạn. Mật khẩu của bạn không bao giờ được gửi đến máy chủ.
Dữ liệu của bạn được mã hóa khi lưu trữ — ngay cả khi ai đó truy cập được vào bộ lưu trữ trình duyệt của bạn, họ cũng chỉ tìm thấy các khối mã hóa không thể đọc được nếu không có mật khẩu của bạn.
Khi bạn xuất một bản sao lưu, nó sẽ được mã hóa bằng cùng một phương thức bảo vệ (Argon2id + AES-256-GCM). Chỉ người biết mật khẩu của bạn mới có thể giải mã nó. Ngoại lệ duy nhất là có chủ đích: bản sao đọc được — một tệp ZIP tiêu chuẩn được thiết kế để bạn có thể đọc dữ liệu của mình mà không cần ứng dụng — được tạo ra mà không mã hóa; ứng dụng cảnh báo bạn về điều đó và yêu cầu mật khẩu của bạn trước khi tạo nó.
| Dữ liệu | Mã hóa | Kiểm soát |
|---|---|---|
| Tin nhắn | AES-256-GCM | Bạn quyết định khi nào xóa chúng |
| Tệp | AES-256-GCM | Bạn quyết định khi nào xóa chúng |
| Liên hệ (cặp) | AES-256-GCM | Bạn quyết định liên kết với ai |
| Trạng thái xác minh | AES-256-GCM | Bạn xác minh danh tính của từng liên hệ |
| Chỉ mục tìm kiếm | Được mã hóa bằng các mã thông báo không thể đảo ngược (HMAC) | Được xây dựng lại từ tin nhắn của bạn |
| Trạng thái chuyển phát | AES-256-GCM | Những tin nhắn nào đã được chuyển phát |
| Tin nhắn đang chờ | AES-256-GCM | Hàng đợi gửi khi không có kết nối |
Bộ lưu trữ tạm thời của trình duyệt
| Dữ liệu | Loại | Thời hạn | Tại sao |
|---|---|---|---|
| Phiên người dùng | Bộ nhớ cục bộ trình duyệt (localStorage) | Cho đến khi bạn đăng xuất | Duy trì trạng thái đăng nhập |
| Phiên bản ứng dụng | Bộ nhớ cục bộ trình duyệt (localStorage) | Vĩnh viễn | Phát hiện cập nhật |
| Tùy chọn giao diện | Bộ nhớ cục bộ trình duyệt (localStorage) | Vĩnh viễn | Ghi nhớ giao diện hiển thị của bạn |
| Tùy chọn ngôn ngữ | Bộ nhớ cục bộ trình duyệt (localStorage) | Vĩnh viễn | Ghi nhớ ngôn ngữ của bạn |
| Mật khẩu (chế độ bảo mật tối đa) | Bộ nhớ tab (sessionStorage) | Biến mất khi đóng tab | Khởi tạo lại mã hóa nếu bạn tải lại trang |
Ghi chú về bảo mật trong trình duyệt
Solo2 hoạt động bên trong trình duyệt web của bạn. Dữ liệu mã hóa của bạn được bảo vệ khi lưu trữ, nhưng khi ứng dụng đang mở và hiển thị tin nhắn đã giải mã trên màn hình, tính bảo mật cũng phụ thuộc vào môi trường của bạn:
- Tiện ích mở rộng trình duyệt: Một tiện ích mở rộng độc hại có quyền truy cập vào các trang bạn truy cập, về mặt lý thuyết, có thể đọc những gì hiển thị trên màn hình. Chúng tôi khuyên bạn nên sử dụng càng ít tiện ích mở rộng càng tốt và chỉ từ các nguồn đáng tin cậy.
- Trình duyệt sạch: Trình duyệt được cập nhật không có tiện ích mở rộng không cần thiết là đồng minh tốt nhất của bạn.
- Ứng dụng gốc: Trong tương lai, chúng tôi sẽ cung cấp một ứng dụng dành cho máy tính để bàn (Windows, Mac, Linux) sẽ cung cấp mức độ cách ly bổ sung bằng cách không dựa vào môi trường trình duyệt.
4. Các kết nối mạng
Ứng dụng Solo2
| Tên miền | Lý do | Dữ liệu đã gửi |
|---|---|---|
| solo2.net | API của ứng dụng | Xác thực, báo hiệu, hiện diện |
| pay.menzuri.com | Cổng thanh toán | Chỉ khi bạn thực hiện thanh toán |
Không có tên miền nào khác. Không có tập lệnh bên ngoài. Không có CDN theo dõi. Chính sách bảo mật nội dung (CSP) của máy chủ thực thi điều này về mặt kỹ thuật: mọi nỗ lực tải tài nguyên từ các miền khác đều bị chặn bởi trình duyệt .
Ngay cả để khám phá địa chỉ IP công khai của thiết bị của bạn (cần thiết để thiết lập kết nối trực tiếp giữa các người dùng), chúng tôi cũng sử dụng máy chủ riêng (kỹ thuật gọi là STUN). Chúng tôi không ủy thác cho các dịch vụ bên ngoài. Chúng tôi tự quản lý nó.
Trang giới thiệu
Trang giới thiệu (solo2.net) — vốn độc lập với ứng dụng — sử dụng hệ thống đo lường ẩn danh được lưu trữ trên máy chủ riêng của chúng tôi tại Đức:
| Tên miền | Lý do | Dữ liệu đã gửi |
|---|---|---|
| stats.menzuri.com | Đo lường truy cập ẩn danh | Trang đã truy cập (không cookie, không IP, không định danh) |
Hệ thống này không cài đặt cookie, không ghi lại địa chỉ IP của bạn, không nhận dạng bạn, không theo dõi bạn giữa các lần truy cập và không chia sẻ dữ liệu với bên thứ ba. Ứng dụng Solo2 không có hệ thống này hay bất kỳ loại phân tích nào khác.
5. Xóa dữ liệu của bạn
Có hai hành động khác nhau, và điều quan trọng là bạn phải biết sự khác biệt:
Xóa dữ liệu cục bộ
Từ phần cài đặt ứng dụng, bạn có hai tùy chọn xóa cục bộ:
- Xóa dữ liệu của tôi — Chỉ xóa dữ liệu của bạn (danh tính, vault, phiên) mà không ảnh hưởng đến những người dùng khác sử dụng cùng một trình duyệt.
- Đặt lại khẩn cấp — Xóa hoàn toàn mọi thứ: dữ liệu của tất cả người dùng, Nhân viên dịch vụ, bộ đệm và khóa mật mã. Yêu cầu xác nhận kép.
Trong cả hai trường hợp, tài khoản của bạn trên máy chủ vẫn tồn tại. Bạn có thể đăng nhập lại nhưng dữ liệu cục bộ của bạn sẽ bị mất vĩnh viễn. Làm như vậy sẽ tạo ra một danh tính mật mã hoàn toàn mới: bất kỳ ai có khóa công khai trước đó của bạn đều không thể mã hóa bất cứ thứ gì cho bạn nữa. Nếu người liên hệ trước đó muốn kết nối lại, họ sẽ phải yêu cầu bạn liên kết lại và bạn quyết định có chấp nhận hay không.
Khôi phục tự động giữa các thiết bị
Nếu bạn mất dữ liệu trên một thiết bị và có một thiết bị khác đang kết nối, Solo2 sẽ phát hiện tình huống và đề xuất khôi phục danh tính và kho lưu trữ của bạn một cách tự động. Quá trình khôi phục được mã hóa (Argon2id) qua kết nối trực tiếp giữa các thiết bị của bạn — không qua máy chủ.
Xóa tài khoản của bạn khỏi máy chủ
- tất cả các hàng trong cơ sở dữ liệu được liên kết với ID của bạn sẽ bị xóa: tài khoản, phiên, yêu cầu, lời mời, đăng ký đẩy, phản hồi.
- Việc xóa là nguyên tử (tất cả hoặc không có gì): mọi thứ đều bị xóa hoặc không có gì bị xóa.
- Hồ sơ thanh toán được cố tình hủy liên kết khỏi danh tính của bạn — chúng tồn tại theo nghĩa vụ pháp lý nhưng khoản thanh toán không thể được truy tìm đến bạn.
- Các mã định danh trong nhật ký máy chủ là các dấu vết không thể đảo ngược: không thể liên kết một nhật ký với tài khoản của bạn sau khi đã xóa.
- Kho lưu trữ trong trình duyệt của bạn không tự động bị xóa bởi hành động này (chúng tôi không có quyền truy cập vào trình duyệt của bạn). Để xóa nó, hãy thực hiện xóa toàn bộ trước hoặc xóa dữ liệu trang web trong trình duyệt của bạn.
5b. Khóa chính và 24 từ của bạn
Khi tạo tài khoản trong Solo2, một khóa chính sẽ được tạo với 256 bit entropy thực (cùng loại Bitcoin sử dụng). Khóa này được đại diện bằng 24 từ mà chỉ bạn biết. Mật khẩu của bạn bao bọc khóa này để lưu trữ dưới dạng mã hóa trên máy chủ — máy chủ không thể đọc được nó.
Điều này có nghĩa là bạn có hai chìa khóa độc lập
Các thuật toán chính xác (có thể xác minh)
Thế hệ: CSPRNG từ hệ điều hành (crypto.getRandomValues, 256 bit). Mã hóa khóa chính: Argon2id (OWASP) để lấy khóa bao bọc + AES-256-GCM (mã hóa xác thực) để bảo vệ nó. Danh tính: Ed25519 (chữ ký) + X25519 (trao đổi). Tin nhắn: Double Ratchet với ChaCha20-Poly1305 . Khi bạn đóng tab trình duyệt, tất cả dữ liệu nhạy cảm sẽ biến mất khỏi bộ nhớ.
Khóa chính của bạn được bảo vệ như thế nào
| Lớp | Nó là gì | Sống ở đâu |
|---|---|---|
| Mật khẩu | Truy cập máy chủ. Bao bọc khóa chính của bạn | Trong trí nhớ của bạn + mã băm trên máy chủ |
| Bảo mật thiết bị | Yếu tố thứ hai vô hình, được tạo tự động khi cài đặt | Trên thiết bị của bạn (không thể trích xuất) |
| Khóa chính (24 từ) | 256 bit entropy thực, được tạo ngẫu nhiên. Cấp độ Bitcoin (BIP39) | Trên một tờ giấy bạn cất giữ + được bao bọc trên máy chủ |
| Xoay vòng khóa | Mỗi tin nhắn sử dụng một khóa duy nhất và sẽ bị hủy sau đó (Double Ratchet) | Tự động, minh bạch |
Nếu bạn thay đổi mật khẩu
Thay đổi mật khẩu diễn ra tức thì. Chỉ có khóa chính của bạn được bao bọc lại bằng mật khẩu mới — danh tính của bạn không đổi, kho lưu trữ không bị mã hóa lại, các liên hệ không bị ảnh hưởng, và 24 từ của bạn vẫn giữ nguyên. Đó là một thao tác trong vài mili giây.
Khôi phục
Nếu bạn mất mật khẩu, bạn có thể truy cập kho lưu trữ bằng 24 từ của mình — mà không cần máy chủ. Nếu bạn mất 24 từ, bạn có thể đăng nhập bằng mật khẩu và máy chủ sẽ gửi lại khóa đã bao bọc của bạn. Nếu bạn mất cả hai, dữ liệu của bạn không thể khôi phục được. Giống như Bitcoin, đó là bảo mật theo thiết kế.
6. Điều gì xảy ra nếu ai đó truy cập máy chủ trái phép
Nếu một kẻ tấn công có được quyền truy cập đầy đủ vào máy chủ Solo2, họ sẽ lấy được:
- Tên người dùng và tên công khai
- Mã liên kết
- Khóa công khai (vô dụng nếu không có khóa riêng tư, vốn nằm trong trình duyệt của bạn)
- Dấu vết mật khẩu (vô dụng nếu không có một cuộc tấn công brute-force cực kỳ tốn kém nhờ vào Argon2id)
- Dấu vết mã thông báo phiên (vô dụng nếu không có mã thông báo gốc)
- Các yêu cầu liên kết đang chờ xử lý (ID nội bộ, hết hạn sau 3 ngày)
- Loại tài khoản, số dư và ngày đăng ký
- Hồ sơ thanh toán (không thể liên kết với một người dùng cụ thể)
Những gì họ KHÔNG lấy được:
- Không có tin nhắn nào (chúng chưa bao giờ nằm trên máy chủ)
- Không có tệp nào (chúng chưa bao giờ nằm trên máy chủ)
- Không có danh sách liên hệ nào (chưa bao giờ nằm trên máy chủ)
- Không có lịch sử trò chuyện nào (chưa bao giờ nằm trên máy chủ)
- Không có khóa mã hóa riêng tư nào (chúng sống trong trình duyệt của bạn)
- Không có địa chỉ IP nào (chúng không được ghi lại)
7. Cam kết của chúng tôi
Bản tuyên ngôn này sẽ được cập nhật với mỗi thay đổi liên quan trong việc quản lý dữ liệu. Nếu chúng tôi thêm một trường mới vào cơ sở dữ liệu, nó sẽ xuất hiện ở đây. Nếu chúng tôi xóa bớt cái gì, cũng vậy.
Phiên bản có hiệu lực luôn là trang này.