① zero-knowledge w URL
Klucz szyfrujący żyje wyłącznie w linku po znaku #. Przeglądarka go nie wysyła do nas, my go nie widzimy, nie logujemy, nie odzyskamy.
— v1 · prawie zero-knowledge —
Jeden sekret.
Jeden odczyt.
Wpisujesz wiadomość, dostajesz link. Pierwszy, kto go otworzy — widzi treść. Każdy następny widzi pustkę. Klucz szyfrujący nie istnieje na naszym serwerze.
② samozniszczenie
Pierwsze udane odszyfrowanie kasuje rekord atomowo (transakcja DB z SELECT FOR UPDATE). Nie ma drugiej szansy.
③ obrona wielowarstwowa
Klucz aplikacji (pepper) miksowany przez HKDF z kluczem URL. Sam wyciek bazy nie wystarczy do odszyfrowania.