Tietoturva Lockissa

Name: Locki Security
Brand: Locki

Tietoturva on Lockin ytimessä. Rakensimme alustamme yhdellä periaatteella: selkotekstidatasi ei saa koskaan poistua selaimestasi — koskaan. Tämä sivu esittelee tietoturva-arkkitehtuurimme ja mitä se tarkoittaa organisaatiollesi.

1. Paikallinen salaus

Kaikki salaus ja salauksen purku tapahtuu paikallisesti selaimessa. Locki ei koskaan lähetä, tallenna tai käy selkotekstiäsi. Salausavaimesi pysyvät täysin hallinnassasi — laajennus käyttää niitä vain muistissa, eikä koskaan lähetä niitä selkotekstinä millekään palvelimelle.

2. Zero-Knowledge-arkkitehtuuri

Suunnittelimme Lockin tiukalla zero-knowledge-mallilla. Jopa palvelimillemme tallennetuille organisaatioavaimille — ne tallennetaan AES-GCM-salattuina avaimella, joka on johdettu organisaatiosi pääsalaisuudesta. Tallennamme salattuja massoja, ei käytettäviä avaimia. Vaikka tietokantamme vaarantuisi, avaimesi pysyisivät suojattuina.

3. Salausstandardit

Locki käyttää AES-256-GCM:ää — samaa algoritmia jota rahoituslaitokset, hallitukset ja pilvipalveluntarjoajat käyttävät arkaluonteisen datan suojaamiseen. Jokainen salattu tietue sisältää uniikin 12-tavuisen IV:n estääkseen toistohyökkäykset. Tämä on toteutettu selaimen natiivilla Web Crypto API:lla, ei kolmansien osapuolten kirjastoilla.

4. Ei selkotekstidatan keräystä

Locki ei kerää salaamiesi asioiden sisältöä. Auditointilokit tallentavat vain metatiedot — toimija, toiminto, avain-ID, aikaleima ja verkkosovelluksen URL — ei koskaan viestiesi selkotekstiä tai salakirjoitusta. Tämä rakenne varmistaa GDPR-yhteensopivuuden oletuksena.

5. Avoimen lähdekoodin kryptografia

Uskomme, että yksityisyystyökalujen on oltava todennettavissa. Lockin ydinkryptografiset primitiivit on julkaistu avoimen lähdekoodin projektina — github.com/locki-hub/locki-crypto — ja saatavilla npm-pakettina (@lockisecurity/crypto-core). Salausformaatti, IV-käsittely ja avainjohdos voidaan tarkistaa, auditoida ja ottaa uudelleen käyttöön riippumattomasti kenen tahansa toimesta.

6. Vastuullinen julkistaminen

Otamme vastuullisen tietoturvatutkimuksen tervetulleena. Jos löydät haavoittuvuuden Lockissa, ota yhteyttä meille välittömästi osoitteessa contact@lockisecurity.com. Suhtaudumme vakavasti jokaiseen ilmoitukseen ja vastaamme nopeasti.

Päivitetty viimeksi: 27. huhtikuuta 2026