Segurança
Segurança que você pode verificar
Um cofre de herança guarda o que há de mais valioso. Por isso a Aeterne foi desenhada para que só quem você escolher abra o que está dentro — e para que nem nós consigamos ler o seu conteúdo. Não pedimos que você confie na nossa palavra: cada garantia pode ser conferida de forma independente, e mostramos exatamente como no passo a passo de transparência.
Só quem você escolher abre
O que você guarda é fechado à chave dentro do seu próprio aparelho. Nem a Aeterne consegue ler o seu conteúdo — não há nada legível para vazar, nem para nós, nem para um invasor.
A chave é sua, não nossa
A chave que abre o cofre fica sob o seu controle e o dos herdeiros que você nomear — nunca conosco. Ninguém, sozinho, abre o que você quis proteger.
Tranquilidade mesmo no pior caso
Partimos do princípio de que tudo pode falhar — e mesmo assim o conteúdo do seu cofre continua protegido. Você não precisa confiar na nossa palavra: pode conferir por conta própria.
Cifragem autenticada de ponta a ponta
Cada segredo é cifrado no seu aparelho com uma chave derivada da sua senha por uma função propositalmente lenta, que torna a força bruta inviável.
Argon2id (derivação de chave resistente a hardware) + XChaCha20-Poly1305 (AEAD autenticado).
Divisão de chave entre herdeiros
A chave que abre o cofre é fragmentada matematicamente. Só a recomposição de um quórum de herdeiros (M de N) reconstrói a chave — e isso acontece nos aparelhos deles.
Shamir Secret Sharing + chave de recuperação offline sob seu controle.
Resistência pós-quântica, hoje
O envelope de chave é protegido por dois esquemas ao mesmo tempo: o clássico e um resistente a computadores quânticos. Um futuro quântico não basta para abrir o que foi cifrado hoje.
Envelope híbrido X25519 (clássico) + ML-KEM-768 (FIPS 203, pós-quântico).
Acesso sem senha, com biometria
Você entra por passkeys: a chave nunca sai do seu aparelho e não há senha para roubar ou reusar. Tentativas abusivas encontram bloqueio progressivo.
WebAuthn (passkeys) + rate-limit e lockout distribuídos entre servidores.
Registro inviolável e verificável
Cada liberação fica num registro encadeado que não pode ser reescrito sem ser notado — verificável de forma independente, sem confiar na nossa palavra.
Trilha de auditoria HMAC encadeada + log de transparência Merkle (RFC 6962) com raiz assinada por chave dedicada (Ed25519).
Ancorado num registro público
A raiz assinada do nosso registro é publicada num livro-razão público, append-only e fora do nosso controle. Nem quem detém a chave de assinatura consegue reescrever o histórico sem deixar rastro público.
Raiz (STH) ancorada no Sigstore Rekor público — imutável e verificável por qualquer pessoa em search.sigstore.dev.
Defesas que sobrevivem a reinícios
Limites de tentativa, bloqueios e o log de transparência vivem em banco replicado entre servidores. Reiniciar uma máquina não zera as proteções.
Estado crítico durável e replicado (Turso/libSQL) — não em memória volátil.
Escreva para security@aeterne.app. Operamos sob safe harbor: pesquisa de segurança feita de boa-fé nunca é penalizada. Fazemos a triagem em até 72 horas e priorizamos a correção pela gravidade.
Para pesquisadores, nossa política legível por máquina está em security.txt (padrão RFC 9116).
O produto já passou por auditoria de segurança interna e adversarial — achados foram verificados e corrigidos. Uma auditoria de segurança externa e independente está em andamento; quando concluída, o resultado será publicado. Ainda não possuímos certificações SOC 2 ou ISO 27001 — elas estão no roadmap, e dizemos isso em voz alta em vez de sugerir um selo que não temos.
O estado real e ao vivo dos nossos serviços e compromissos fica no Trust Center, derivado do sistema em produção — não de marketing.
Protegido de ponta a ponta — nem nós conseguimos ler. Como em qualquer cofre, mantenha sempre um backup independente da sua chave de recuperação e das suas seeds mais críticas.