Yend
Yend
EPC-256 · AES-256-GCM

Güvenlik Mimarimiz

EPC-256 nasıl çalışır? AES-256-GCM çekirdeği + anahtara bağlı gizli emoji permütasyonu, bir veritabanı sızıntısında bile verinizi neden okunamaz kılar?

ÇALIŞMA MANTIĞI

Açık metinden emoji ciphertext'e, adım adım.

Bir Yend uygulamasındaki her hassas alan, veritabanına ulaşmadan önce aynı işlem hattından geçer.

1

Açık metin girişi

Mesaj, telefon veya profil gibi hassas bir alan, kullanıcı cihazından gelir ve işleme alınır.

2

AES-256-GCM şifreleme

Veri, kullanıcı anahtarından türetilen anahtarla doğrulanmış (kimlik doğrulamalı) AES-256-GCM ile şifrelenir.

3

EPC-256 emoji katmanı

Şifreli baytlar, anahtardan HKDF ile türetilen gizli 256-emoji permütasyonuyla emoji ciphertext'e dönüştürülür.

4

At-rest saklama

Veritabanına yalnızca emoji ciphertext yazılır. Sızıntı olsa bile saldırgan anahtarsız okunamayan emoji dizisi görür.

5

Okuma & çözme

Vault açıkken işlem tersine çalışır: emoji → bayt → AES çözme. Anahtar yoksa veya yanlışsa işlem reddedilir.

AES-256-GCM Şifreleme

Tüm hassas alanlar (telefon, mesaj içeriği, e-posta, profil) doğrulanmış şifrelemeyle korunur. GCM modu hem gizlilik hem de bütünlük sağlar — şifreli veri değiştirilirse anında reddedilir.

PBKDF2 Anahtar Türetme

Master parolanız sunucuda asla saklanmaz. Anahtarlar, modern anahtar türetme yöntemleriyle kullanıcı sırrından üretilir; bu da kaba kuvvet saldırılarını pratik olmaktan çıkarır.

EPC-256 · Anahtarlı Gizli Emoji Katmanı

256-emoji permütasyonu, veri anahtarından türetilen GİZLİ bir alfabedir. Anahtar olmadan bir emoji baytına bile çevrilemez; veritabanı sızsa dahi saldırgan yalnızca anlamsız emoji dizileri görür.

Aranabilir Alanlar için Kör İndeks

Telefon veya e-posta gibi aranabilir alanlar, geri dönüşümsüz bir indeks değerine dönüştürülerek eşleştirilir. Düz metin hiçbir zaman saklanmaz.

Kötüye Kullanım & Bot Koruması

Otomatik istekler, bot ve kaba kuvvet saldırılarına karşı çok katmanlı koruma ve anormallik tespiti uygulanır.

VERDİĞİMİZ SÖZLER

Sıfır-bilgi'nin gerçek anlamı.

  • Düz-metin parola, anahtar veya hassas veri hiçbir yerde tutulmaz — ne .env'de, ne loglarda, ne yedeklerde.
  • Bir veritabanı sızıntısı durumunda saldırgan yalnızca anlamsız emoji ciphertext görür — emoji alfabesi anahtara bağlı gizli bir permütasyondur, anahtarsız bayta bile çevrilemez.
  • Yanlış passphrase saniyenin altında reddedilir; kaba kuvvet denemeleri sistem kaynağı tüketmeden engellenir.
  • Recovery phrase'in kaybı = veri kurtarılamaz. Bu bir kusur değil, tasarımın ta kendisi (zero-knowledge garantisi).
  • Aynı düz metin her şifrelendiğinde farklı ciphertext üretir (IND-CPA güvenliği).
🛡️

Zafiyet Bildir

Bir güvenlik açığı mı buldunuz? Detayları bize iletin — ilk yanıt 48 saat, triage 5 iş günü içinde.