📖 Arpass — 用户指南
→ 打开保险库

用户指南

如何使用 Arpass,按场景介绍。

目录

📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.

🆕 首次使用

创建您的安全保险库的初始流程。

访问 arpass.io。页面将显示「创建安全驱动器」界面。
输入两次主密码。这是您的 Arpass 登录密码——请勿泄露,务必牢记
点击「创建安全驱动器」,然后使用 Touch ID / Face ID 注册 Passkey(设备身份验证)
恢复密钥仅显示一次(格式:RS1-XXXX-XXXX-…)。请妥善保存于安全处。
点击「我已了解」进入驱动器。
🔑 请保护好您的密钥(Passkey)和恢复密钥
在新设备上打开驱动器最简单的方式是使用已同步的通行密钥(iCloud 钥匙串 / Google 密码管理器)或 YubiKey 等安全密钥。有了它们之一,新设备只需「主密码 + 通行密钥」即可打开(无需 Recovery)。

🔓 日常使用

取出密码

访问 arpass.io → 锁定界面
输入主密码 → 使用 Touch ID / Face ID 完成身份验证
密码列表将显示。可在搜索框中按网站名称过滤。
点击某条记录 → 进入详情页。使用「👁 显示」查看密码,使用「📋 复制」将密码复制到剪贴板。

保存新密码

点击「+ 新增」
输入网站名称、URL、用户名和密码。可使用「🎲 生成」创建高强度密码。
点击「保存」写入 Arweave(消耗 1 个积分)

📄 文件保存

PDF / 图片 / 任何文件加密永久保存。最适合保存财务文件 (收据 / 发票 / 合同 / 健康检查报告等)。符合日本电子簿记保存法的搜索性 (日期 / 金额 / 对方)。

添加文件

打开应用顶部的「📄 文件」标签
点击「+ 添加文件」
选择文件 (PDF / 图片 / 文本 / Word / Excel 等,最多接受 30 MB)
显示预览。如果是大图片,点击 「🗜️ 压缩」 按钮缩小 (200-500 KB 程度)
输入对方或标题中的一项 (其中一项必填),日期、金额、币种为可选
「保存」按钮加密并写入 Arweave

💡 100 KiB 以下的文件费用为 0 (Turbo Free Tier 还原)。1 MB 照片约 ¥20。写入后,如果实际成本低于估算,差额将立即退款。

OCR 自动填充 (可选)

从收据 / 发票图片 / PDF 自动提取日期、金额、对方、备注、标签。需要您自己的 OpenAI API 密钥 (图片直接发送到 OpenAI;Arpass 服务器不参与)。

platform.openai.com/api-keys 获取 API 密钥
进入 Arpass 设置(⚙️)→ 底部「📷 收据 OCR(可选)」→ 输入密钥 → 点击「保存并验证」
选择图片或 PDF 后,将出现 「📷 从图片自动填写(OpenAI)」 按钮
点击即可提取;每张图片约收取 ~\$0.005,费用计入您的 OpenAI 账户
空白字段将自动填写(始终覆盖原有内容——请检查并按需修改)

搜索文件

文件列表顶部的搜索框输入 日期 / 金额 / 对方 / 标题 → 即时筛选
「🎛️」按钮打开高级筛选: 日期范围、金额范围、对方/标题、类别、标签 AND 搜索
日语对方使用 NFKC + 平假名⇄片假名 标准化搜索 (「セブン」也匹配「せぶん」)

修正和删除文件

从文件列表点击行 → 详情模态框
「✏️ Edit」按钮修正 (理由必填,append-only 历史记录)
「🗑️ Delete」按钮逻辑删除 (理由必填,原始数据和 Arweave 数据永久保留)
「📜 History」按钮查看审计历史 (创建/修正/删除全部痕迹)

📋 修正・删除的历史是 append-only,因此可作为税务审计时的证据使用 (符合电子簿记保存法)。物理删除不可能,但这也是「证据保留」的法律优势。

以 CSV 下载

点击文件标签头部的「📥 CSV」按钮
所有文件元数据下载为 arpass-files-YYYY-MM-DD.csv
UTF-8 BOM 确保 Excel / Numbers / Google Sheets 中日语不会乱码
列: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url

📱 机型变更 (在新设备上打开同一保险库)

当您购买了新的 iPhone 或 Mac,想要打开现有驱动器时。如果您有已同步的通行密钥或安全密钥(YubiKey),只需主密码和通行密钥即可打开,无需 Recovery。

在新设备上打开 arpass.io → 点击「📲 恢复在其他设备上创建的保险库」
如果您有已同步的通行密钥(iCloud 钥匙串 / Google 密码管理器)或 YubiKey:点击「🔑 使用通行密钥 + 主密码恢复(无需 Recovery)」,输入主密码 → 用通行密钥完成验证。无需输入 Recovery。
如果手边没有通行密钥:输入主密码 + 纸质恢复密钥(📷 扫描二维码同样可用)。
解锁成功后,系统会在此新设备上自动注册一个专属 Passkey。
此后,本设备只需「主密码 + Touch ID / Face ID」即可解锁。

🔑 忘记主密码

您忘记了记忆的密码,或者可能不小心更改了它。

在锁定界面,点击「🔑 忘记主密码 → 使用 Passkey + 恢复密钥重置」
输入纸质恢复密钥(📷 扫描二维码同样可用)
通过 Passkey 使用 Touch ID / Face ID 完成身份验证
出现「设置新主密码」提示 → 输入新密码
驱动器开启 + 新密码将自动应用到每个加密包
💡 设置或更改主密码会在本设备上创建一个新的 Passkey(旧 Passkey 将无法用于解锁,如不再需要可在“管理已注册设备”中删除)。如果您使用同步 Passkey,在其他设备上下次只需选择新的 Passkey 并输入新密码即可。如果每台设备使用各自的 Passkey,请在这些设备上用“新密码 + Recovery Secret”重新解锁。

🔐 How to save the Recovery Secret

When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.

🏆 BEST — Print on paper

Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password

💡 Print later is also available. But you must print before proceeding (= it's shown only once).

🥈 GREAT — Switch to YubiKey-only mode

A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.

🥉 OK (mobile / PC compatible) — Save image

The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.

⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.

iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).

🚫 Avoid

📲 How to restore later

To restore on a new device:

Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks

🆘 此设备的 Passkey 消失了

切换浏览器配置文件,或使用具有新 Touch ID 的新设备。

在锁定界面:「📱 Passkey 丢失 → 使用主密码 + 恢复密钥解锁」
输入主密码 + 纸质恢复密钥(扫描二维码同样可用)
解锁成功 → 进入设置 → 点击「🔐 在本设备注册 Passkey」以创建新 Passkey
此后本设备可再次使用「主密码 + Touch ID」解锁

🔐 仅 YubiKey 模式

这是一种仅用 YubiKey 等安全密钥即可打开驱动器的模式——无需主密码,也无需 Recovery Secret。没有需要记忆的密码:只需触碰任意一个已注册的 YubiKey 即可解锁。这是面向希望完全依赖物理密钥的用户的高级选项。

💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass

⚠️ 创建前请务必阅读
仅 YubiKey 模式没有主密码救援,也没有 Recovery Secret。如果您丢失了全部已注册的 YubiKey,驱动器将永远无法再打开(运营方也无法恢复)。

创建仅 YubiKey 驱动器

打开 arpass.io → 在「创建安全驱动器」界面选择 「🔑 仅使用 YubiKey」
选择要注册的 YubiKey 数量(两个或更多)
勾选确认「丢失全部 YubiKey 将无法恢复」的复选框
点击「以 YubiKey 模式创建」,按照提示插入第一个 YubiKey(或通过 NFC 轻触)并触碰
依次注册其余的 YubiKey(会提示更换密钥)
全部注册完成后,驱动器即创建并立即打开

在其他设备上打开

在另一台设备上打开 arpass.io → 点击「📲 恢复在其他设备上创建的安全驱动器」
选择 「🔑 用其他设备的 YubiKey 打开此驱动器」
插入任意一个已注册的 YubiKey(或通过 NFC 轻触)并触碰
驱动器随即打开——无需主密码,也无需 Recovery

添加 YubiKey

在驱动器打开的状态下,进入设置(⚙)→ 打开「🔑 已注册的 YubiKey」部分
点击「+ 添加 YubiKey」
首先触碰一个已注册的 YubiKey 以确认身份
然后换成要添加的 YubiKey 并触碰
新的 YubiKey 即被注册,此后也可用它打开驱动器

📲 用设备添加代码在另一台设备上快速设置

从已能解锁的设备,将 <strong>credentialId 和 Arweave 索引标签</strong>传递给另一台设备(即想用同一个 YubiKey 解锁的另一台设备)。这样比「用其他设备的 YubiKey 打开」更快、更可靠。在 Android Chrome 上,由于 Chrome 自身的 bug 导致常规 picker 无法工作,所以设备添加代码实际上是必需的途径。

💡 安全性: 代码仅包含公开信息(credentialId + Arweave 标签)。完全不包含 PRF / 加密密钥 / Recovery / Master,因此即使泄露,没有 YubiKey 的人也无法解锁。仅作为临时使用(粘贴完即丢弃)更整洁。
显示侧(已能解锁的设备): 打开驱动器后,进入 设置 (⚙) → 「🔑 已注册 YubiKey」 部分
点击「📲 显示用于其他设备的代码」
会显示以「AP1....」开头的字符串和 QR 码
输入侧(新设备): 在 arpass.io 创建页面底部,点击「📲 使用设备添加代码 (AP1....) 打开」链接
输入框出现后,粘贴显示侧的代码,或用「📷」按钮通过相机扫描
点击「应用代码 → 用 YubiKey 打开」,并触摸 YubiKey
解锁完成,此后该设备可以正常打开
💡 用途: ① 让 Android Chrome 能够打开(必需路径),② 在 Mac / Win / iPhone 上也省略 picker 点击,加快设置速度,③ 用一个 YubiKey 在多设备上展开时的标准路径。任意设备 → 任意设备均可工作。
💡 关于 Mac 上的 Safari:Mac 上的 Safari 对 WebAuthn 的实现与其他浏览器不同,因此在 Mac Safari 中创建或使用的 YubiKey 驱动器将仅限 Mac Safari,无法在 Chrome、Edge、iPhone 或 Android 中打开(反之亦然)。若要在多个环境中共享同一驱动器,请在 Mac 上使用 Safari 以外的浏览器(Chrome / Edge)。

🏢 Sign up as an employee (Business mode)

If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).

Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.

📲 Employee device-add / total lockout recovery

If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.

Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.

💳 费用与支付

费用为后付。每次保存操作(新增·编辑·删除)按当日费率计入使用金额,想付时一次付清即可。浏览与复制免费。

在驱动器解锁状态下,点击右上角标题栏中的「💳 余额」
套餐选择弹窗打开(Starter / Standard / Heavy / Business / Family)
点击某个套餐 → Stripe 结账页面将在新标签页中打开
输入信用卡信息 → 完成支付
新标签页自动关闭并返回驱动器 → 提示:「✅ 已充入 +N 个积分」
💡 您的解锁状态会被保留。付款时无需重新登录。

🔄 重新发行 Recovery Secret

如果纸张丢失或泄露。需要旧 Recovery Secret。

驱动器界面 → 设置(⚙ 图标) → 「重新签发恢复密钥」区域
输入当前主密码
选择两种模式之一
  • A. 轻量模式(推荐):适用于纸质密钥丢失但怀疑未被盗的情况。速度最快,无需服务器操作。
  • B. 完整模式(怀疑被盗):适用于旧恢复密钥可能已泄露的情况。将重新加密数据体并切换到新账户标识符。
点击「签发新恢复密钥」
新恢复密钥显示在屏幕上 → 请务必打印并妥善保存
情况 A 与 B 的区别(重要)

🔐 管理已注册的设备

检查哪些设备已注册 Passkey,重命名或移除它们。

驱动器界面 → 设置 → 「🔐 已注册设备」区域
已注册设备列表将显示(本设备以黄色高亮标注)
「重命名」按钮:修改为有意义的名称(例如「Mac Studio」、「iPhone 15」)
「移除」按钮(除本设备以外的其他设备):将该设备的 Passkey 从保险库中解绑
移除的局限性:若被移除设备上仍保留 MEK 副本,过去的 Arweave 数据仍可被解密。要彻底使其失效,需重新签发恢复密钥(情况 B,MEK 轮换)。

❓ 常见问题

如果我同时丢失主密码、Passkey 和 Recovery 三者怎么办?

将无法恢复。Arpass 运营方不保留任何信息,因此无法提供协助。这是零知识设计的代价——我们无法查看任何人的密码,但三个因素全部丢失意味着彻底无法找回。

丢失其中 2 个仍可恢复(剩余的 1 个可用于还原)。在全部丢失之前,请将恢复密钥备份到多处。

运营方能看到我的密码吗?

不会。所有加密均在您的浏览器中完成,存储在 Arweave 上的数据体在经过 Cloudflare 服务器传输前已经过双重加密。

  • 内层:AES-256-GCM(密钥 = MEK,随机生成,从不发送至服务器)
  • 外层:AES-256-GCM(密钥 = HKDF(vault-id),vault-id 同样从不发送至服务器)
  • 服务器所见:加密的随机字节(无法解码)+ 余额信息

详情可通过公开镜像 arpass-spec(AGPL-3.0)在代码层面进行验证。

Arweave 上的加密数据会永远保留吗?

是的——Arweave 是永久存储,写入的数据不会消失。这既是优点(「200 年后您的密码依然存在」),也是缺点(「历史数据将永久保留」)。

即使您更改了密码,旧密文仍保留在 Arweave 上。但旧密文只能用旧 MEK 解密,而只有您知道旧 MEK。重新签发恢复密钥(情况 B)后,后续写入将使用与过去无关的新密钥进行加密。

费用是多少?

新增、编辑或删除一条密码各消耗 1 个积分。保存 10 条密码 ≈ 消耗 10 个积分。「Starter 100」套餐($2)足以满足日常使用。大多数用户每年只需购买一两次套餐。

Is it OK to save the QR code as a photo?

OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.

Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.

For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.

如果我同时在多个设备上编辑会怎样?

Arpass 使用乐观并发控制,因此第二台设备保存时会收到「已在其他设备上更新」的错误提示。请重新解锁以获取最新版本,然后再次编辑。

🛡️ 安全运营指南

Arpass 采用 2-of-3 解密机制(主密码、Passkey、恢复密钥三者中任意两个均可解密)。由于设计如此,仅泄露其中 1 个因素不会导致保险库被解密。但多个因素同时泄露将非常危险。请遵循以下指南。

✅ 推荐

❌ 避免

⚠️ 不适合的使用情况

本服务是面向个人和小型企业的通用密码管理工具。不适合用于以下场景:

对于在上述场景中使用本服务所造成的任何损失,我们不承担任何责任。详情请参阅服务条款

🚨 如果怀疑泄露

如果主密码恢复密钥可能已泄露,请立即采取行动:

  1. 仅主密码泄露:设置 → 「更改主密码」
  2. 仅恢复密钥泄露:设置 → 「安全事件响应」 → 重新签发恢复密钥(情况 A,轻量级)
  3. 两者均泄露,或设备被盗:设置 → 「安全事件响应」 → 重新签发恢复密钥(情况 B,MEK 轮换将使丢失设备及旧恢复密钥上的加密包失效)

详情请参阅应用页面设置中的安全事件响应。

🔬 加密设计概述 (高级)

Arpass 的加密设计采用 3 取 2 解密机制,3 个因子中任意 2 个即可解密保险库。

解密路径

主体加密和外层加密

采用双层加密:

存储在 Arweave 上的字节完全呈现为随机数据;其 JSON 结构和算法名称在外部无法区分。每次写入所附带的 Arweave 标签名称也按用户随机化,因此外部观察者无法识别哪些交易属于 Arpass。

在 envelope v7 中,该外层密钥还会存储在 Passkey 内部(WebAuthn user.id)。该密钥由 Passkey 硬件保护,绝不出现在公开的 Arweave 数据中,因此新设备无需输入恢复密钥即可解密外层。

服务器上有什么

Cloudflare KV 服务器端仅保存使用金额记录。账户通过公钥(ECDSA P-256)哈希识别;外层密钥、主密码、Recovery Secret 永远不会到达服务器

完整规范: