数学による保証、ポリシーではありません。

この仕組みを支える3つの要素。

ティア1 — ボールト暗号化

保存時はすべて暗号化されています。

ボールト内のすべてのレコード——すべてのフィールド、エントリ、バイト——はAES-256-GCMで保存時に暗号化されます。暗号化キーは8バイトで、ボールト作成時にランダムに生成された32バイトのマスターシークレットから派生しています。このマスターシークレットはディスクに保存されることはなく、WL3ファイル内にのみ存在し、ハードウェアキーの出力でラップされています。

誰かがボールトファイルを盗んだ場合——盗まれたバックアップ、侵害されたホスト、悪意のあるシステム管理者——盗んだ側は暗号文しか取得できません。エントリのタイトル、ユーザー名、パスワード、カード情報、メモ：すべて暗号化されています。8バイトのキーはブルートフォース攻撃で解読するには計算量的に非現実的であるほど強力です。さらに、内部のフィールドはより高い階層で再び暗号化されています。

これは基本です。すべてのパスワード管理ツールは保存時に暗号化を行います。重要なのは、この基本を超えた部分で何が行われるかです。

ティア2 — 資格情報暗号化

あなたのエージェントは資格情報を読み取れます。それ以外は読み取れません。

ボールトレイヤーの上位では、すべての資格情報フィールド——APIキー、パスワード、TOTPシード、OAuthトークン、SSHキー——がそれぞれ独自の派生キーで個別に暗号化されています。暗号化キーは完全エントロピーの16バイトで、計算量的に解読不可能です。

AIエージェントが作業を行えるように、このキーはエージェントに提供されます。これは設計上の仕様です——コードをデプロイするエージェントにはSSHキーが必要です。ただし、このキーにはその使用を制御する4層の防御が備わっています：

スコープ付きトークン：各エージェントは特定のエントリへのアクセス権を付与されたトークンを取得します。デプロイエージェントはあなたのSSHキーとAWSの資格情報を参照できますが、Stripeキー、メールパスワード、同僚のエントリは参照できません。スコープ外の資格情報を列挙、閲覧、検索、または発見することはできません。エージェントは割り当てられた範囲の情報のみを取得でき、割り当てられていない情報を見つけることはできません。

距離：あなたのボールトはラップトップ上には存在しません。エージェントが触れられない別のインフラ上で動作しています。エージェントは、許可または拒否を行う狭いAPIを介してのみやり取りします——読み取り可能なファイルシステムも、検査可能なプロセスメモリも、奪取可能なローカルキャッシュも存在しません。ボールトがエージェントと同じマシン上に存在する場合、侵害されたスキルがシステムに侵入して必要な情報を抽出する可能性があります。距離によってその選択肢は完全になくなります。

レート制限：1分間に3つ以上の固有の資格情報にアクセスしたり、1時間に10つ以上アクセスしたりするエージェントはスロットルされます。2時間以内に2回違反すると、ハードロックダウンが発生します——エージェントは凍結され、ロックを解除するにはハードウェアキーが必要です。通常のエージェントが必要とする資格情報は2つまたは3つです。10もの資格情報を読み取るエージェントは、設定ミスか侵害されたかのいずれかです。いずれにせよ、アクセスは停止します。

IPホワイトリスト：すべてのエージェントトークンは最初の接続時に送信元IPにバインドされます。異なるIPから使用された盗まれたトークンは、ハンドラが実行される前にミドルウェア層で拒否されます。攻撃者がキーを持っていても、発行されたマシン以外からは使用できません。

その結果、侵害されたエージェントの被害範囲は、そのスコープ、IP、ロックダウンをトリガーするレートに制限され、意味のあるデータ流出が発生する前に停止します。他のエージェント、他の資格情報、アイデンティティフィールドは影響を受けません。

ティア3 — アイデンティティ暗号化

最も機密性の高いデータはあなたのデバイスで暗号化されています。私たちは読み取ることができません。

クレジットカード、CVV、パスポート番号、SSN、リカバリーコード、プライベートメモ、署名キー——これらはアイデンティティフィールドです。これらはボールト作成時にランダムに生成された32バイトのキーで暗号化されています。あなたはこのキーを知りません。私たちも持っていません。このキーはこれまでいかなるサーバーにも存在したことがありません。

このキーはWL3ファイル内に存在し、ハードウェアキーのPRF拡張機能（WebAuthn PRF）の32バイトの出力でラップされています。ラップを解除するには、物理デバイス——指紋リーダー、顔センサー、またはYubiKey——が必要です。ラップ解除はブラウザ内で行われ、プレーンテキストのキーは1回の操作の間だけブラウザメモリに存在し、その後消去されます。

このキーをエージェントが受け取ることはありません。APIエンドポイントがこのキーを提供することはありません。サーバー側のプロセスがこのキーを導出することもできません。アイデンティティフィールドは、すべてのサーバー、すべてのバックアップ、すべてのレプリケーションターゲット、すべての時点で暗号文です。私たちのインフラが侵害された場合——全面的に、完全に、すべてのバイトが流出した場合——すべてのボールトのすべてのアイデンティティフィールドの暗号文が取得されるだけです。復号化キーは流出したデータには含まれていません。含まれることができないのは、そこに存在したことがないからです。

私たちはあなたのアイデンティティフィールドを復号化できません。私たちは所持していないキーの作成を強制されることもありません。これはポリシーに関する約束ではありません。システムの数学的特性です。

アクセスできるのはあなただけです

マスターパスワードも存在しません。

忘れるものも、フィッシングの標的になるものも、侵害時にクラックされるものも存在しません。あなたのデバイス——指紋、顔、またはセキュリティキー——が唯一のアクセス経路です。すべての接続は最新の暗号とHSTSを使用したTLS 1.3で保護されています。資格情報は狭いAPIエンドポイントを介してスコープ付きエージェントトークンのみに提供され、ログに記録されることはありません。私たちのAIサポートでさえ、あなたの資格情報を参照できません——私たちからあなたの秘密を隠すのと同じ暗号が、サポートツールからも隠しています。

脅威モデル

私たちが防御対象とする脅威。

すべての認証情報プラットフォームは同じ攻撃対象を持っています。Clavitorがそれぞれに対してどのように設計されているかを以下に示します。

脅威	防御方法	結果
資格情報フィッシング	ユーザーは自身のパスワードを知りません（32バイトのランダム値で、表示されることもありません）。拡張機能はURLが一致した場合のみ自動入力されます。ユーザーは知らないものを入力できません。	構造的にブロック
OTP/2FAフィッシング	TOTPはボールト内に存在し、実際のドメインにスコープされています。誤ったドメインの場合はコードが提供されません。パスワードと同じ防御が適用されます。	構造的にブロック
サーバー侵害	アイデンティティフィールドは、私たちが所持していないハードウェア派生キーで暗号化されています。資格情報フィールドは自動ローテーションされ、漏洩したプレーンテキストは数時間で無効になります。	被害は限定
侵害されたAIエージェント	各エージェントはスコープ付きトークンを持っています。エージェントが侵害された場合、暴露されるのはそのエージェントのスコープのみで、ボールト全体は暴露されません。	被害範囲は限定
エンドポイントマルウェア	ボールトはリモートに存在し、ローカルには存在しません。セッショントークンには期限があります。WebAuthnチャレンジはオリジンにバインドされているため、マルウェアがユーザーに代わって署名することはできません。	緩和済み
内部攻撃	アイデンティティフィールドは数学的に私たちがアクセス不可能です。召喚状が発行されても、プレーンテキストを提供することはできません。	私たちの手の届かない範囲

暗号化だけでなく、プラットフォーム自体を信頼してください。

暗号化は3つの保証のうちの1つに過ぎません。残りの2つは、何かが失敗した場合——サービス自体、またはあなた自身のアクセス権——に何が起こるかに関するものです。