Matematiikka, ei käytäntö.

Kolme asiaa saa tämän toimimaan.

Taso 1 — Kassakaapin salaus

Kaikki on salattu levossa.

Jokainen kassakaappisi tietue — jokainen kenttä, jokainen merkintä, jokainen tavu — on salattu levossa AES-256-GCM:llä. Salausavain on 8 tavua, johdettu 32 tavun pääsalaisuudesta, joka luotiin satunnaisesti kassakaappisi luomisen yhteydessä. Tätä pääsalaisuutta ei koskaan tallenneta levylle. Se on olemassa vain WL3-tiedostossa, käärittynä laitteistopohjaisen avaimesi tulosteeseen.

Jos joku varastaa holvitiedoston – varastettu varmuuskopio, vaarantunut isäntä, vihamielinen järjestelmänvalvoja – he saavat salatekstiä. Merkintöjen otsikot, käyttäjänimet, salasanat, kortit, muistiinpanot: kaikki salattuina. 8 tavun avain on riittävän vahva, että sen murtaminen on laskennallisesti epäkäytännöllistä, ja silloinkin kentät on salattu uudelleen korkeammilla tasoilla.

Tämä on perusta. Jokainen salasananhallintaohjelma salaa levossa. Tärkeää on se, mitä tapahtuu tämän rivin yläpuolella.

Taso 2 — Tunnistetietojen salaus

Agenttinne voivat lukea tunnistetietoja. Ei mitään muuta.

Holvikerroksen yläpuolella jokainen tunnistetietokenttä – API-avaimet, salasanat, TOTP-siemenet, OAuth-tunnisteet, SSH-avaimet – on salattu yksitellen omalla johdetulla avaimellaan. Salausavain on 16 tavua täyttä entropiaa. Laskennallisesti murtamaton.

Tekoälyagenttinne saavat tämän avaimen, jotta ne voivat tehdä työnsä. Se on suunnittelun mukaista – agentti, joka ottaa käyttöön koodinne, tarvitsee SSH-avaimenne. Mutta avaimen mukana tulee neljä puolustuskerrosta, jotka hallitsevat sen käyttöä:

Rajatut tunnisteet. Jokainen agentti saa tunnisteen, joka antaa pääsyn tiettyihin merkintöihin. Käyttöönottoagenttinne näkee SSH-avaimenne ja AWS-tunnistetietonne. Se ei näe Stripe-avaintanne, sähköpostisalasananne tai kolleganne merkintöjä. Se ei voi luetteloida, selata, etsiä tai löytää tunnistetietoja oman alueensa ulkopuolelta. Se saa sen, mihin se on nimetty, eikä voi löytää sitä, mitä sille ei ole nimetty.

Etäisyys. Holvinne ei ole kannettavallanne. Se toimii erillisellä infrastruktuurilla, johon agenttinne ei pääse käsiksi. Agentti toimii kapean API:n kautta, joka palvelee tai kieltää – ei ole tiedostojärjestelmää luettavaksi, ei prosessimuistia tutkittavaksi, ei paikallista välimuistia ryöstettäväksi. Jos holvi olisi samalla koneella kuin agentti, vaarantunut taito voisi tunkeutua järjestelmään ja kaivaa esiin haluamansa. Etäisyys poistaa tämän vaihtoehdon kokonaan.

Nopeusrajoitus. Agentti, joka käyttää enemmän kuin kolmea yksittäistä tunnistetietoa minuutissa tai kymmentä tunnissa, hidastuu. Toinen rikkomus kahden tunnin sisällä käynnistää kovan lukituksen – agentti jäätyy ja vaatii laitteistoavaimenne sen avaamiseksi. Normaali agentti tarvitsee kaksi tai kolme tunnistetietoa. Kymmenen lukeva agentti on joko virheellisesti määritetty tai vaarantunut. Kummassakin tapauksessa se pysähtyy.

IP-valkoinen lista. Jokainen agenttitunniste on sidottu lähde-IP-osoitteeseen ensimmäisellä yhteydenotolla. Varastettu tunniste, jota käytetään eri IP-osoitteesta, hylätään välitasokerroksessa ennen kuin mikään käsittelijä suoritetaan. Hyökkääjällä on avain, mutta hän ei voi käyttää sitä mistään muualta kuin koneesta, jolle se myönnettiin.

Tulos: vaarantuneen agentin räjähdyssäde rajoittuu sen alueeseen, sen IP-osoitteesta, nopeudella, joka käynnistää lukituksen ennen kuin merkityksellinen ulosvienti voi tapahtua. Muut agenttinne, muut tunnistetietonne ja identiteettikenttänne ovat koskemattomia.

Taso 3 — Identiteetin salaus

Herkimmät tietonne on salattu laitteellanne. Emme voi lukea niitä.

Luottokortit, CVV, passinumerot, SSN, palautuskoodit, yksityiset muistiinpanot, allekirjoitusavaimet – nämä ovat identiteettikenttiä. Ne on salattu 32 tavun avaimella, joka luotiin satunnaisesti holvinne luomisen yhteydessä. Ette tiedä tätä avainta. Meillä ei ole sitä. Sitä ei ole koskaan ollut millään palvelimella.

Avain elää WL3-tiedostossa, käärittynä laitteistopohjaisen avaimesi PRF-laajennuksen (WebAuthn PRF) 32 tavun tulosteeseen. Sen purkamiseksi tarvitset fyysisen laitteen — sormenjälkilukijasi, kasvotunnistimesi tai YubiKey-avaimesi. Purkaminen tapahtuu selaimessasi. Selväkielinen avain on selaimen muistissa yhden operaation ajan, sitten se katoaa.

Mikään agentti ei saa tätä avainta. Mikään API-päätepiste ei tarjoa sitä. Mikään palvelinpuolen prosessi ei voi johtaa sitä. Identiteettikentät ovat salatekstiä jokaisella palvelimella, jokaisessa varmuuskopiossa, jokaisessa replikointikohteessa, joka hetki. Infrastruktuurimme murto – täydellinen, kokonainen, jokainen tavu ulosviedään – tuottaa salatekstiä jokaiselle identiteettikentälle kaikissa holveissa. Purkuavainta ei ole ulosviedyssä datassa. Sitä ei voi olla, koska sitä ei koskaan ollut siellä.

Emme voi purkaa identiteettikenttiänne. Meitä ei voida pakottaa tuottamaan avainta, jota meillä ei ole. Tämä ei ole käytäntölupaus. Se on järjestelmän matemaattinen ominaisuus.

Kukaan muu kuin te ei pääse käsiksi

Eikä ole pääsalasanaa.

Ei ole mitään unohdettavaa, ei mitään kalasteltavaa, ei mitään murrettavaa murrossa. Laitteenne – sormenjälki, kasvot tai laitteistoavain – on ainoa reitti sisään. Jokainen yhteys on TLS 1.3 moderneilla salausmenetelmillä ja HSTS:llä. Tunnistetiedot vapautetaan rajatuille agenttitunnisteille kapeiden API-päätepisteiden kautta, niitä ei koskaan kirjata. Jopa tekoälytukemme ei näe tunnistetietojanne – sama salaus, joka piilottaa salaisuutenne meiltä, piilottaa ne myös tukityökaluiltamme.

Uhkamalli

Mitä vastaan puolustaudumme.

Jokainen tunnistetietojen alusta kohtaa saman hyökkäyspinta-alan. Näin Clavitor on suunniteltu jokaista vastaan.

Uhka	Miten puolustaudumme	Tulos
Tunnistetietojen kalastelu	Käyttäjät eivät tiedä salasanojaan (32 tavun satunnainen, ei koskaan näytetty). Laajennus täyttää vain URL-osoitteen täsmäytyksessä. Käyttäjä ei voi kirjoittaa sitä, mitä hän ei tiedä.	Rakenteellisesti estetty
OTP / 2FA-kalastelu	TOTP sijaitsee holvissa, rajattuna todelliselle verkkotunnukselle. Väärä verkkotunnus – ei koodia. Sama puolustus kuin salasanalla.	Rakenteellisesti estetty
Palvelimen murto	Identiteettikentät on salattu laitteistosta johdetuilla avaimilla, joita emme koskaan pidä. Tunnistetietokentät pyörivät automaattisesti – vuotanut selväkielinen tieto vanhenee tunneissa.	Vahinko rajattu
Vaarantunut tekoälyagentti	Jokaisella agentilla on rajattu tunniste. Vaarantuminen paljastaa vain agentin alueen – ei koko holvinne.	Räjähdyssäde rajattu
Päätepisteen haittaohjelma	Holvi on etänä, ei paikallisesti. Istuntotunnisteet ovat aikarajoitettuja. WebAuthn-haasteet ovat alkuperäsidonnaisia – haittaohjelma ei voi allekirjoittaa käyttäjän puolesta.	Lievennetty
Sisäpiirin hyökkäys	Identiteettikentät ovat matemaattisesti saavuttamattomia meille. Emme voisi tuottaa selväkielistä tietoa haasteen perusteella.	Meidän ulottumattomissamme

Luota alustaan, älä vain kryptografiaan.

Salaus on vain yksi kolmesta takuusta. Kaksi muuta koskee sitä, mitä tapahtuu, kun jokin epäonnistuu – palvelu tai oma pääsysi siihen.