Toán học, không phải chính sách.

Ba điều làm nên điều này.

Cấp 1 — Mã hóa kho lưu trữ

Mọi thứ đều được mã hóa khi lưu trữ.

Mọi bản ghi trong kho lưu trữ của bạn — mọi trường, mọi mục, mọi byte — đều được mã hóa khi lưu trữ bằng AES-256-GCM. Khóa mã hóa là 8 byte, có nguồn gốc từ một bí mật chính 32 byte được tạo ngẫu nhiên khi kho lưu trữ của bạn được tạo. Bí mật chính đó không bao giờ được lưu trữ trên đĩa. Nó chỉ tồn tại bên trong một tệp WL3, được bao bọc bằng đầu ra khóa phần cứng của bạn.

Nếu ai đó đánh cắp tệp kho lưu trữ — một bản sao lưu bị đánh cắp, một máy chủ bị xâm phạm, một quản trị viên hệ thống thù địch — họ sẽ nhận được bản mã. Tiêu đề mục, tên người dùng, mật khẩu, thẻ, ghi chú: tất cả đều được mã hóa. Khóa 8 byte đủ mạnh để việc bẻ khóa bằng vũ lực là không khả thi về mặt tính toán, và ngay cả khi đó, các trường bên trong lại được mã hóa một lần nữa ở các cấp độ cao hơn.

Đây là mức cơ bản. Mọi trình quản lý mật khẩu đều mã hóa khi lưu trữ. Điều quan trọng là những gì xảy ra phía trên dòng này.

Cấp 2 — Mã hóa thông tin xác thực

Các tác nhân của bạn có thể đọc thông tin xác thực. Không gì khác.

Phía trên lớp kho lưu trữ, mọi trường thông tin xác thực — khóa API, mật khẩu, hạt giống TOTP, mã thông báo OAuth, khóa SSH — đều được mã hóa riêng lẻ bằng khóa có nguồn gốc riêng. Khóa mã hóa là 16 byte entropy đầy đủ. Không thể phá vỡ về mặt tính toán.

Các tác nhân AI của bạn nhận được khóa này để chúng có thể thực hiện công việc của mình. Đó là theo thiết kế — một tác nhân triển khai mã của bạn cần khóa SSH của bạn. Nhưng khóa đi kèm với bốn lớp bảo vệ kiểm soát những gì xảy ra với nó:

Mã thông báo được giới hạn phạm vi. Mỗi tác nhân nhận được một mã thông báo cấp quyền truy cập vào các mục cụ thể. Tác nhân triển khai của bạn thấy khóa SSH và thông tin xác thực AWS của bạn. Nó không thấy khóa Stripe, mật khẩu email hoặc các mục của đồng nghiệp của bạn. Nó không thể liệt kê, duyệt, tìm kiếm hoặc khám phá thông tin xác thực bên ngoài phạm vi của nó. Nó nhận được những gì nó được đặt tên và không thể tìm thấy những gì nó không có.

Khoảng cách. Kho lưu trữ của bạn không nằm trên máy tính xách tay của bạn. Nó chạy trên cơ sở hạ tầng riêng mà tác nhân của bạn không thể chạm tới. Tác nhân tương tác thông qua một API hẹp phục vụ hoặc từ chối — không có hệ thống tệp để đọc, không có bộ nhớ quy trình để kiểm tra, không có bộ nhớ đệm cục bộ để đột nhập. Nếu kho lưu trữ nằm trên cùng một máy với tác nhân, một kỹ năng bị xâm phạm có thể xâm nhập vào hệ thống và trích xuất những gì nó muốn. Khoảng cách loại bỏ hoàn toàn tùy chọn đó.

Giới hạn tốc độ. Một tác nhân truy cập nhiều hơn ba thông tin xác thực duy nhất mỗi phút, hoặc mười mỗi giờ, sẽ bị điều tiết. Vi phạm lần thứ hai trong vòng hai giờ sẽ kích hoạt khóa cứng — tác nhân bị đóng băng và yêu cầu khóa phần cứng của bạn để mở khóa. Một tác nhân bình thường cần hai hoặc ba thông tin xác thực. Một tác nhân đọc mười là bị cấu hình sai hoặc bị xâm phạm. Dù bằng cách nào, nó cũng dừng lại.

Danh sách IP trắng. Mỗi mã thông báo tác nhân được liên kết với một IP nguồn khi liên hệ lần đầu. Một mã thông báo bị đánh cắp được sử dụng từ một IP khác sẽ bị từ chối ở lớp trung gian trước khi bất kỳ trình xử lý nào chạy. Kẻ tấn công có khóa nhưng không thể sử dụng nó từ bất kỳ đâu ngoại trừ máy mà nó được cấp.

Kết quả: bán kính nổ của một tác nhân bị xâm phạm được giới hạn trong phạm vi của nó, từ IP của nó, với tốc độ kích hoạt khóa trước khi có thể trích xuất dữ liệu có ý nghĩa. Các tác nhân khác, thông tin xác thực khác và các trường nhận dạng của bạn không bị ảnh hưởng.

Cấp 3 — Mã hóa nhận dạng

Dữ liệu nhạy cảm nhất của bạn được mã hóa bằng thiết bị của bạn. Chúng tôi không thể đọc nó.

Thẻ tín dụng, CVV, số hộ chiếu, SSN, mã khôi phục, ghi chú riêng tư, khóa ký — đây là các trường Nhận dạng. Chúng được mã hóa bằng khóa 32 byte được tạo ngẫu nhiên khi kho lưu trữ của bạn được tạo. Bạn không biết khóa này. Chúng tôi không có nó. Nó chưa bao giờ tồn tại trên bất kỳ máy chủ nào.

Khóa nằm bên trong tệp WL3, được bao bọc bằng đầu ra 32 byte của phần mở rộng PRF của khóa phần cứng của bạn (WebAuthn PRF). Để mở gói, bạn cần thiết bị vật lý — đầu đọc dấu vân tay, cảm biến khuôn mặt hoặc YubiKey của bạn. Việc mở gói diễn ra trong trình duyệt của bạn. Khóa dạng văn bản thuần túy tồn tại trong bộ nhớ trình duyệt trong thời gian của một thao tác, sau đó nó sẽ biến mất.

Không có tác nhân nào nhận được khóa này. Không có điểm cuối API nào phục vụ nó. Không có quy trình phía máy chủ nào có thể tạo ra nó. Các trường Nhận dạng là bản mã trên mọi máy chủ, trong mọi bản sao lưu, trong mọi mục tiêu sao chép, tại mọi thời điểm. Một vụ vi phạm cơ sở hạ tầng của chúng tôi — toàn diện, hoàn chỉnh, mọi byte bị trích xuất — sẽ mang lại bản mã cho mọi trường Nhận dạng trên mọi kho lưu trữ. Khóa giải mã không có trong dữ liệu bị trích xuất. Nó không thể có, vì nó chưa bao giờ ở đó.

Chúng tôi không thể giải mã các trường Nhận dạng của bạn. Chúng tôi không thể bị buộc phải cung cấp một khóa mà chúng tôi không có. Đây không phải là lời hứa chính sách. Đây là một thuộc tính toán học của hệ thống.

Không ai ngoài bạn có quyền truy cập

Và không có mật khẩu chính.

Không có gì để quên, không có gì để lừa đảo, không có gì để bẻ khóa trong một vụ vi phạm. Thiết bị của bạn — dấu vân tay, khuôn mặt hoặc khóa bảo mật — là con đường duy nhất để vào. Mọi kết nối đều là TLS 1.3 với các thuật toán mật mã hiện đại và HSTS. Thông tin xác thực được phát hành cho các mã thông báo tác nhân được giới hạn phạm vi thông qua các điểm cuối API hẹp, không bao giờ được ghi nhật ký. Ngay cả bộ phận hỗ trợ AI của chúng tôi cũng không thể xem thông tin xác thực của bạn — cùng một mã hóa ẩn bí mật của bạn khỏi chúng tôi cũng ẩn chúng khỏi các công cụ hỗ trợ của chúng tôi.

Mô hình mối đe dọa

Chúng tôi bảo vệ chống lại điều gì.

Mọi nền tảng thông tin xác thực đều đối mặt với cùng một bề mặt tấn công. Đây là cách Clavitor được thiết kế để chống lại từng mối đe dọa.

Mối đe dọa	Cách chúng tôi phòng thủ	Kết quả
Lừa đảo thông tin xác thực	Người dùng không biết mật khẩu của họ (32 byte ngẫu nhiên, không bao giờ hiển thị). Tiện ích mở rộng chỉ điền khi URL khớp. Người dùng không thể nhập những gì họ không biết.	Bị chặn về cấu trúc
Lừa đảo OTP / 2FA	TOTP nằm trong kho lưu trữ, được giới hạn phạm vi cho miền thực. Sai miền — không có mã. Cùng một biện pháp phòng thủ như mật khẩu.	Bị chặn về cấu trúc
Vi phạm máy chủ	Các trường Nhận dạng được mã hóa bằng khóa có nguồn gốc từ phần cứng mà chúng tôi không bao giờ giữ. Các trường Thông tin xác thực tự động xoay vòng — văn bản thuần túy bị rò rỉ sẽ hết hạn trong vòng vài giờ.	Thiệt hại được giới hạn
Tác nhân AI bị xâm phạm	Mỗi tác nhân có một mã thông báo được giới hạn phạm vi. Việc xâm phạm chỉ làm lộ phạm vi của tác nhân — không phải toàn bộ kho lưu trữ của bạn.	Bán kính nổ được giới hạn
Phần mềm độc hại điểm cuối	Kho lưu trữ ở xa, không cục bộ. Mã thông báo phiên có giới hạn thời gian. Thử thách WebAuthn được ràng buộc với nguồn gốc — phần mềm độc hại không thể ký thay cho người dùng.	Đã giảm thiểu
Tấn công nội bộ	Các trường Nhận dạng không thể truy cập được về mặt toán học đối với chúng tôi. Chúng tôi không thể cung cấp văn bản thuần túy theo trát đòi.	Ngoài tầm với của chúng tôi

Tin tưởng nền tảng, không chỉ mật mã.

Mã hóa chỉ là một trong ba sự đảm bảo. Hai sự đảm bảo còn lại là về những gì xảy ra khi có sự cố — dịch vụ, hoặc chính quyền truy cập của bạn vào đó.