Tecnología · Key Management

Soberano desde el diseño. Sus claves, no las nuestras.

Nuestro Key Management System custodia contenedores opacos — nunca sus contenidos. La clave maestra vive en sus manos, ligada a hardware, verificada por usted, para siempre fuera de nuestro perímetro de operador.

Identidad ligada a hardware

Confianza enraizada en el hardware, no promesas del operador

Cada clave de identidad de dispositivo está ligada a hardware — Android StrongBox o el Secure Enclave de Apple — y se empareja mediante Trust-On-First-Use, el mismo modelo de primer contacto que emplean Signal y WhatsApp. Las ceremonias completas de atestación HSM por operación, verificables de forma independiente por el cliente, están en nuestra hoja de ruta hacia FIPS 140-3 Level 2.

  • Claves de identidad respaldadas por hardware (StrongBox / Secure Enclave) — ya disponible hoy
  • Atestaciones firmadas por operación — hoja de ruta
  • Ceremonias administrativas basadas en quórum — hoja de ruta

BYOK · Key Wrapping (hoja de ruta)

Bring Your Own Key — próximamente en el Sovereign Server

En el despliegue Sovereign Server, los clientes generarán su propia clave maestra y envolverán (wrap) con ella nuestras claves de cifrado de datos, de modo que ningún operador de BCrypto pueda producir plaintext sin una operación de unwrap activa del lado del cliente. Se trata de un elemento activo de nuestra hoja de ruta, aún no disponible.

  • Protocolos de wrapping compatibles con PKCS#11 / KMIP — previsto
  • Wrapping híbrido post-cuántico (ML-KEM + AES-256-GCM) — previsto
  • Revocación del cliente diseñada para ser inmediata y del lado del servidor

Custodia Zero-Knowledge

La puerta de la cámara se abre hacia fuera, nunca hacia dentro

Contenedores cifrados entran en el KMS. Contenedores cifrados salen del KMS. Nada dentro del servidor puede derivar su plaintext. Nuestro control plane autoriza el movimiento de contenedores y la política de acceso; el data plane nunca ve claves en claro. Las claves de sesión son efímeras y están ligadas a hardware.

  • Arquitectura zero-knowledge: compromiso del servidor ≠ compromiso de los datos
  • Protocolo de sesión forward-secret con intercambio DH efímero
  • Sin backdoors, sin master-recovery, sin superficie de escrow

Sigsum Key Transparency (hoja de ruta)

Claves de identidad, rumbo a un log público verificable

Estamos avanzando hacia un log de transparencia Sigsum — modelado sobre la Certificate Transparency de la web — para que cualquier cliente pueda auditar el log y detectar un servidor que intente inyectar una clave maliciosa en una conversación. Hoy, la confianza de identidad se basa en el emparejamiento Trust-On-First-Use y en la verificación de fingerprint out-of-band; el log público de transparencia está en nuestra hoja de ruta, aún no disponible.

  • Log append-only verificable de claves públicas de identidad — hoja de ruta
  • Los clientes detectarían sustituciones de claves con independencia del servidor — hoja de ruta
  • Emparejamiento de identidad Trust-On-First-Use — ya disponible hoy

Modelo de confianza

TOFU hoy. Niveles INTRODUCED y VERIFIED en la hoja de ruta.

La confianza en los contactos no es binaria. Hoy, Q-Audion utiliza Trust-On-First-Use (TOFU) — el mismo modelo de primer contacto que emplean Signal y WhatsApp — mostrado en la UI en cada llamada. Dos niveles de confianza adicionales están en nuestra hoja de ruta: INTRODUCED (avalado por un contacto ya de confianza) y VERIFIED (coincidencia de fingerprint out-of-band), diseñados para que el protocolo se degrade de forma controlada incluso frente a un compromiso parcial.

  • TOFU — clave observada, mostrada en la UI como no verificada — ya disponible hoy
  • INTRODUCED — avalado por un contacto de confianza — hoja de ruta
  • VERIFIED — coincidencia de fingerprint out-of-band — hoja de ruta

Examine el threat model. Audite el perímetro.

Los equipos de ingeniería y los revisores de compras pueden solicitar el technical brief completo del KMS, incluidos nuestro modelo actual de identidad ligada a hardware y la hoja de ruta BYOK/Sigsum.

Solicitar el technical brief del KMS
ANTI-DEEPFAKE SIEMPRE ACTIVO · LLAMADAS CIFRADAS Y NO CIFRADAS · CERO DATOS TRANSMITIDOS · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTES SOLICITADAS
ANTI-DEEPFAKE SIEMPRE ACTIVO · LLAMADAS CIFRADAS Y NO CIFRADAS · CERO DATOS TRANSMITIDOS · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTES SOLICITADAS