数学による保証。ポリシーではない。

これを実現する3つの要素があります。

Tier 1 — Vault encryption

保管中のデータはすべて暗号化されています。

Every record in your vault — every field, every entry, every byte — is encrypted at rest with AES-256-GCM. The encryption key is 8 bytes, derived from a 32-byte master secret that was randomly generated when your vault was created. That master secret is never stored on disk. It exists only inside a WL3 file, wrapped with the output of your hardware key.

誰かがボールトファイルを盗んだ場合（盗まれたバックアップ、侵害されたホスト、悪意のあるシステム管理者）、手に入るのは暗号文だけです。エントリのタイトル、ユーザー名、パスワード、カード、メモはすべて暗号化されています。8バイトの鍵は総当たり攻撃が計算上事実上不可能なほど強力であり、さらに内部のフィールドはより高い暗号化レベルで再度暗号化されています。

これは基本ラインです。すべてのパスワードマネージャーは保管時の暗号化を行いますが、重要なのはこのラインより上で何が行われるかです。

Tier 2 — Credential encryption

エージェントが読み取れるのは資格情報のみです。それ以外はありません。

ボールトレイヤーの上層では、すべての資格情報フィールド（APIキー、パスワード、TOTPシード、OAuthトークン、SSH鍵）が、それぞれ独自の導出鍵で個別に暗号化されます。暗号鍵は完全なエントロピーを持つ16バイトであり、計算上解読不可能です。

AIエージェントは、作業を実行するためにこの鍵を受け取ります。これは仕様によるものです。コードをデプロイするエージェントにはSSH鍵が必要です。しかし、この鍵には、その使用を制御する4層の防御が備わっています。

アクセス範囲が限定されたトークン。 各エージェントには、特定のエントリのみをアクセス範囲とするトークンが割り当てられます。デプロイエージェントにはSSH鍵とAWSの資格情報が見えますが、Stripeの鍵、メールのパスワード、同僚のエントリは見えません。自身のアクセス範囲外の資格情報を列挙、参照、検索、または検出することはできません。割り当てられたもののみを取得でき、それ以外を見つけることはできません。

距離。 ボールトはラップトップ上にはありません。エージェントがアクセスできない独立したインフラストラクチャ上で実行されます。エージェントは、提供または拒否を行う制限されたAPIを通じて対話します。読み取るファイルシステムも、検査するプロセスメモリも、不正アクセスするローカルキャッシュもありません。ボールトがエージェントと同じマシン上に存在した場合、侵害されたスキルがシステムを探り、必要なものを抽出する可能性があります。距離を置くことで、その可能性は完全に排除されます。

レート制限。 1分間に3個以上、または1時間に10個以上の一意の資格情報にアクセスするエージェントはスロットリングされます。2時間以内に2回目の違反が発生すると、ハードロックダウンがトリガーされ、エージェントは凍結され、ロック解除にハードウェアキーが必要になります。通常のエージェントが必要とする資格情報は2、3個です。10個読み取っているエージェントは、設定ミスか侵害のどちらかです。いずれにせよ、停止されます。

IPホワイトリスト。 すべてのエージェントトークンは、初回接続時に送信元IPにバインドされます。異なるIPから使用された盗難トークンは、ハンドラーが実行される前にミドルウェア層で拒否されます。攻撃者は鍵を持っていても、発行されたマシン以外の場所からは使用できません。

その結果、侵害されたエージェントの影響範囲は、そのアクセス範囲、そのIP、そして意味のあるデータ持ち出しが発生する前にロックダウンがトリガーされるレートに限定されます。他のエージェント、他の資格情報、およびアイデンティティ暗号化で保護されたデータには影響ありません。

Tier 3 — Identity encryption

最も機密性の高いデータは、お使いのデバイスで暗号化されます。私たちがそれを読むことはできません。

クレジットカード、CVV、パスポート番号、SSN、リカバリーコード、プライベートメモ、署名鍵。これらはアイデンティティ暗号化で保護されたデータです。これらは、ボールト作成時にランダムに生成された32バイトの鍵で暗号化されます。あなたはこの鍵を知りません。私たちも持っていません。この鍵がサーバー上に存在したことは一度もありません。

The key lives inside a WL3 file, wrapped with the 32-byte output of your hardware key's PRF extension (WebAuthn PRF). To unwrap it, you need the physical device — your fingerprint reader, your face sensor, or your YubiKey. The unwrapping happens in your browser. The plaintext key exists in browser memory for the duration of one operation, then it's gone.

この鍵を受け取るエージェントはありません。この鍵を提供するAPIエンドポイントもありません。サーバー側のプロセスで導出することもできません。アイデンティティ暗号化で保護されたデータは、すべてのサーバー、すべてのバックアップ、すべてのレプリケーションターゲット、あらゆる時点で暗号文です。私たちのインフラストラクチャが侵害され、完全にすべてのバイトが持ち出されたとしても、すべてのボールトのすべてのアイデンティティ暗号化で保護されたデータは暗号文のままです。復号鍵は持ち出されたデータの中にはありません。そこに存在したことがないため、存在するはずがありません。

私たちはアイデンティティ暗号化で保護されたデータを復号できません。持っていない鍵の提出を強制されることもありません。これはポリシー上の約束ではなく、システムの数学的性質です。

アクセスできるのはあなただけです

そして、マスターパスワードは存在しません。

忘れるものも、フィッシングされるものも、侵害時に解読されるものもありません。お使いのデバイス（指紋、顔認証、またはセキュリティキー）だけが唯一のアクセス経路です。すべての接続は、最新の暗号方式とHSTSを用いたTLS 1.3です。資格情報は制限されたAPIエンドポイントを通じてアクセス範囲が限定されたエージェントトークンに提供され、ログに記録されることはありません。私たちのAIサポートでさえ、お客様の資格情報を見ることはできません。シークレットを私たちから隠すのと同じ暗号化が、サポートツールからも隠しています。

脅威モデル

私たちが防御するもの。

すべての資格情報プラットフォームは同じ攻撃対象領域に直面します。Clavitorがそれぞれに対してどのように設計されているかを説明します。

脅威	防御方法	結果
資格情報のフィッシング	ユーザーは自身のパスワードを知らないため（32バイトのランダム値で、表示されることはありません）、拡張機能はURLが一致した場合にのみ自動入力します。ユーザーは知らないものを入力できません。	構造的にブロック
OTP / 2FAフィッシング	TOTPはボールト内に存在し、実際のドメインにアクセス範囲が限定されています。ドメインが異なればコードは生成されません。パスワードと同じ防御策です。	構造的にブロック
サーバー侵害	アイデンティティ暗号化で保護されたデータは、私たちが保持することのないハードウェアから導出された鍵で暗号化されます。資格情報フィールドは自動でローテーションされ、漏洩した平文は数時間で有効期限が切れます。	被害は限定
侵害されたAIエージェント	各エージェントにはアクセス範囲が限定されたトークンが割り当てられています。侵害が発生しても、露呈するのはそのエージェントのアクセス範囲のみであり、ボールト全体が露呈することはありません。	影響範囲は限定
エンドポイントマルウェア	ボールトはローカルではなくリモートにあります。セッショントークンには時間制限があります。WebAuthnチャレンジはオリジンにバインドされているため、マルウェアがユーザーに代わって署名することはできません。	軽減済み
内部犯行	アイデンティティ暗号化で保護されたデータは、数学的に私たちがアクセスできないものです。裁判所命令があっても平文を提出することはできません。	私たちの手の届かない場所

暗号化だけでなく、プラットフォームを信頼してください。

暗号化は3つの保証のうちの1つに過ぎません。残りの2つは、何かが失敗したとき（サービス自体、またはあなた自身のアクセス）にどうなるかに関するものです。