Tegniese Spesifikasie vir Enkripsie

Oorsig

CloudPaste gebruike kliëntkant end-tot-end enkripsie om te verseker dat jou data privaat en veilig bly. Wanneer enkripsie geaktiveer is, word alle teks en beelde in jou blaaier geïnkripteer voordat dit na ons bedieners gestuur word. Dit beteken dat ons nooit toegang tot u ongeënkripteerde data of u wagwoord het nie.

🛡️ Jou data word geïnkripteer voordat dit jou toestel verlaat.

Die bediener stoor slegs geënkripteerde data en sien nooit jou wagwoord of ontsyferde inhoud nie.

Tegniese Spesifikasies

Enkripsie-algoritme: AES-256-GCM (Gevorderde Enkripsiestandaard)

Sleutel Afleiding: PBKDF2 (Wagwoordgebaseerde Sleutelafleidingsfunksie 2)

Hash-funksie: SHA-256

Iterasies: 100 000 (PBKDF2-iterasies)

Sleutellengte: 256 bisse

Soutlengte: 128 bisse (lukraak gegenereer per enkripsie)

IV-lengte: 96 bisse (lukraak gegenereer per enkripsie)

Implementering: Web Crypto API (inheemse blaaierkriptografie)

Hoe dit werk

Enkripsieproses

Voer wagwoord in

Jy verskaf 'n wagwoord

→

Sleutel Afleiding

PBKDF2 genereer enkripsiesleutel

→

Enkripteer data

AES-256-GCM enkripteer inhoud

→

Oplaai

Geënkripteerde data gestuur na bediener

Stap-vir-stap uiteensetting:

Willekeurige Soutgenerering: 'n Unieke 128-bis sout word vir elke enkripsiebewerking gegenereer.
Willekeurige IV-generasie: 'n Unieke 96-bis inisialiseringsvektor (IV) word gegenereer
Sleutel Afleiding: Jou wagwoord word gekombineer met die sout deur PBKDF2 te gebruik met 100 000 iterasies om 'n sterk 256-bis enkripsiesleutel te skep.
Enkripsie: Die data word geïnkripteer met behulp van AES-256-GCM met die afgeleide sleutel en IV
Dataverpakking: Die sout-, IV- en geïnkripteerde data word gekombineer en in Base64 gekodeer.
Oplaai: Slegs die geïnkripteerde pakket word na die bediener gestuur

Dekripsieproses

Wanneer jy of iemand met die wagwoord 'n geïnkripteerde kanaal oopmaak:

Wagwoordinvoer: Die korrekte wagwoord moet verskaf word
Data-aflaai: Geënkripteerde data word van die bediener afgelaai
Ekstraksie: Sout en IV word uit die geïnkripteerde pakket onttrek
Sleutel Afleiding: Dieselfde PBKDF2-proses herskep die enkripsiesleutel vanaf die wagwoord en sout.
Dekripsie: AES-256-GCM dekripteer die data met behulp van die afgeleide sleutel en IV
Vertoon: Gedekripteerde inhoud word in jou blaaier vertoon

Sekuriteitskenmerke

🔒 Kliëntkant-enkripsie

Alle enkripsie en dekripsie vind in jou blaaier plaas met behulp van die Web Crypto API. Jou wagwoord en ongeënkripteerde data verlaat nooit jou toestel nie.

🎲 Unieke enkripsie per bewerking

Elke keer as data geïnkripteer word, word nuwe ewekansige sout- en IV-waardes gegenereer. Dit beteken dat dieselfde inhoud wat twee keer geïnkripteer word, heeltemal verskillende kodeteks produseer, wat patroonanalise voorkom.

🔐 Sterk Sleutel Afleiding

PBKDF2 met 100 000 iterasies maak brute-force wagwoordaanvalle berekeningsduur. Selfs met 'n matig sterk wagwoord, sal aanvallers aansienlike hulpbronne benodig om die enkripsie te kraak.

✅ Geverifieerde enkripsie

AES-GCM bied beide vertroulikheid en egtheid. Dit verseker dat geënkripteerde data nie gepeuter is nie, wat beskerm teen wysigingsaanvalle.

🌐 Bedryfstandaard-algoritmes

Ons gebruik slegs gevestigde, eweknie-geëvalueerde kriptografiese algoritmes (AES-256, PBKDF2, SHA-256) wat deur sekuriteitskundiges wêreldwyd vertrou word.

Wat Ons Stoor

Op die bediener stoor ons slegs:
Geënkripteerde kodeteks (onleesbaar sonder jou wagwoord)
'n Vlaggie wat aandui dat die kanaal geïnkripteer is
Metadata (oplaai-tydstempels, lêergroottes)

⚠️ Ons stoor NOOIT:
Jou wagwoord
Jou enkripsiesleutels
Jou ongeënkripteerde data

Beste Praktyke

Gebruik 'n sterk wagwoord: Kies 'n wagwoord met ten minste 12 karakters, wat letters, syfers en simbole meng
Moenie wagwoorde hergebruik nie: Gebruik 'n unieke wagwoord vir elke geïnkripteerde kanaal
Deel wagwoorde veilig: Stuur wagwoorde deur 'n ander kanaal as die CloudPaste URL (bv. geïnkripteerde boodskap-app)
Onthou jou wagwoord: As jy jou wagwoord verloor, kan die data nie herwin word nie – nie eens deur ons nie
Gebruik HTTPS: Kry altyd toegang tot CloudPaste via HTTPS om man-in-die-middel-aanvalle te voorkom.

Beperkings en oorwegings

Alhoewel ons enkripsie sterk is, wees asseblief bewus van hierdie oorwegings:

Wagwoordsterkte maak saak: Swak wagwoorde kan deur brute-force-aanvalle gekraak word
Blaaiersekuriteit: Jou blaaier moet veilig en vry van wanware wees
Geen wagwoordherwinning nie: Verlore wagwoorde beteken permanent verlore data
Metadata is sigbaar: Lêergroottes, oplaaitye en die aantal lêers word nie geïnkripteer nie
Kanaal-URL'e is nie geïnkripteer nie: Enigiemand met die kanaal-URL kan probeer om die data te dekripteer as hulle die wagwoord het

Oopbron en deursigtigheid

Sekuriteit deur obskuriteit is nie sekuriteit nie. Ons enkripsie-implementering gebruik standaard Web Crypto API's en kan geouditeer word deur die bronkode in jou blaaier se ontwikkelaarsnutsgoed te besigtig.

🔐 Enkripsie Tegniese Spesifikasie