Security
復号能力を、サーバーから切り離す。
Sealithはブラウザ内暗号化を基本に、完全E2EEの最強モードと、GCP KMSで遅延パスコード送信を行う標準モードを選択できます。
Security
クライアント側暗号化
Web Crypto APIでAES-256-GCM鍵を生成し、ファイル本体をブラウザ内で暗号化します。
Security
パスコード検証
Argon2idハッシュをサーバー側に保存し、平文パスコードは保存しません。
Security
ストレージ
Cloudflare R2には暗号文のみを保存します。R2管理者権限だけでは平文を復元できません。
Security
監査ログ
作成、閲覧、試行、ダウンロード、失効イベントを追記専用ログとして扱います。
明示的な境界
完全性を装わず、標準と最強それぞれの復号能力の所在を公開します。
最強モードでは、Sealithはパスコードを復号する手段を持ちません。
標準モードでは、遅延メール送信時にGCP KMSでパスコード復号処理が発生します。
Stripe、SSO、IPホワイトリストは今後の拡張対象です。
メッセージ本文とファイル名は運用優先で平文メタデータとして扱います。
最高水準の完全E2EE運用では、組織設定で最強モードに限定できます。