Руководство пользователя
Как использовать Arpass, по сценариям.
📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.
🆕 Первое использование
Начальный поток для создания вашего безопасного хранилища.
Откройте arpass.io. Появится экран «Создать защищённое хранилище».
Введите мастер-пароль дважды. Это ваш пароль для входа в Arpass — никому его не сообщайте и не забывайте.
Нажмите «Создать защищённое хранилище». Затем зарегистрируйте Passkey (аутентификация устройства) с помощью Touch ID / Face ID.
Секрет восстановления отображается только один раз (формат: RS1-XXXX-XXXX-…). Храните его в надёжном месте.
Нажмите «Я понимаю», чтобы войти в хранилище.
🔑 Защитите свои ключи (Passkey) и секрет восстановленияСамый простой способ открыть хранилище на новом устройстве —
синхронизированный passkey (Связка ключей iCloud / Менеджер паролей Google) или
аппаратный ключ, например YubiKey. С одним из них новое устройство открывается просто по «мастер-паролю + passkey» (секрет восстановления не нужен).
- Секрет восстановления — это ваше крайнее средство восстановления на случай, если вы потеряете все passkey сразу. Он показывается только один раз, поэтому распечатайте его или запишите в надёжном месте.
- Если вы потеряете все три — мастер-пароль, все passkey и секрет восстановления — восстановление будет невозможно (Arpass их не хранит).
- Храните секрет восстановления отдельно от мастер-пароля.
🔓 Ежедневное использование
Получить пароль
Откройте arpass.io → экран блокировки
Введите мастер-пароль → пройдите аутентификацию с помощью Touch ID / Face ID
Откроется список паролей. Используйте строку поиска для фильтрации по названию сайта.
Нажмите на запись → откроется подробный вид. Используйте «👁 Показать» для отображения пароля, «📋 Копировать» для копирования в буфер обмена.
Сохранить новый пароль
Нажмите «+ Добавить новый»
Введите название сайта, URL, имя пользователя и пароль. Используйте «🎲 Сгенерировать» для создания надёжного пароля.
Нажмите «Сохранить», чтобы записать данные в Arweave (расходуется 1 кредит)
📄 Хранение файлов
Храните PDF, изображения и любые файлы зашифрованными навсегда. Идеально для бухгалтерских документов (чеки / счета / контракты / медицинские отчёты). Совместимо с требованиями поиска японского закона об электронных книгах (дата / сумма / контрагент).
Добавление файла
Откройте вкладку «📄 Файлы» вверху приложения
Нажмите «+ Добавить файл»
Выберите файл (PDF / изображение / текст / Word / Excel и т. д., до 30 МБ)
Отображается предпросмотр. Для больших изображений используйте «🗜️ Сжать» для уменьшения (~200-500 КБ)
Введите Контрагента или Заголовок (один обязателен); дата / сумма / валюта необязательны
Нажмите «Сохранить» для шифрования + записи в Arweave
💡 Файлы менее 100 КиБ стоят $0 (передаются из Free Tier Turbo). Фото 1 МБ стоит ~$0,13. Если фактическая стоимость ниже оценки, разница возвращается мгновенно.
Автозаполнение OCR (опционально)
Автоматически извлекает дату / сумму / контрагента / описание / теги из изображений чеков или счетов / PDF. Требуется собственный OpenAI API-ключ (изображения отправляются напрямую в OpenAI; серверы Arpass не задействованы).
В настройках Arpass (⚙️) → нижний раздел «📷 Распознавание чеков (необязательно)» → введите ключ → «Сохранить и проверить»
Когда вы выбираете изображение / PDF, появляется кнопка «📷 Автозаполнение из изображения (OpenAI)»
Нажмите для извлечения данных; ~$0,005 за изображение списывается с вашего аккаунта OpenAI
Пустые поля заполняются автоматически (всегда перезаписываются — проверьте и при необходимости отредактируйте)
Поиск файлов
Поле поиска вверху: фильтр по дате / сумме / контрагенту / заголовку — мгновенно
Нажмите «🎛️» для расширенных фильтров: диапазон дат, диапазон сумм, контрагент/заголовок, тип, теги — комбинируются И
Поиск японского контрагента использует нормализацию NFKC + хирагана⇄катакана («セブン» совпадает с «せぶん»)
Исправление и удаление файлов
Нажмите на строку → модальное окно деталей
Кнопка «✏️ Edit» для исправления (причина обязательна, append-only)
Кнопка «🗑️ Delete» для логического удаления (причина обязательна, оригинал и данные Arweave сохраняются)
Кнопка «📜 History» показывает журнал аудита (создание/исправления/удаления — все видны)
📋 История исправлений / удалений ведётся в режиме append-only, поэтому может использоваться как доказательство при налоговых проверках (совместимо с законом об электронных книгах). Физическое удаление невозможно, но это также юридическое преимущество — «след сохраняется».
Скачать как CSV
Нажмите кнопку «📥 CSV» в заголовке вкладки Файлы
Все метаданные файлов скачиваются как arpass-files-YYYY-MM-DD.csv
UTF-8 BOM гарантирует, что японский не ломается в Excel / Numbers / Google Sheets
Столбцы: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url
📱 Смена устройства (открыть то же хранилище на новом устройстве)
Когда вы купили новый iPhone или Mac и хотите открыть существующее хранилище. Если у вас есть синхронизированный passkey или аппаратный ключ (YubiKey), вы можете открыть его только мастер-паролем и passkey — Recovery не нужен.
Откройте arpass.io на новом устройстве → нажмите «📲 Восстановить хранилище, созданное на другом устройстве»
Если у вас есть синхронизированный passkey (Связка ключей iCloud / Менеджер паролей Google) или YubiKey: нажмите «🔑 Восстановить через passkey + мастер-пароль (без Recovery)», введите мастер-пароль → пройдите аутентификацию с passkey. Recovery вводить не нужно.
Если passkey под рукой нет: введите мастер-пароль + бумажный секрет восстановления (📷 сканирование QR-кода тоже работает).
После успешной разблокировки на этом новом устройстве автоматически регистрируется отдельный Passkey.
Теперь это устройство разблокируется с помощью «мастер-пароль + Touch ID / Face ID».
🔑 Забыл мастер-пароль
Вы забыли запомненный пароль или, возможно, изменили его по ошибке.
На экране блокировки нажмите «🔑 Забыли мастер-пароль → Сбросить с помощью Passkey и секрета восстановления»
Введите бумажный секрет восстановления (📷 сканирование QR-кода тоже работает)
Пройдите аутентификацию через Passkey с помощью Touch ID / Face ID
Появится запрос «Задайте новый мастер-пароль» → введите новый пароль
Хранилище откроется, и новый пароль будет автоматически применён к каждому обёртыванию ключа
💡 При установке или смене мастер-пароля на этом устройстве создаётся новый Passkey (старый Passkey больше не сможет разблокировать; если он не нужен, его можно удалить в разделе «Управление зарегистрированными устройствами»). Если вы используете синхронизируемый passkey, на других устройствах в следующий раз достаточно выбрать новый Passkey и ввести новый пароль. Если на каждом устройстве свой Passkey, разблокируйте эти устройства заново с помощью «новый пароль + Recovery Secret».
🔐 How to save the Recovery Secret
When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.
🏆 BEST — Print on paper
Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password
💡 Print later is also available. But you must print before proceeding (= it's shown only once).
🥈 GREAT — Switch to YubiKey-only mode
A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.
🥉 OK (mobile / PC compatible) — Save image
The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.
⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.
iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).
🚫 Avoid
- Sending to yourself via plain Email / LINE / Slack / Discord
- Saving to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Storing in the same place as your master password
- Taking a screenshot of the QR code (= screen capture is outside the app — use the "Save image" button above which is optimized for naming and size)
📲 How to restore later
To restore on a new device:
Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks
🆘 Passkey этого устройства исчез
Вы сменили профиль браузера или используете новое устройство с новым Touch ID.
На экране блокировки: «📱 Passkey утерян → Разблокировать с помощью мастер-пароля и секрета восстановления»
Введите мастер-пароль и бумажный секрет восстановления (сканирование QR-кода подходит)
Разблокировка выполнена → Настройки → «🔐 Зарегистрировать Passkey на этом устройстве», чтобы создать новый Passkey
Теперь это устройство снова может разблокироваться с помощью «мастер-пароль + Touch ID»
🔐 Режим «только YubiKey»
Режим, в котором хранилище открывается только аппаратным ключом, например YubiKey, — без мастер-пароля и без Recovery Secret. Ничего запоминать не нужно: чтобы разблокировать, достаточно коснуться любого из зарегистрированных YubiKey. Это вариант для опытных пользователей, желающих полностью полагаться на физический ключ.
💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass
⚠️ Прочитайте перед созданиемВ режиме «только YubiKey»
нет ни восстановления по мастер-паролю, ни Recovery Secret. Если вы потеряете
все зарегистрированные YubiKey, хранилище
больше никогда не удастся открыть (мы тоже не сможем его восстановить).
- Поэтому при создании хранилища необходимо зарегистрировать два и более YubiKey — чтобы при утере или поломке одного оставался другой, которым можно открыть.
- Храните запасной ключ (ключи) в отдельном надёжном месте (резервный ключ).
- Если вы не против запомнить пароль, стандартный режим (мастер-пароль + Passkey) имеет больше способов восстановления и безопаснее.
Создать хранилище «только YubiKey»
Откройте arpass.io → на экране «Создать защищённое хранилище» выберите «🔑 Использовать только YubiKey»
Выберите, сколько YubiKey зарегистрировать (два и более)
Установите флажок, подтверждающий, что вы понимаете: при утере всех YubiKey хранилище восстановить нельзя
Нажмите «Создать в режиме YubiKey» и, следуя подсказкам, вставьте (или поднесите по NFC) и коснитесь первого YubiKey
Зарегистрируйте остальные YubiKey по одному (появится подсказка сменить ключ)
После регистрации всех ключей хранилище создаётся и сразу открывается
Открыть на другом устройстве
На другом устройстве откройте arpass.io → нажмите «📲 Восстановить защищённое хранилище, созданное на другом устройстве»
Выберите «🔑 Открыть хранилище с помощью YubiKey с другого устройства»
Вставьте (или поднесите по NFC) и коснитесь любого из зарегистрированных YubiKey
Хранилище открывается — без мастер-пароля и без Recovery
Добавить YubiKey
При открытом хранилище перейдите в Настройки (⚙) → откройте раздел «🔑 Зарегистрированные YubiKey»
Нажмите «+ Добавить YubiKey»
Сначала коснитесь одного из уже зарегистрированных YubiKey, чтобы подтвердить, что это вы
Затем смените на новый YubiKey, который хотите добавить, и коснитесь его
Новый YubiKey регистрируется, и с этого момента им тоже можно открывать хранилище
📲 Быстро настройте другое устройство с помощью кода добавления устройства
С устройства, которое уже умеет разблокировать, передайте <strong>credentialId и индексный тег Arweave</strong> на другое устройство (= то, которое тоже должно разблокироваться тем же YubiKey). Это быстрее и надёжнее, чем «Открыть YubiKey другого устройства». На Android Chrome это фактически обязательный путь, потому что баг Chrome не даёт работать обычному picker.
💡 Безопасность: Код содержит только публичную информацию (credentialId + тег Arweave). PRF / криптоключи / Recovery / Master не входят, поэтому даже при утечке никто не сможет разблокировать без физического YubiKey. Рекомендуется считать его эфемерным (удалить после вставки).
Сторона отображения (= уже разблокированное устройство): При открытом диске Настройки (⚙) → раздел «🔑 Зарегистрированные YubiKey»
Нажмите «📲 Показать код для другого устройства»
Появится строка, начинающаяся с «AP1....», и QR-код
Сторона ввода (= новое устройство): На экране создания arpass.io нажмите ссылку «📲 Открыть с кодом добавления устройства (AP1....)» внизу
Появится поле: вставьте код со стороны отображения или используйте кнопку «📷», чтобы отсканировать QR камерой
Нажмите «Применить код → Открыть с YubiKey» и коснитесь YubiKey
Разблокировка завершится, и далее это устройство будет открываться обычным способом
💡 Применение: ① Сделать Android Chrome рабочим (обязательный путь), ② Также на Mac / Win / iPhone пропустить касание picker для ускорения настройки, ③ Стандартный путь при развёртывании одного YubiKey на многих устройствах. Работает любое устройство → любое устройство.
💡 О Safari на Mac: Safari на Mac реализует WebAuthn иначе, чем другие браузеры, поэтому хранилище YubiKey, созданное или используемое в Safari на Mac, становится доступным только в Safari на Mac и не открывается в Chrome, Edge, iPhone или Android (и наоборот). Чтобы использовать одно хранилище в нескольких средах, применяйте на Mac браузер, отличный от Safari (Chrome / Edge).
🏢 Sign up as an employee (Business mode)
If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).
Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.
📲 Employee device-add / total lockout recovery
If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.
Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.
💳 Тарифы и оплата
Оплата — постфактум. Каждая операция (добавление, изменение, удаление) прибавляет тариф дня к использованию; платите всё сразу, когда удобно. Чтение и копирование бесплатны.
При разблокированном хранилище нажмите «💳 Баланс» в правом верхнем углу шапки
Откроется модальное окно выбора пакета (Starter / Standard / Heavy / Business / Family)
Нажмите на пакет → в новой вкладке откроется оформление заказа через Stripe
Введите данные банковской карты → завершите оплату
Новая вкладка автоматически закроется, и вы вернётесь в хранилище → уведомление: «✅ +N кредитов зачислено»
💡 Ваше разблокированное состояние сохраняется. Повторный вход во время оплаты не требуется.
🔄 Перевыпустить Recovery Secret
Если вы потеряли бумагу или подозреваете утечку. Требуется старый Recovery Secret.
Экран хранилища → Настройки (значок ⚙) → раздел «Повторная выдача секрета восстановления»
Введите текущий мастер-пароль
Выберите один из двух режимов:
- A. Лёгкий (рекомендуется): если бумага утеряна, но кражи не предполагается. Самый быстрый, без серверных операций.
- B. Полный (предполагается кража): если старый секрет восстановления мог быть скомпрометирован. Повторно шифрует содержимое и переключается на новый идентификатор аккаунта.
Нажмите «Выдать новый секрет восстановления»
Новый секрет отобразится на экране → обязательно распечатайте и храните в надёжном месте
Разница между случаями A и B (важно):
- Случай A: старые данные на Arweave по-прежнему может расшифровать любой, у кого есть старый секрет восстановления и мастер-пароль. «Безопасность прошлых данных» НЕ гарантируется.
- Случай B: старые данные на Arweave становятся постоянно нечитаемыми для кого угодно без старого MEK. Важно: удалить старые конверты Arweave невозможно (Arweave неизменяем).
🔐 Управление зарегистрированными устройствами
Проверьте, на каких устройствах зарегистрированы Passkey, переименуйте или удалите их.
Экран хранилища → Настройки → раздел «🔐 Зарегистрированные устройства»
Отображается список зарегистрированных устройств (текущее устройство выделено жёлтым)
Кнопка «Переименовать»: задайте понятное имя (например, «Mac Studio», «iPhone 15»)
Кнопка «Удалить» (для устройств, кроме текущего): отвязывает Passkey этого устройства от хранилища
Ограничение при удалении: если копия MEK осталась на удалённом устройстве, прошлые данные на Arweave по-прежнему можно расшифровать. Для полной инвалидации необходима повторная выдача секрета восстановления (случай B, ротация MEK).
❓ Часто задаваемые вопросы
Что если я потеряю все три: мастер-пароль, Passkey и Recovery?
Восстановление невозможно. Служба Arpass ничего не хранит и не может помочь. Это цена архитектуры с нулевым знанием — мы не можем видеть чьи-либо пароли, но потеря всех 3 факторов означает полную утрату доступа.
Потеря 2 факторов ещё поправима (оставшийся 1 позволяет восстановить доступ). Пока все 3 фактора целы, скопируйте секрет восстановления в несколько мест.
Может ли оператор видеть мои пароли?
Нет. Всё шифрование происходит в вашем браузере, а данные, хранящиеся на Arweave, проходят двойное шифрование ещё до прохождения через серверы Cloudflare.
- Внутренний слой: AES-256-GCM (ключ = MEK, генерируется случайно, никогда не передаётся на сервер)
- Внешний слой: AES-256-GCM (ключ = HKDF(vault-id), vault-id также никогда не передаётся на сервер)
- Что видит сервер: зашифрованные случайные байты (не поддающиеся расшифровке) + информация о балансе
Детали можно проверить на уровне кода в публичном зеркале arpass-spec (AGPL-3.0).
Зашифрованные данные на Arweave остаются навсегда?
Да — Arweave является постоянным хранилищем, поэтому записанные данные не исчезают. Это одновременно преимущество («ваши пароли будут существовать ещё через 200 лет») и недостаток («прошлые данные остаются навсегда»).
Даже если вы измените пароль, старый зашифртованный текст останется на Arweave. Однако расшифровать его можно только с помощью старого MEK, который известен только вам. После повторной выдачи секрета восстановления (случай B) последующие записи шифруются новым ключом, не связанным с прошлым.
Сколько это стоит?
Добавление, редактирование или удаление пароля расходует по 1 кредиту. Сохранение 10 паролей ≈ 10 кредитов. Пакета «Starter 100» ($2) достаточно для повседневного использования. Большинству пользователей нужно покупать пакет лишь один-два раза в год.
Is it OK to save the QR code as a photo?
OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.
Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.
For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.
Что будет, если я редактирую на нескольких устройствах одновременно?
Arpass использует оптимистичный контроль параллелизма, поэтому устройство, сохраняющее данные вторым, получит ошибку «Обновлено на другом устройстве». Разблокируйте хранилище снова, чтобы загрузить актуальную версию, а затем повторите редактирование.
🛡️ Лучшие практики безопасности
Arpass использует расшифровку 2-из-3 (любые 2 из: мастер-пароль + Passkey + секрет восстановления могут расшифровать данные). По замыслу, утечка только 1 фактора не раскрывает хранилище. Однако одновременная утечка нескольких факторов опасна. Следуйте приведённым рекомендациям.
✅ Рекомендуется
- Используйте мастер-пароль только для Arpass. Не применяйте его на других сервисах (= чтобы утечка где-либо ещё не распространилась на Arpass)
- Распечатайте секрет восстановления на бумаге и храните физически (сейф, ящик стола, у доверенного родственника и т. д.)
- Храните секрет восстановления отдельно от мастер-пароля (чтобы нельзя было похитить оба одновременно)
- Имейте несколько доверенных устройств (чтобы при утере Passkey у вас был способ восстановить доступ)
- Периодически проверяйте процедуры резервного восстановления (например, попробуйте «📲 Зарегистрировать это устройство» на другом устройстве)
❌ Избегать
- Recovery Secret saved to iCloud / Google Photos without E2E settings ON (= provider technically has access)
- Recovery Secret sent via plain Email / LINE / Slack / Discord (= stored on provider, persists in history)
- Recovery Secret saved to Dropbox / OneDrive / regular Google Drive (= no E2E)
- Master password stored in browser autofill / Keychain (= passkey and master password on the same device)
- Master password sent to others via Slack / email / SMS
- Recovery Secret paper stored in the same place as the master password note
⚠️ Неподходящие случаи использования
Этот сервис является универсальным менеджером паролей для частных лиц и малого бизнеса. Он не подходит для:
- Государственных секретов и учётных данных военного назначения
- Учётных данных администраторов крупных финансовых учреждений (обычные логины потребительских банков входят в область применения)
- Доступа к данным пациентов медицинских учреждений (области действия HIPAA и специальных законов о защите данных)
- Сид-фраз кошельков криптовалюты (используйте специализированный аппаратный кошелёк)
Мы не несём ответственности за любой ущерб, возникший в результате использования сервиса в указанных сценариях. Подробнее см. Условия использования.
🚨 При подозрении на утечку
Если мастер-пароль или секрет восстановления мог быть скомпрометирован, действуйте немедленно:
- Только мастер-пароль: Настройки → «Изменить мастер-пароль»
- Только секрет восстановления: Настройки → «Реагирование на инцидент безопасности» → повторная выдача секрета восстановления (случай A, лёгкий)
- Оба, или кража устройства: Настройки → «Реагирование на инцидент безопасности» → повторная выдача секрета восстановления (случай B, ротация MEK инвалидирует обёртывания на утерянном устройстве и старый секрет восстановления)
Подробнее см. раздел «Реагирование на инцидент безопасности» в настройках приложения.
🔬 Обзор криптографической архитектуры (продвинутое)
Криптографическая архитектура Arpass основана на расшифровке 2-из-3. Любые 2 из 3 факторов позволяют расшифровать хранилище.
- A: Мастер-пароль (запоминаемый; Argon2id (memory-hard, 64 MiB / t=3 / p=4))
- B: Passkey (хранится в защищённом анклаве устройства; 32-байтный вывод через WebAuthn PRF)
- C: Секрет восстановления (бумажная запись; энтропия 160 бит)
Пути расшифровки
- A + B: Ежедневная разблокировка (пароль + Touch ID) — самый быстрый способ. В envelope v7, если у вас есть синхронизированный passkey / YubiKey, даже новое устройство открывается только этими двумя
- A + C: При повреждении Passkey (пароль + бумага)
- B + C: При забытом пароле (Touch ID + бумага)
Шифрование тела и внешнее шифрование
Шифрование в два слоя:
- Внутренний: AES-256-GCM(MEK, IV, данные хранилища). MEK — случайный 256-битный ключ, генерируемый при создании хранилища и обёртываемый любыми 2 из 3 вышеуказанных факторов.
- Внешний: AES-256-GCM(HKDF(секрет восстановления), IV, внутренний конверт). Внешний ключ производится напрямую из вашего секрета восстановления и никогда не передаётся на сервер или в Arweave.
Байты на Arweave выглядят полностью случайными; структура JSON и названия алгоритмов внешне неразличимы. Даже имя тега Arweave, прикрепляемого к каждой записи, рандомизируется для каждого пользователя, поэтому внешние наблюдатели не могут определить, какие транзакции принадлежат Arpass.
В envelope v7 этот внешний ключ также хранится внутри Passkey (WebAuthn user.id). Ключ защищён аппаратным обеспечением Passkey и никогда не появляется в публичных данных Arweave, поэтому новое устройство может расшифровать внешний слой без ввода секрета восстановления.
Что находится на сервере
На сервере (Cloudflare KV) хранится только запись об использовании. Аккаунты идентифицируются хешем вашего открытого ключа (ECDSA P-256); внешний ключ, мастер-пароль и Recovery Secret никогда не попадают на сервер.
Полная спецификация: