Continuidade

Se a Aeterne deixar de existir

Num produto de herança, perenidade é parte do produto. A pergunta certa não é “e se vocês fecharem?” — é “meus herdeiros ainda conseguem abrir o cofre?”. A resposta foi desenhada para ser sim, mesmo num mundo sem a Aeterne.

Seus dados são seus — e exportáveis a qualquer momento

Em Configurações → Seus dados, você baixa tudo num único arquivo: os envelopes cifrados, os herdeiros e a trilha de auditoria. Esse export, somado à sua senha ou chave de recuperação e aos tokens dos herdeiros, basta para reconstruir o cofre sem nós. Sem aprisionamento, por desenho.

Export completo e versionado · sem dependência da nossa infraestrutura.

Os herdeiros reabrem o cofre sem depender de nós

A reabertura acontece inteiramente no aparelho de quem você escolheu. O nosso servidor nunca teve a chave — só guardava conteúdo embaralhado. Com o arquivo exportado e a chave de recuperação em mãos, o cofre se reabre mesmo que a Aeterne não exista mais.

Decifragem 100% client-side · o servidor jamais participa da reconstrução.

Núcleo criptográfico aberto no encerramento

Se um dia a Aeterne encerrar, nos comprometemos a abrir o código-fonte do núcleo criptográfico — o decifrador e o formato de envelope — para que qualquer engenheiro possa reimplementar a abertura do cofre de forma independente.

Formato de envelope versionado e documentado · primitivas padrão (Argon2id, XChaCha20-Poly1305, X25519, ML-KEM-768, Shamir), reimplementáveis com bibliotecas abertas.

Dormência preserva o texto cifrado perpetuamente

Se uma conta entra em dormência, não apagamos o que importa. O texto cifrado é preservado de forma perene, à espera do quórum de herdeiros — porque o tempo da herança não é o tempo de uma assinatura mensal.

Preservação perpétua do ciphertext em dormência · só os herdeiros, juntos, reabrem.

Nunca herdar do silêncio

Uma liberação nunca acontece por inércia ou por falta de resposta sozinha. Há revisão humana com quórum para casos sensíveis e avisos repetidos antes de qualquer passo irreversível. Ninguém herda só porque ninguém falou nada.

Gatilho de inatividade com confirmações em camadas + console de emergência com quórum (M de N).

Escrow independente do decifrador e dos runbooks

Compromisso em formalização. O instrumento jurídico com um agente de escrow/cartório está em formalização e ainda não é vinculante — descrevemos abaixo o desenho a que nos comprometemos.

Em produção, o código do decifrador e os runbooks operacionais ficarão sob guarda de um terceiro independente (escrow), com instruções para manter o serviço ou facilitar a saída ordenada dos dados em caso de encerramento.

Guarda por fundação/agente de escrow independente · gatilho de liberação por encerramento.

O aviso honesto

Abrir o código preserva o decifrador — não a operação (infraestrutura, gestão de chaves, suporte) por décadas a fio. Por isso recomendamos sempre manter um backup independente da sua chave de recuperação e das suas seeds mais críticas. Nenhum cofre — nem o nosso — deve ser a única cópia do que importa.

Veja como tudo isso é protegido em Segurança e o estado ao vivo no Trust Center.

Sem aprisionamento, por desenho. Seus dados saem com você, a qualquer momento.