Segurança Arquitetura

Especificações técnicas sobre nossos protocolos de criptografia do lado do cliente (CSE) e infraestrutura de armazenamento zero-trust.

Noções básicas de segurança

  • Criptografia de ponta a ponta no seu navegador — criptografada localmente antes do upload, para que o texto em claro nunca saia do seu dispositivo.
  • A chave de criptografia/descriptografia é gerada no seu navegador e incorporada ao link compartilhado. A PrivateNote.ai nunca a recebe nem a armazena.
  • Nossos servidores armazenam apenas texto cifrado e não possuem as chaves necessárias para descriptografá-lo.

Criptografia do lado do cliente

As notas são criptografadas localmente na memória do navegador antes da transmissão usando a Web Crypto API. O servidor vê apenas o texto cifrado resultante.

Gerenciamento de chaves

As notas privadas padrão codificam a chave bruta de 256 bits como Base64url no fragmento da URL (#...). Notas protegidas por senha encapsulam a chave de conteúdo com chaves derivadas por Argon2id.

O link compartilhado dá acesso à nota. Compartilhe-o apenas com os destinatários pretendidos.

Criptografia

Criptografia Simétrica

  • AES-256-GCM

    Criptografia autenticada com tags de autenticação de 128 bits e dados autenticados adicionais (AAD) vinculando o ID da nota, a expiração e os limites de leitura. Chaves de 256 bits continuam sendo uma barreira prática, mesmo contra busca quântica de chaves no estilo Grover.

  • IV criptográfico de 12 bytes

    Vetores de inicialização exclusivos evitam o reconhecimento de padrões em múltiplas notas.

Derivação de Chave (KDF)

  • Argon2id (perfil v2)

    Notas protegidas por senha usam Argon2id com parâmetros de memória difícil (tempo = 3, memória = 64 MiB, paralelismo = 1) para aumentar o custo de força bruta, especialmente em invasores de GPU/ASIC.

  • Sal criptográfico de 16 bytes

    Sal exclusivo por nota garante proteção contra ataques de mesa arco-íris.

Infraestrutura e Segurança Operacional

Armazenamento na jurisdição da UE

Os dados de autenticação, as notas encriptadas e os registos operacionais são armazenados na infraestrutura da jurisdição da UE.

Gerenciamento de estado atômico

Cloudflare Durable Objects fornecem consistência atômica para a lógica de leitura única, evitando condições de corrida e consumo duplo.

Sem cookies de rastreamento

Apátrida API. Nenhum pixel de publicidade ou rastreamento foi carregado.

Verificação de catraca

A verificação de solicitação somente humana evita a enumeração de notas de força bruta.

Cadeia de suprimentos e integridade

Como a criptografia é executada no seu navegador, o pacote de aplicativos que você carrega faz parte do modelo de confiança. Contamos com hospedagem estática, construções de CI fixas e proteções de navegador – não uma garantia contra um cliente comprometido, mas limites deliberados sobre o que pode ser executado.

Implantação e proteções do navegador
  • Implantações de páginas estáticas Cloudflare com ativos de construção com hash de conteúdo do CI
  • HTTP Política de segurança de conteúdo mais cabeçalhos de segurança; listas de permissões apenas onde os recursos exigem (catraca, AI CDNs no dispositivo, WASM)
  • Instalações reproduzíveis de package-lock.json (npm ci em pipelines de implantação)
  • HTTPS com HSTS (pré-carga) na borda via Cloudflare
  • Nenhum anúncio ou scripts analíticos; JS de terceiros é principalmente Turnstile e carregamentos opcionais de AI CDN quando você usa esses recursos

Tratamento de dados de IA

A IA é opcional ao redigir uma nota — você nunca precisa dela para criar um link seguro. Ao usá-la, escolha entre IA privada no dispositivo e Cloud Assist opcional; cada opção tem limites de privacidade diferentes.

IA privada (no dispositivo)

Privacidade

Roda no seu navegador (WebLLM). O rascunho do texto não é enviado para a PrivateNote.ai nem para terceiros para inferência.

Depois de salvar

Seu texto é processado localmente. Somente a nota criptografada é enviada — o prompt de IA não vai para nossos servidores.

Requisitos do dispositivo

Quando há suporte, carregamos Qwen3 0.6B ou Gemma 2 2B em desktops compatíveis com WebGPU. Espere até ~1 GB de armazenamento do navegador para os pesos do modelo e memória de GPU suficiente para executá-los. Muitas vezes não funciona em celulares ou laptops mais fracos — use o Cloud Assist ou escreva sem IA.

Configuração pela primeira vez

O primeiro uso pode baixar pesos quantizados (até ~1 GB) de CDNs públicos (por exemplo, Hugging Face ou jsDelivr) — separados do upload da nota criptografada. Sessões posteriores podem reutilizar pesos armazenados em cache.

Cloud Assist (hospedado)

Privacidade

Roda no Cloudflare Workers AI (Google Gemma 4 26B). Você precisa aceitar explicitamente — o rascunho em texto claro sai do seu dispositivo. Nada é enviado até você confirmar o Cloud Assist.

Depois de salvar

Somente a nota criptografada é enviada. Durante a redação, seu prompt passa pelo PrivateNote.ai Worker em texto claro — nós não o armazenamos, mas nossa borda processa essa solicitação antes da Cloudflare.

Requisitos do dispositivo

Qualquer navegador moderno com conexão de rede — sem necessidade de GPU ou grande armazenamento local. Usado quando a IA privada não pode ser executada no seu dispositivo ou quando você escolhe a redação hospedada.

Configuração pela primeira vez

Nada é necessário. Sem download de modelo, etapa de instalação ou cache local — aceite e envie um rascunho quando solicitado.

Modelo de ameaça e limitações

Um modelo de ameaça útil indica o que protegemos, contra quem protegemos, o que presumimos, quais controles se aplicam – e o que explicitamente não cobrimos. As proteções apresentadas anteriormente nesta página são mapeadas para a seção 4; as seções 1–3 e 5 definem os limites.

O que protegemos

  • Nota em texto simples

  • Chaves de criptografia

  • Garantias de leitura única

  • Expiração e limites de leitura

  • Dados da conta do usuário

  • Credenciais de autenticação

Suposições

  • O dispositivo e o navegador do usuário são confiáveis ​​ao criptografar ou descriptografar.
  • O navegador implementa corretamente o Web Crypto.
  • O TLS para nossa origem funciona conforme o esperado.
  • O código do aplicativo entregue não foi modificado de forma maliciosa (consulte Cadeia de suprimentos e integridade).
  • O link da nota é compartilhado apenas com os destinatários pretendidos.

O que cobrimos

  • Comprometimento de servidor ou banco de dados (somente texto cifrado em repouso)
  • Administradores maliciosos ou curiosos acessando notas armazenadas
  • Violação do provedor de armazenamento ou infraestrutura
  • Interceptação de rede de tráfego de notas (TLS mais texto cifrado)
  • Enumeração automatizada de notas e abuso (catraca, limites de taxas)
  • Tentativas de força bruta contra notas protegidas por senha (Argon2id)
  • Tentativas de controle de conta (sessões HTTPOnly, rotação no login, limites de taxa, TOTP opcional, intensificação para ações confidenciais)
  • Segunda busca ou repetição de notas lidas uma vez (consumo atômico na primeira visualização)

O que não cobrimos

  • Malware em dispositivos remetentes ou destinatários
  • Extensões de navegador maliciosas
  • Sistemas operacionais comprometidos
  • Software de captura de tela ou gravação
  • Monitoramento da área de transferência
  • Compartilhando a nota completa URL (incluindo a chave #fragment) em canais inseguros ou com partes não autorizadas
  • Comprometimento do aplicativo JavaScript entregue
  • Ataques de phishing contra usuários
  • Engenharia social
  • Inferência do Cloud Assist quando você aceita (processamento de rascunho de texto simples por terceiros)

Integridade Técnica

Priorizamos a clareza e garantias de segurança mensuráveis ​​em detrimento das afirmações de marketing.

Iniciar sessão segura