Guia do usuário
Como usar Arpass, por cenário.
📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.
🆕 Primeiro uso
O fluxo inicial para criar seu vault seguro.
Acesse arpass.io. A tela "Criar cofre seguro" aparece.
Digite uma senha mestra duas vezes. Esta é sua senha de acesso ao Arpass — nunca a compartilhe e não a esqueça.
Clique em "Criar cofre seguro". Em seguida, registre uma Passkey (autenticação por dispositivo) usando Touch ID / Face ID.
O Segredo de Recuperação é exibido apenas uma vez (formato: RS1-XXXX-XXXX-…). Guarde-o em local seguro.
Clique em "Entendi" para acessar o cofre.
🔑 Proteja suas chaves (Passkey) e seu Segredo de RecuperaçãoA maneira mais fácil de abrir seu cofre em um novo dispositivo é uma
chave de acesso sincronizada (Chaveiro do iCloud / Gerenciador de senhas do Google) ou uma
chave de segurança como uma YubiKey. Com uma delas, um novo dispositivo abre apenas com "senha mestra + chave de acesso" (sem precisar de Recovery).
- O Segredo de Recuperação é seu último recurso de recuperação para quando você perde todas as suas chaves de acesso de uma vez. Ele é exibido apenas uma vez, então imprima-o ou anote-o em um lugar seguro.
- Se você perder os três — senha mestra, todas as chaves de acesso e o Segredo de Recuperação — a recuperação é impossível (a Arpass não os armazena).
- Guarde o Segredo de Recuperação em um lugar diferente da sua senha mestra.
🔓 Uso diário
Obter uma senha
Acesse arpass.io → tela de bloqueio
Digite a senha mestra → autentique com Touch ID / Face ID
A lista de senhas aparece. Use a caixa de pesquisa para filtrar por nome do site.
Clique em um item → visualização detalhada. Use "👁 Mostrar" para revelar a senha, "📋 Copiar" para copiar para a área de transferência.
Salvar uma nova senha
Clique em "+ Adicionar novo"
Digite o nome do site, URL, nome de usuário e senha. Use "🎲 Gerar" para criar uma senha forte.
Clique em "Salvar" para gravar no Arweave (consome 1 crédito)
📄 Armazenamento de arquivos
Armazene PDFs, imagens e qualquer arquivo criptografado para sempre. Ideal para documentos contábeis (recibos / faturas / contratos / relatórios médicos). Compatível com os requisitos de pesquisabilidade da lei japonesa de livros eletrônicos (data / valor / contraparte).
Adicionar um arquivo
Abra a aba «📄 Arquivos» no topo do app
Clique em «+ Adicionar arquivo»
Escolha um arquivo (PDF / imagem / texto / Word / Excel, etc., até 30 MB)
Pré-visualização exibida. Para imagens grandes, use «🗜️ Comprimir» para reduzir (~200-500 KB)
Informe Contraparte ou Título (pelo menos um obrigatório); data / valor / moeda são opcionais
Clique em «Salvar» para criptografar + gravar no Arweave
💡 Arquivos abaixo de 100 KiB custam $0 (passados do Free Tier do Turbo). Uma foto de 1 MB custa ~$0.13. Se o custo real estiver abaixo do estimado, a diferença é reembolsada instantaneamente.
Preenchimento OCR (opcional)
Extrai automaticamente data / valor / contraparte / descrição / tags de imagens de recibos ou faturas / PDFs. Requer sua própria chave API da OpenAI (as imagens são enviadas diretamente para a OpenAI; servidores Arpass não estão envolvidos).
Nas Configurações do Arpass (⚙️) → seção inferior "📷 OCR de Recibo (opcional)" → insira a chave → "Salvar e Verificar"
Ao selecionar uma imagem / PDF, o botão "📷 Preencher automaticamente a partir da imagem (OpenAI)" aparece
Clique para extrair; ~\$0,005 por imagem cobrado na sua conta OpenAI
Campos vazios são preenchidos automaticamente (sempre sobrescreve — revise e edite conforme necessário)
Buscar arquivos
Caixa de busca no topo: filtre por data / valor / contraparte / título — instantâneo
Clique em «🎛️» para filtros avançados: faixa de datas, faixa de valores, contraparte/título, tipo, tags — combinados AND
Busca de contraparte japonesa com normalização NFKC + hiragana⇄katakana («セブン» casa com «せぶん»)
Corrigir e excluir arquivos
Clique em uma linha → modal de detalhe
Botão «✏️ Edit» para corrigir (motivo obrigatório, registrado append-only)
Botão «🗑️ Delete» para exclusão lógica (motivo obrigatório, original e dados em Arweave preservados)
Botão «📜 History» mostra o log de auditoria (criação/correções/exclusões todas visíveis)
📋 O histórico de correções / exclusões é append-only, então pode ser usado como evidência em auditorias fiscais (compatível com a lei de livros eletrônicos). A exclusão física é impossível, mas isso também é uma vantagem legal de "o rastro é preservado".
Baixar como CSV
Clique no botão «📥 CSV» no cabeçalho da aba Arquivos
Todos os metadados baixados como arpass-files-YYYY-MM-DD.csv
UTF-8 BOM garante que o japonês não quebra no Excel / Numbers / Google Sheets
Colunas: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url
📱 Troca de dispositivo (abrir o mesmo vault em novo dispositivo)
Quando você compra um novo iPhone ou Mac e quer acessar seu cofre existente. Se você tem uma chave de acesso sincronizada ou uma chave de segurança (YubiKey), pode abri-lo apenas com sua senha mestra e a chave de acesso — sem precisar de Recovery.
Abra arpass.io no novo dispositivo → clique em "📲 Restaurar um cofre criado em outro dispositivo"
Se você tem uma chave de acesso sincronizada (Chaveiro do iCloud / Gerenciador de senhas do Google) ou uma YubiKey: clique em "🔑 Restaurar com chave de acesso + Senha Mestra (sem Recovery)", digite sua senha mestra → autentique com a chave de acesso. Nenhum Recovery é necessário.
Se você não tem uma chave de acesso à mão: digite sua senha mestra + o Segredo de Recuperação em papel (📷 leitura por QR code também funciona).
Quando o desbloqueio é bem-sucedido, uma Passkey dedicada é registrada automaticamente neste novo dispositivo.
A partir de agora, este dispositivo desbloqueia apenas com "senha mestra + Touch ID / Face ID".
🔑 Esqueci a senha mestra
Você esqueceu a senha memorizada, ou talvez tenha mudado por engano.
Na tela de bloqueio, clique em "🔑 Esqueci a Senha Mestra → Redefinir com Passkey + Recuperação"
Digite o Segredo de Recuperação em papel (📷 leitura por QR code também funciona)
Autentique via Passkey com Touch ID / Face ID
A janela "Definir nova senha mestra" aparece → digite uma nova senha
O cofre abre + a nova senha é aplicada automaticamente a cada wrap
💡 Definir ou alterar sua senha mestra cria um novo Passkey neste dispositivo (o Passkey antigo não pode mais desbloquear, então você pode excluí-lo em "Gerenciar dispositivos registrados" se não precisar mais dele). Se você usa um passkey sincronizado, nos outros dispositivos basta escolher o novo Passkey e digitar a nova senha na próxima vez. Se cada dispositivo tem seu próprio Passkey, desbloqueie novamente nesses dispositivos com "nova senha + Recovery Secret".
🔐 How to save the Recovery Secret
When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.
🏆 BEST — Print on paper
Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password
💡 Print later is also available. But you must print before proceeding (= it's shown only once).
🥈 GREAT — Switch to YubiKey-only mode
A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.
🥉 OK (mobile / PC compatible) — Save image
The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.
⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.
iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).
🚫 Avoid
- Sending to yourself via plain Email / LINE / Slack / Discord
- Saving to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Storing in the same place as your master password
- Taking a screenshot of the QR code (= screen capture is outside the app — use the "Save image" button above which is optimized for naming and size)
📲 How to restore later
To restore on a new device:
Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks
🆘 O Passkey deste dispositivo desapareceu
Você trocou o perfil do navegador, ou usa um novo dispositivo com Touch ID novo.
Na tela de bloqueio: "📱 Passkey perdida → Desbloquear com Senha Mestra + Recuperação"
Digite a senha mestra + Recuperação em papel (QR code OK)
Desbloqueio bem-sucedido → Configurações → "🔐 Registrar Passkey neste dispositivo" para criar uma nova Passkey
A partir de agora, este dispositivo pode desbloquear com "senha mestra + Touch ID" novamente
🔐 Modo somente YubiKey
Um modo que abre sua unidade apenas com uma chave de segurança como uma YubiKey — sem senha mestra e sem Recovery Secret. Não há nada para memorizar: basta tocar qualquer uma das suas YubiKeys registradas para desbloquear. É uma opção avançada para quem quer depender totalmente de uma chave física.
💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass
⚠️ Leia antes de criarO modo somente YubiKey
não tem resgate por senha mestra nem Recovery Secret. Se você perder
todas as suas YubiKeys registradas, a unidade
nunca mais poderá ser aberta (nós também não conseguimos recuperá-la).
- Por isso você deve registrar duas ou mais YubiKeys ao criar a unidade — para que, perdendo ou quebrando uma, outra ainda possa abri-la.
- Guarde a(s) chave(s) reserva em outro local seguro (chave de backup).
- Se não se importar em memorizar uma senha, o modo padrão (senha mestra + Passkey) tem mais opções de recuperação e é mais seguro.
Criar uma unidade somente YubiKey
Abra arpass.io → na tela «Criar uma unidade segura» escolha «🔑 Usar somente YubiKey»
Escolha quantas YubiKeys registrar (duas ou mais)
Marque a caixa confirmando que você entende que a unidade não pode ser recuperada se todas as YubiKeys forem perdidas
Pressione «Criar no modo YubiKey» e, seguindo as instruções, insira (ou aproxime por NFC) e toque sua primeira YubiKey
Registre as YubiKeys restantes uma a uma (você será solicitado a trocar de chave)
Quando todas estiverem registradas, a unidade é criada e abre imediatamente
Abrir em outro dispositivo
No outro dispositivo abra arpass.io → clique em «📲 Restaurar uma unidade segura criada em outro dispositivo»
Escolha «🔑 Abrir sua unidade com uma YubiKey de outro dispositivo»
Insira (ou aproxime por NFC) e toque qualquer uma das suas YubiKeys registradas
A unidade abre — sem senha mestra e sem Recovery
Adicionar uma YubiKey
Com a unidade aberta, vá em Configurações (⚙) → abra a seção «🔑 YubiKeys registradas»
Pressione «+ Adicionar uma YubiKey»
Primeiro toque uma das suas YubiKeys já registradas para confirmar que é você
Depois troque para a nova YubiKey que deseja adicionar e toque-a
A nova YubiKey é registrada e, a partir de então, também pode abrir a unidade
📲 Configure outro dispositivo rapidamente com um código de adicionar dispositivo
A partir de um dispositivo que já consegue desbloquear, transmita <strong>credentialId e a tag de índice do Arweave</strong> para outro dispositivo (= aquele que também deve desbloquear com a mesma YubiKey). É mais rápido e confiável que «Abrir com a YubiKey de outro dispositivo». No Android Chrome é praticamente obrigatório, pois um bug do Chrome impede o seletor padrão de funcionar.
💡 Segurança: O código contém apenas informações públicas (credentialId + tag do Arweave). Não inclui PRF / chaves criptográficas / Recovery / Master, então mesmo que vaze ninguém consegue desbloquear sem a YubiKey física. Trate como efêmero (descarte após colar) por higiene.
Lado exibidor (= dispositivo já desbloqueado): Com o drive aberto, Configurações (⚙) → seção «🔑 YubiKeys registradas»
Toque em «📲 Mostrar código para outro dispositivo»
Aparece uma string começando com «AP1....» junto com um QR code
Lado receptor (= dispositivo novo): Na tela de criação do arpass.io, toque no link «📲 Abrir com código de adicionar dispositivo (AP1....)» na parte de baixo
O campo aparece: cole o código do lado exibidor ou use o botão «📷» para escanear o QR via câmera
Toque em «Aplicar código → Abrir com YubiKey» e encoste sua YubiKey
O desbloqueio é concluído e este dispositivo passa a abrir normalmente
💡 Usos: ① Permitir que o Android Chrome abra (rota obrigatória), ② Também no Mac / Win / iPhone, pular o toque do seletor para acelerar a configuração, ③ Rota padrão ao implantar uma única YubiKey em vários dispositivos. Funciona qualquer dispositivo → qualquer dispositivo.
💡 Sobre o Safari no Mac: O Safari no Mac implementa o WebAuthn de forma diferente de outros navegadores, então uma unidade YubiKey criada ou usada no Safari do Mac fica restrita ao Safari do Mac e não pode ser aberta no Chrome, Edge, iPhone ou Android (e vice-versa). Para compartilhar a mesma unidade entre vários ambientes, use no seu Mac um navegador diferente do Safari (Chrome / Edge).
🏢 Sign up as an employee (Business mode)
If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).
Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.
📲 Employee device-add / total lockout recovery
If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.
Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.
💳 Tarifas e pagamento
A cobrança é pós-paga. Cada operação (adicionar, editar, excluir) soma a taxa do dia ao seu uso; pague tudo quando quiser. Ler e copiar é grátis.
Com o cofre desbloqueado, clique em "💳 Saldo" no cabeçalho superior direito
O modal de seleção de pacote abre (Starter / Standard / Heavy / Business / Family)
Clique em um pacote → o checkout do Stripe abre em uma nova aba
Digite os dados do cartão de crédito → conclua o pagamento
A nova aba fecha automaticamente e você retorna ao cofre → notificação: "✅ +N créditos aplicados"
💡 Seu estado desbloqueado é preservado. Sem necessidade de novo login durante o pagamento.
🔄 Reemitir Recovery Secret
Se você perdeu o papel ou suspeita de vazamento. Recovery Secret antigo é necessário.
Tela do cofre → Configurações (ícone ⚙) → seção "Reemitir Segredo de Recuperação"
Digite sua senha mestra atual
Escolha entre dois modos:
- A. Simples (recomendado): Para quando o papel foi perdido, mas sem suspeita de roubo. O mais rápido, sem operação no servidor.
- B. Completo (suspeita de roubo): Para quando a Recuperação antiga pode ter vazado. Recriptografa o conteúdo e muda para um novo identificador de conta.
Clique em "Emitir novo Segredo de Recuperação"
O novo Segredo aparece na tela → sempre imprima e guarde em local seguro
Diferença entre o Caso A e B (importante):
- Caso A: Os dados antigos no Arweave ainda podem ser decriptografados por qualquer pessoa que tenha a Recuperação antiga + Senha Mestra. A "segurança dos dados passados" NÃO é preservada.
- Caso B: Os dados antigos no Arweave ficam permanentemente indecifráveis para quem não tiver o MEK antigo. Atenção: os envelopes antigos do Arweave em si não podem ser excluídos (o Arweave é imutável).
🔐 Gerenciar dispositivos registrados
Verifique quais dispositivos têm Passkey registrado, renomeie ou remova-os.
Tela do cofre → Configurações → seção "🔐 Dispositivos registrados"
A lista de dispositivos registrados aparece (este dispositivo está destacado em amarelo)
Botão "Renomear": altere para um nome significativo (ex.: "Mac Studio", "iPhone 15")
Botão "Remover" (dispositivos diferentes deste): desvincula a Passkey daquele dispositivo do cofre
Limitação da remoção: se uma cópia do MEK permanecer no dispositivo removido, os dados antigos do Arweave ainda poderão ser decriptografados. A invalidação completa requer a reemissão do Segredo de Recuperação (Caso B, rotação do MEK).
❓ Perguntas frequentes
E se eu perder os três: senha mestra, Passkey e Recovery?
Não é possível recuperar. A equipe Arpass não retém nada, portanto não podemos ajudar. Este é o custo do design de conhecimento zero — não conseguimos ver as senhas de ninguém, mas perder os 3 fatores significa perda total.
Perder 2 ainda é recuperável (o fator restante consegue restaurar). Antes de perder os 3, copie o Segredo de Recuperação para múltiplos locais.
Os operadores podem ver minhas senhas?
Não. Toda a criptografia acontece no seu navegador, e o conteúdo armazenado no Arweave é duplamente criptografado antes de passar pelos servidores Cloudflare.
- Camada interna: AES-256-GCM (chave = MEK, gerado aleatoriamente, nunca enviado ao servidor)
- Camada externa: AES-256-GCM (chave = HKDF(vault-id), vault-id também nunca enviado ao servidor)
- O que o servidor vê: bytes aleatórios criptografados (indecodificáveis) + informações de saldo
Detalhes verificáveis a nível de código no espelho público arpass-spec (AGPL-3.0).
Os dados criptografados no Arweave ficam para sempre?
Sim — o Arweave é um armazenamento permanente, portanto os dados gravados não desaparecem. Isso é ao mesmo tempo uma vantagem ("suas senhas ainda existem 200 anos depois") e uma desvantagem ("dados passados permanecem para sempre").
Mesmo que você altere uma senha, o texto cifrado antigo permanece no Arweave. Mas ele só pode ser decriptografado com o MEK antigo, que apenas você conhece. Após uma reemissão do Segredo de Recuperação (Caso B), as gravações seguintes são criptografadas com uma nova chave sem relação com o passado.
Quanto custa?
Adicionar, editar ou excluir uma senha consome 1 crédito cada. Salvar 10 senhas ≈ 10 créditos. O pacote "Starter 100" ($2) é suficiente para o uso diário. A maioria dos usuários precisa comprar um pacote apenas uma ou duas vezes por ano.
Is it OK to save the QR code as a photo?
OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.
Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.
For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.
E se eu editar em múltiplos dispositivos simultaneamente?
O Arpass usa controle de concorrência otimista, então o segundo dispositivo a salvar receberá um erro "Atualizado em outro dispositivo". Desbloqueie novamente para buscar a versão mais recente e edite novamente.
🛡️ Boas práticas de segurança
O Arpass usa decriptografia 2-de-3 (qualquer 2 dentre: senha mestra + Passkey + Segredo de Recuperação conseguem decriptografar). Por design, o vazamento de apenas 1 fator não decriptografa o cofre. No entanto, o vazamento simultâneo de múltiplos fatores é perigoso. Siga estas orientações.
✅ Recomendado
- Use a senha mestra apenas para o Arpass. Não reutilize em outros serviços (= para que um vazamento em outro lugar não se propague para o Arpass)
- Imprima o Segredo de Recuperação em papel e guarde fisicamente (cofre, gaveta, familiar de confiança, etc.)
- Guarde o Segredo de Recuperação em local diferente da senha mestra (para que ambos não possam ser roubados de uma vez)
- Tenha múltiplos dispositivos de confiança (para ter um caminho de recuperação caso uma Passkey seja perdida)
- Teste periodicamente as operações de backup (ex.: tente "📲 Registrar este dispositivo" em outro dispositivo)
❌ Evitar
- Recovery Secret saved to iCloud / Google Photos without E2E settings ON (= provider technically has access)
- Recovery Secret sent via plain Email / LINE / Slack / Discord (= stored on provider, persists in history)
- Recovery Secret saved to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Master password stored in browser autofill / Keychain (= passkey and master password on the same device)
- Master password sent to others via Slack / email / SMS
- Recovery Secret paper stored in the same place as the master password note
⚠️ Casos de uso não recomendados
Este serviço é um gerenciador de senhas de uso geral para indivíduos e pequenas empresas. Não é adequado para:
- Credenciais de segredo de Estado / uso militar
- Credenciais de administrador de grandes instituições financeiras (logins bancários comuns de consumidor estão dentro do escopo)
- Acesso a prontuários de pacientes em instituições de saúde (domínios sujeitos à LGPD / HIPAA / leis específicas de proteção de dados)
- Frases-semente de carteiras de criptomoedas (use uma carteira de hardware dedicada)
Não nos responsabilizamos por quaisquer danos decorrentes do uso deste serviço nestes cenários. Consulte os Termos de Serviço para mais detalhes.
🚨 Se você suspeita de vazamento
Se a senha mestra ou o Segredo de Recuperação puder ter vazado, aja imediatamente:
- Apenas a senha mestra: Configurações → "Alterar senha mestra"
- Apenas o Segredo de Recuperação: Configurações → "Resposta a incidente de segurança" → reemissão de Recuperação (Caso A, simples)
- Ambos, ou roubo de dispositivo: Configurações → "Resposta a incidente de segurança" → reemissão de Recuperação (Caso B, rotação do MEK invalida wraps no dispositivo perdido e na Recuperação antiga)
Consulte a Resposta a incidente de segurança nas Configurações da tela do aplicativo para mais detalhes.
🔬 Visão geral do design criptográfico (avançado)
O design criptográfico do Arpass é a decriptografia 2-de-3. Qualquer 2 dos 3 fatores conseguem decriptografar o cofre.
- A: Senha mestra (memorizada; Argon2id (memory-hard, 64 MiB / t=3 / p=4))
- B: Passkey (armazenada no Secure Enclave do dispositivo; saída de 32 bytes via WebAuthn PRF)
- C: Segredo de Recuperação (anotação em papel; 160 bits de entropia)
Caminhos de descriptografia
- A + B: Desbloqueio diário (senha + Touch ID) — o mais rápido. Com o envelope v7, se você tem uma chave de acesso sincronizada / YubiKey, até um dispositivo novo abre apenas com esses dois
- A + C: Quando a Passkey está indisponível (senha + papel)
- B + C: Quando a senha é esquecida (Touch ID + papel)
Criptografia do corpo e criptografia externa
Criptografado em duas camadas:
- Interna: AES-256-GCM(MEK, IV, dados do cofre). O MEK é uma chave aleatória de 256 bits gerada na criação do cofre, protegida por quaisquer 2 dos 3 fatores acima.
- Externa: AES-256-GCM(HKDF(Segredo de Recuperação), IV, envelope interno). A chave externa é derivada diretamente do seu Segredo de Recuperação e nunca é exposta ao servidor ou ao Arweave.
Os bytes no Arweave aparecem como completamente aleatórios; a estrutura JSON e os nomes dos algoritmos são externamente indistinguíveis. Até o nome da tag Arweave anexada a cada gravação é randomizado por usuário, de modo que observadores externos não conseguem identificar quais transações pertencem ao Arpass.
Com o envelope v7, essa chave externa também é armazenada dentro do Passkey (WebAuthn user.id). A chave é protegida pelo hardware do Passkey e nunca aparece nos dados públicos do Arweave, então um dispositivo novo pode descriptografar a camada externa sem inserir o Segredo de Recuperação.
O que há no servidor
No servidor (Cloudflare KV) só fica seu registro de uso. As contas são identificadas pelo hash da sua chave pública (ECDSA P-256); a chave externa, a senha mestra e o Recovery Secret nunca chegam ao servidor.
Para a especificação completa: