端到端加密的工作原理
了解 SafeVault 如何使用 AES-256 加密和零知识架构来保护您的数据。
什么是端到端加密?
端到端加密(E2EE)意味着您的数据在发送到任何地方之前就已在设备上加密。只有您能够解密——SafeVault 不能,您的互联网提供商不能,中间的任何人都不能。
SafeVault 如何加密您的数据
第1步:密钥派生
当您输入主密码时,SafeVault 使用 PBKDF2-SHA256 算法经过600,000次迭代来派生一个强加密密钥。这将您的密码转换为能抵御暴力攻击的加密密钥。
第2步:本地加密
您的保管库数据在设备上使用 AES-256 加密——这是全球政府和军事组织使用的相同加密标准。保管库中的每个条目都单独加密。
第3步:安全传输
加密数据通过 TLS 1.3 发送到 SafeVault 的服务器,在传输过程中增加了另一层保护。即使有人拦截了传输,他们也只能看到加密数据。
第4步:加密存储
您的加密保管库存储在我们的服务器上。由于我们从未接收到您的主密码或加密密钥,我们无法解密您的数据。这就是"零知识"的含义。
零知识架构
零知识意味着:
- 我们永远看不到您的主密码 —— 它永远不会离开您的设备
- 我们无法访问您的保管库 —— 我们只存储加密的数据块
- 我们无法重置您的密码 —— 只有您(和您的恢复工具包)才能解锁您的数据
- 即使我们的服务器被入侵,攻击者也只能获得他们无法解密的加密数据
AES-256 的含义
AES-256 是采用256位密钥的高级加密标准:
- 使用当前技术需要数十亿年才能破解
- 美国政府用它来保护机密信息
- 它是全球数据加密的黄金标准
解密的工作方式
- 您在设备上输入主密码
- SafeVault 在本地派生加密密钥
- 从服务器下载您的加密保管库
- 在您的设备上本地解密保管库
- 您的密码仅在设备内存中可访问
您解密的数据永远不会离开您的设备。当您锁定 SafeVault 时,解密的数据会从内存中清除。
常见问题
SafeVault 的员工能看到我的密码吗? 不能。我们的零知识架构使这在技术上不可能。
如果 SafeVault 的服务器被入侵会怎样? 攻击者只能获得加密数据。没有您的主密码,这些数据无法被读取。
我的数据在设备上是加密的吗? 是的。SafeVault 还会加密设备上的本地数据库,由您的主密码和(可选的)生物识别认证保护。