Guida utente
Come usare Arpass, per scenario.
📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.
🆕 Primo utilizzo
Il flusso iniziale per creare il tuo vault sicuro.
Visita arpass.io. Appare la schermata "Crea drive sicuro".
Inserisci una master password due volte. Questa è la tua password di accesso ad Arpass — non condividerla mai e ricordatela.
Clicca su "Crea drive sicuro". Poi registra una Passkey (autenticazione dispositivo) tramite Touch ID / Face ID.
Il Recovery Secret viene mostrato una sola volta (formato: RS1-XXXX-XXXX-…). Conservalo in un posto sicuro.
Clicca su "Ho capito" per entrare nel drive.
🔑 Proteggi le tue chiavi (Passkey) e il Recovery SecretIl modo più semplice per aprire il tuo drive su un nuovo dispositivo è una
passkey sincronizzata (Portachiavi iCloud / Gestore password di Google) o una
chiave di sicurezza come una YubiKey. Con una di queste, un nuovo dispositivo si apre solo con "master password + passkey" (nessun Recovery necessario).
- Il Recovery Secret è la tua ultima risorsa di recupero per quando perdi tutte le passkey contemporaneamente. Viene mostrato una sola volta, quindi stampalo o annotalo in un posto sicuro.
- Se perdi tutti e tre — master password, ogni passkey e il Recovery Secret — il recupero è impossibile (Arpass non li conserva).
- Conserva il Recovery Secret in un posto diverso dalla master password.
🔓 Uso quotidiano
Recupera password
Visita arpass.io → schermata di blocco
Inserisci la master password → autenticati con Touch ID / Face ID
Appare la lista delle password. Usa la barra di ricerca per filtrare per nome del sito.
Clicca su una voce → vista dettaglio. Usa "👁 Mostra" per rivelare la password, "📋 Copia" per copiarla negli appunti.
Salva una nuova password
Clicca su "+ Aggiungi nuovo"
Inserisci nome del sito, URL, nome utente e password. Usa "🎲 Genera" per una password sicura.
Clicca su "Salva" per scrivere su Arweave (consuma 1 credito)
📄 Archiviazione file
Archivia PDF, immagini e qualsiasi file crittografato per sempre. Ideale per documenti contabili (ricevute / fatture / contratti / referti medici). Compatibile con i requisiti di ricercabilità della legge giapponese sui libri elettronici (data / importo / controparte).
Aggiungere un file
Apri la scheda «📄 File» in alto nell'app
Clicca «+ Aggiungi file»
Scegli un file (PDF / immagine / testo / Word / Excel ecc., fino a 30 MB)
Anteprima mostrata. Per immagini grandi, usa «🗜️ Comprimi» per ridurre (~200-500 KB)
Inserisci Controparte o Titolo (uno è richiesto); data / importo / valuta sono opzionali
Clicca «Salva» per crittografare + scrivere su Arweave
💡 I file sotto 100 KiB costano $0 (passati dal Free Tier di Turbo). Una foto da 1 MB costa ~$0,13. Se il costo effettivo è inferiore alla stima, la differenza viene rimborsata istantaneamente.
Auto-compilazione OCR (opzionale)
Estrai automaticamente data / importo / controparte / descrizione / tag da immagini di ricevute o fatture / PDF. Richiede la tua API key OpenAI (le immagini vengono inviate direttamente a OpenAI; i server Arpass non sono coinvolti).
In Arpass Impostazioni (⚙️) → sezione in fondo "📷 OCR ricevute (opzionale)" → inserisci la chiave → "Salva e verifica"
Quando selezioni un'immagine o un PDF, appare il pulsante "📷 Compila automaticamente dall'immagine (OpenAI)"
Clicca per estrarre; ~\$0.005 per immagine addebitati al tuo account OpenAI
I campi vuoti vengono compilati automaticamente (sovrascrive sempre — rivedi e modifica se necessario)
Cerca file
Casella di ricerca in alto: filtra per data / importo / controparte / titolo — istantaneo
Clic «🎛️» per filtri avanzati: intervallo date, intervallo importi, controparte/titolo, tipo, tag — combinati AND
Ricerca controparte giapponese con normalizzazione NFKC + hiragana⇄katakana («セブン» combacia con «せぶん»)
Correggi ed elimina file
Clic su una riga → modale di dettaglio
Pulsante «✏️ Edit» per correggere (motivo obbligatorio, registrato append-only)
Pulsante «🗑️ Delete» per eliminazione logica (motivo obbligatorio, originale e dati Arweave preservati)
Pulsante «📜 History» mostra il log di audit (creazione/correzioni/eliminazioni tutti visibili)
📋 La cronologia di correzioni / eliminazioni è append-only, quindi può essere usata come prova per audit fiscali (compatibile con la legge sui libri elettronici). L'eliminazione fisica è impossibile, ma questo è anche un vantaggio legale di "la traccia è preservata".
Scarica come CSV
Clic sul pulsante «📥 CSV» nell'header della scheda File
Tutti i metadati scaricati come arpass-files-YYYY-MM-DD.csv
UTF-8 BOM garantisce che il giapponese non si rompa in Excel / Numbers / Google Sheets
Colonne: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url
📱 Cambio dispositivo (apri lo stesso vault su un nuovo dispositivo)
Quando hai comprato un nuovo iPhone o Mac e vuoi accedere al tuo drive esistente. Se hai una passkey sincronizzata o una chiave di sicurezza (YubiKey), puoi aprirlo solo con la master password e la passkey — nessun Recovery necessario.
Apri arpass.io sul nuovo dispositivo → clicca su "📲 Ripristina una cassaforte creata su un altro dispositivo"
Se hai una passkey sincronizzata (Portachiavi iCloud / Gestore password di Google) o una YubiKey: clicca su "🔑 Ripristina con passkey + Master Password (senza Recovery)", inserisci la tua master password → autenticati con la passkey. Nessun Recovery necessario.
Se non hai una passkey a portata di mano: inserisci la master password + il Recovery Secret cartaceo (📷 la scansione QR funziona anche).
Quando lo sblocco riesce, una Passkey dedicata viene registrata automaticamente su questo nuovo dispositivo.
Da ora in poi, questo dispositivo si sblocca solo con "master password + Touch ID / Face ID".
🔑 Password master dimenticata
Hai dimenticato la password che ricordavi, o forse l'hai cambiata per sbaglio.
Nella schermata di blocco, clicca su "🔑 Master dimenticata → Reimposta con Passkey + Recovery"
Inserisci il Recovery Secret cartaceo (📷 la scansione QR funziona anche)
Autenticati tramite Passkey con Touch ID / Face ID
Appare la richiesta "Imposta una nuova master password" → inserisci una nuova password
Il drive si apre + la nuova password viene applicata automaticamente a ogni wrap
💡 Impostare o modificare la password principale crea un nuovo Passkey su questo dispositivo (il vecchio Passkey non può più sbloccare; puoi eliminarlo da "Gestisci dispositivi registrati" se non ti serve più). Se usi un passkey sincronizzato, sugli altri dispositivi ti basta scegliere il nuovo Passkey e inserire la nuova password la prossima volta. Se ogni dispositivo ha il proprio Passkey, sblocca di nuovo quei dispositivi con "nuova password + Recovery Secret".
🔐 How to save the Recovery Secret
When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.
🏆 BEST — Print on paper
Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password
💡 Print later is also available. But you must print before proceeding (= it's shown only once).
🥈 GREAT — Switch to YubiKey-only mode
A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.
🥉 OK (mobile / PC compatible) — Save image
The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.
⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.
iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).
🚫 Avoid
- Sending to yourself via plain Email / LINE / Slack / Discord
- Saving to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Storing in the same place as your master password
- Taking a screenshot of the QR code (= screen capture is outside the app — use the "Save image" button above which is optimized for naming and size)
📲 How to restore later
To restore on a new device:
Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks
🆘 Il Passkey di questo dispositivo è scomparso
Hai cambiato profilo browser, o usi un nuovo dispositivo con Touch ID nuovo.
Nella schermata di blocco: "📱 Passkey smarrita → Sblocca con Master + Recovery"
Inserisci la master password + Recovery cartaceo (scansione QR OK)
Sblocco riuscito → Impostazioni → "🔐 Registra Passkey su questo dispositivo" per creare una nuova Passkey
Da ora in poi questo dispositivo può sbloccarsi di nuovo con "master password + Touch ID"
🔐 Modalità solo YubiKey
Una modalità che apre l'unità solo con una chiave di sicurezza come una YubiKey — senza password principale e senza Recovery Secret. Non c'è nulla da memorizzare: basta toccare una qualsiasi delle YubiKey registrate per sbloccare. È un'opzione avanzata per chi vuole affidarsi completamente a una chiave fisica.
💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass
⚠️ Da leggere prima di creareLa modalità solo YubiKey
non ha né recupero tramite password principale né Recovery Secret. Se perdi
tutte le tue YubiKey registrate, l'unità
non potrà più essere aperta (nemmeno noi possiamo recuperarla).
- Per questo devi registrare due o più YubiKey quando crei l'unità — così, se ne perdi o si rompe una, un'altra può ancora aprirla.
- Conserva la/le chiave/i di scorta in un altro luogo sicuro (chiave di backup).
- Se non ti dispiace memorizzare una password, la modalità standard (password principale + Passkey) offre più opzioni di recupero ed è più sicura.
Creare un'unità solo YubiKey
Apri arpass.io → nella schermata «Crea un'unità sicura» scegli «🔑 Usa solo YubiKey»
Scegli quante YubiKey registrare (due o più)
Spunta la casella che conferma di aver capito che l'unità non può essere recuperata se tutte le YubiKey vengono perse
Premi «Crea in modalità YubiKey» e, seguendo le indicazioni, inserisci (o avvicina tramite NFC) e tocca la prima YubiKey
Registra le YubiKey rimanenti una per una (ti verrà chiesto di cambiare chiave)
Una volta registrate tutte, l'unità viene creata e si apre subito
Aprirla su un altro dispositivo
Sull'altro dispositivo apri arpass.io → fai clic su «📲 Ripristina un'unità sicura creata su un altro dispositivo»
Scegli «🔑 Apri la tua unità con una YubiKey da un altro dispositivo»
Inserisci (o avvicina tramite NFC) e tocca una qualsiasi delle tue YubiKey registrate
L'unità si apre — senza password principale e senza Recovery
Aggiungere una YubiKey
Con l'unità aperta, vai in Impostazioni (⚙) → apri la sezione «🔑 YubiKey registrate»
Premi «+ Aggiungi una YubiKey»
Tocca prima una delle tue YubiKey già registrate per confermare la tua identità
Poi passa alla nuova YubiKey che vuoi aggiungere e toccala
La nuova YubiKey viene registrata e da quel momento può anch'essa aprire l'unità
📲 Configura un altro dispositivo rapidamente con un codice di aggiunta dispositivo
Da un dispositivo che già riesce a sbloccare, trasmetti <strong>credentialId e tag indice Arweave</strong> a un altro dispositivo (= uno che deve sbloccare anch'esso con la stessa YubiKey). È più veloce e affidabile rispetto a «Apri con la YubiKey di un altro dispositivo». Su Android Chrome è di fatto obbligatorio, perché un bug di Chrome impedisce al picker normale di funzionare.
💡 Sicurezza: Il codice contiene solo informazioni pubbliche (credentialId + tag Arweave). Non include PRF / chiavi crittografiche / Recovery / Master, quindi anche in caso di leak nessuno può sbloccare senza la YubiKey fisica. Trattalo come effimero (eliminalo dopo averlo incollato) per pulizia.
Lato visualizzazione (= dispositivo già sbloccato): Con l'unità aperta, Impostazioni (⚙) → sezione «🔑 YubiKey registrate»
Tocca «📲 Mostra codice per altro dispositivo»
Appare una stringa che inizia con «AP1....» insieme a un codice QR
Lato input (= nuovo dispositivo): Sulla schermata di creazione di arpass.io, tocca il link «📲 Apri con codice di aggiunta dispositivo (AP1....)» in basso
Appare il campo: incolla il codice dal lato visualizzazione o usa il pulsante «📷» per scansionare il QR con la fotocamera
Tocca «Applica codice → Apri con YubiKey» e tocca la tua YubiKey
Lo sblocco si completa e da qui in poi questo dispositivo si apre normalmente
💡 Casi d'uso: ① Far funzionare Android Chrome (via obbligata), ② Anche su Mac / Win / iPhone, saltare il tap del picker per velocizzare la configurazione, ③ Via standard quando si distribuisce una sola YubiKey su molti dispositivi. Funziona qualsiasi → qualsiasi dispositivo.
💡 Informazioni su Safari su Mac: Safari su Mac implementa WebAuthn in modo diverso dagli altri browser, quindi un'unità YubiKey creata o usata in Safari su Mac diventa utilizzabile solo in Safari su Mac e non può essere aperta in Chrome, Edge, iPhone o Android (e viceversa). Per condividere la stessa unità tra più ambienti, usa sul tuo Mac un browser diverso da Safari (Chrome / Edge).
🏢 Sign up as an employee (Business mode)
If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).
Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.
📲 Employee device-add / total lockout recovery
If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.
Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.
💳 Costi e pagamento
La fatturazione è posticipata. Ogni operazione (aggiunta, modifica, eliminazione) aggiunge la tariffa del giorno al tuo utilizzo; paga tutto quando vuoi. Lettura e copia gratuite.
Con il drive sbloccato, clicca su "💳 Saldo" nell'intestazione in alto a destra
Si apre il modale di selezione del pacchetto (Starter / Standard / Heavy / Business / Family)
Clicca su un pacchetto → il checkout Stripe si apre in una nuova scheda
Inserisci i dati della carta di credito → completa il pagamento
La nuova scheda si chiude automaticamente e torni al drive → notifica: "✅ +N crediti applicati"
💡 Lo stato sbloccato è preservato. Nessun re-login richiesto durante il pagamento.
🔄 Riemetti Recovery Secret
Se hai perso il foglio o sospetti una fuga. È richiesto il vecchio Recovery Secret.
Schermata del drive → Impostazioni (icona ⚙) → sezione "Riemetti Recovery Secret"
Inserisci la tua master password attuale
Scegli tra due modalità:
- A. Leggera (consigliata): Per quando la carta è smarrita ma non si sospetta furto. La più veloce, nessuna operazione sul server.
- B. Completa (furto sospetto): Per quando il vecchio Recovery potrebbe essere stato compromesso. Ri-cifra il contenuto e passa a un nuovo identificatore account.
Clicca su "Emetti nuovo Recovery Secret"
Il nuovo Recovery appare sullo schermo → stampalo sempre e conservalo in sicurezza
Differenza tra Caso A e Caso B (importante):
- Caso A: I vecchi dati su Arweave possono ancora essere decifrati da chiunque abbia il vecchio Recovery + Master. La "sicurezza dei dati passati" NON è garantita.
- Caso B: I vecchi dati su Arweave diventano permanentemente indecifrabili per chiunque non abbia il vecchio MEK. Nota: i vecchi envelope su Arweave non possono essere eliminati (Arweave è immutabile).
🔐 Gestisci dispositivi registrati
Verifica quali dispositivi hanno Passkey registrate, rinominale o rimuovile.
Schermata del drive → Impostazioni → sezione "🔐 Dispositivi registrati"
Appare la lista dei dispositivi registrati (questo dispositivo è evidenziato in giallo)
Pulsante "Rinomina": cambia con un nome significativo (es. "Mac Studio", "iPhone 15")
Pulsante "Rimuovi" (dispositivi diversi da questo): scollega la Passkey di quel dispositivo dal vault
Limite della rimozione: se una copia del MEK rimane sul dispositivo rimosso, i dati passati su Arweave possono ancora essere decifrati. L'invalidazione completa richiede la riemissione del Recovery Secret (Caso B, rotazione MEK).
❓ FAQ
Cosa succede se perdo tutti e tre: password master, Passkey e Recovery?
Non puoi recuperare. Arpass non conserva nulla, quindi non possiamo aiutarti. Questo è il costo del design zero-knowledge — non possiamo vedere le password di nessuno, ma perdere tutti e 3 i fattori significa perdita totale.
Perderne 2 è ancora recuperabile (il rimanente 1 può ripristinare). Prima di perderli tutti e 3, copia il Recovery Secret in più posti.
Gli operatori possono vedere le mie password?
No. Tutta la cifratura avviene nel tuo browser, e il contenuto memorizzato su Arweave è cifrato due volte prima di passare attraverso i server Cloudflare.
- Interno: AES-256-GCM (chiave = MEK, generata casualmente, mai inviata al server)
- Esterno: AES-256-GCM (chiave = HKDF(vault-id), anche vault-id non viene mai inviato al server)
- Cosa vede il server: byte casuali cifrati (indecifrabili) + informazioni sul saldo
Dettagli verificabili a livello di codice sul mirror pubblico arpass-spec (AGPL-3.0).
I dati crittografati su Arweave rimangono per sempre?
Sì — Arweave è uno storage permanente, quindi i dati scritti non scompaiono. Questo è sia un vantaggio ("le tue password esistono ancora tra 200 anni") che uno svantaggio ("i dati passati rimangono per sempre").
Anche se cambi una password, il vecchio testo cifrato rimane su Arweave. Ma il vecchio testo cifrato può essere decifrato solo con il vecchio MEK, che conosci solo tu. Dopo una riemissione del Recovery Secret (Caso B), le scritture successive sono cifrate con una nuova chiave senza legami con il passato.
Quanto costa?
Aggiungere, modificare o eliminare una password consuma 1 credito ciascuno. Salvare 10 password ≈ 10 crediti. Il pacchetto "Starter 100" ($2) è sufficiente per l'uso quotidiano. La maggior parte degli utenti ha bisogno di acquistare un pacchetto solo una o due volte l'anno.
Is it OK to save the QR code as a photo?
OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.
Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.
For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.
Cosa succede se modifico su più dispositivi contemporaneamente?
Arpass utilizza il controllo ottimistico della concorrenza, quindi il secondo dispositivo a salvare riceve un errore "Aggiornato su un altro dispositivo". Sblocca di nuovo per recuperare la versione più recente, poi modifica di nuovo.
🛡️ Best practice di sicurezza
Arpass utilizza la decifratura 2 su 3 (qualsiasi 2 tra: master password + Passkey + Recovery Secret possono decifrare). Per progettazione, la fuga di un solo fattore non decifra il vault. Tuttavia, la fuga simultanea di più fattori è pericolosa. Segui queste linee guida.
✅ Consigliato
- Usa la master password solo per Arpass. Non riutilizzarla su altri servizi (= così una fuga altrove non si ripercuote su Arpass)
- Stampa il Recovery Secret su carta e conservalo fisicamente (cassaforte, cassetto, familiare di fiducia, ecc.)
- Conserva il Recovery Secret in un posto diverso dalla master password (così non possono essere rubati insieme)
- Avere più dispositivi di fiducia (così hai un percorso di recupero se una Passkey viene smarrita)
- Testa periodicamente le operazioni di backup (es. prova "📲 Registra questo dispositivo" su un altro dispositivo)
❌ Evitare
- Recovery Secret saved to iCloud / Google Photos without E2E settings ON (= provider technically has access)
- Recovery Secret sent via plain Email / LINE / Slack / Discord (= stored on provider, persists in history)
- Recovery Secret saved to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Master password stored in browser autofill / Keychain (= passkey and master password on the same device)
- Master password sent to others via Slack / email / SMS
- Recovery Secret paper stored in the same place as the master password note
⚠️ Casi d'uso non adatti
Questo servizio è un gestore di password per uso generale, pensato per privati e piccole imprese. Non è adatto per:
- Credenziali legate a segreti di stato o ambito militare
- Credenziali di amministrazione di grandi istituti finanziari (i normali accessi bancari consumer rientrano nell'ambito)
- Accesso alle cartelle cliniche di istituzioni sanitarie (domini HIPAA / leggi specifiche sulla protezione dei dati)
- Seed phrase di wallet di criptovalute (usa un hardware wallet dedicato)
Non ci assumiamo alcuna responsabilità per eventuali danni derivanti dall'utilizzo di questo servizio in questi scenari. Consulta i Termini di Servizio per i dettagli.
🚨 In caso di sospetta fuga
Se la master password o il Recovery Secret potrebbero essere stati compromessi, agisci immediatamente:
- Solo master password: Impostazioni → "Cambia master password"
- Solo Recovery: Impostazioni → "Risposta agli incidenti di sicurezza" → riemissione Recovery (Caso A, leggera)
- Entrambi, o furto del dispositivo: Impostazioni → "Risposta agli incidenti di sicurezza" → riemissione Recovery (Caso B, rotazione MEK invalida i wrap sul dispositivo smarrito e il vecchio Recovery)
Consulta la Risposta agli incidenti di sicurezza nelle Impostazioni della schermata dell'app per i dettagli.
🔬 Panoramica del design crittografico (avanzato)
Il design crittografico di Arpass è la decifratura 2 su 3. Qualsiasi 2 dei 3 fattori possono decifrare il vault.
- A: Master password (memorizzata; Argon2id (memory-hard, 64 MiB / t=3 / p=4))
- B: Passkey (archiviata nel Secure Enclave del dispositivo; output di 32 byte tramite WebAuthn PRF)
- C: Recovery Secret (appunto cartaceo; entropia a 160 bit)
Percorsi di decrittazione
- A + B: Sblocco quotidiano (password + Touch ID) — il più veloce. Con envelope v7, se hai una passkey sincronizzata / YubiKey, anche un nuovo dispositivo si apre solo con questi due
- A + C: Quando la Passkey è compromessa (password + carta)
- B + C: Quando la password è dimenticata (Touch ID + carta)
Crittografia del corpo e crittografia esterna
Cifrato in due strati:
- Interno: AES-256-GCM(MEK, IV, dati del drive). Il MEK è una chiave casuale a 256 bit generata alla creazione del drive, avvolta da qualsiasi 2 dei 3 fattori sopra.
- Esterno: AES-256-GCM(HKDF(Recovery Secret), IV, envelope interno). La chiave esterna è derivata direttamente dal tuo Recovery Secret e non viene mai esposta al server o ad Arweave.
I byte su Arweave appaiono completamente casuali; la struttura JSON e i nomi degli algoritmi sono indistinguibili dall'esterno. Persino il nome del tag Arweave allegato a ogni scrittura è randomizzato per utente, quindi gli osservatori esterni non possono identificare quali transazioni appartengono ad Arpass.
Con envelope v7, questa chiave esterna è anche memorizzata all'interno della Passkey (WebAuthn user.id). La chiave è protetta dall'hardware della Passkey e non compare mai nei dati pubblici di Arweave, quindi un nuovo dispositivo può decifrare lo strato esterno senza inserire il Recovery Secret.
Cosa c'è sul server
Lato server (Cloudflare KV) è salvato solo il tuo registro di utilizzo. Gli account sono identificati dall'hash della tua chiave pubblica (ECDSA P-256); chiave esterna, master password e Recovery Secret non raggiungono mai il server.
Per la specifica completa: