Deniability-ориентированный дизайн
Decoy-vault для правдоподобных данных
Скрытые vault'ы без «болтливых» маркеров
Минимум метаданных о количестве vault'ов
Менеджер паролей и хранилище секретов без облака
Пароли, OTP, заметки и файлы. Локально. Под вашим контролем.
ChromVoid хранит секреты на вашем компьютере или на вашем телефоне, а не на чужом сервере. Это сужает поверхность атаки и даёт более понятную модель безопасности для тех, кто не хочет доверять облаку свои секреты.
- Один vault для паролей, OTP, заметок и файлов
- Секреты остаются локально или на телефоне в Mobile host
- Расширение не хранит секреты и работает только через localhost
Без подписки. Публичный репозиторий, архитектурные схемы, спецификации протоколов.
Где хранятся секреты
На вашем устройстве или на вашем телефоне. Не в облаке.
Scroll
Open architecture
Архитектурные схемы, публичный репозиторий
Zero-trust transport
Noise поверх всех каналов
Hardware optional
Local / Mobile host
Zero-cache extension
Без хранения секретов
Offline-hardening
Pepper в OS keystore
Что вы получаете
Один vault для паролей, OTP, заметок и файлов — локально или на вашем телефоне
Секреты остаются на устройстве
Телефон может быть source of truth
Secure Enclave / TEE защищает ключи
Desktop остаётся тонким клиентом
Zero-trust транспорт
Noise поверх всех каналов (USB/WebRTC/WSS)
PIN/QR-pairing, далее взаимная аутентификация
Capability grants — минимальные права
Storage engineering
16KB chunk encryption (ChaCha20-Poly1305)
AAD = имя чанка (защита от подмен)
Sharded catalog + delta sync
Offline-hardening
Storage pepper хранится отдельно (OS keystore)
Просто «скопировать папку» недостаточно
Argon2id memory-hard KDF
Без подписки
Free — базовая безопасность
Pro = удобство/масштаб/LDL
Лицензия навсегда на устройство
Смотреть сценарии
Как работает
Установка → сопряжение → vault'ы → расширение
01
Установите приложение
Desktop или Mobile — один и тот же Rust Core внутри.
macOS, Windows, Linux, iOS, Android02
Выберите режим
Local mode — Core встроен. Mobile host — телефон как source of truth (USB‑кабель или WebRTC/WSS).
Можно начать с Local mode и позже перейти на Mobile host03
Сопряжение
PIN или QR-код. Устройство запоминается, включается защищённый канал.
Noise protocol поверх USB04
Создайте vault'ы
Decoy-vault для «обычных» аккаунтов. Основной vault — под другим паролем.
Разные пароли, раздельный доступ05
Подключите расширение
Browser extension общается только с localhost. Без хранения секретов.
Zero-cache policyВажно: ChromVoid не «отправляет ваш vault в облако». Секреты остаются у вас: локально или на телефоне.
Выберите режим под ваш threat model
Оба режима используют один и тот же Core. Выбор зависит от того, где должен находиться source of truth: на этом устройстве или на телефоне.
Local mode
Без железа, быстро, автономно
Rust Core встроен в приложение
Максимальная скорость доступа
Подходит большинству пользователей
Вся криптография локально
Mobile host
Телефон — source of truth (Secure Enclave / TEE)
Desktop как тонкий клиент
USB‑кабель (без сети) или WebRTC/WSS
Аппаратная защита ключей на телефоне
Секреты не покидают телефон
Безопасность
Security-first по умолчанию
Стандартные криптографические примитивы и документированная архитектура. Никаких «военных уровней» — только проверяемые решения.
На хранении (at rest)
ChaCha20-Poly1305
AEAD шифрование данных
Argon2id
Memory-hard KDF
BLAKE3
Хэширование и derivation
При передаче (in transit)
Noise Protocol
E2E поверх всех каналов
X25519
Обмен ключами
Защитные механизмы
Zero-cache extension — без хранения секретов в браузере
Auto-lock по таймауту и событию sleep
Zeroization — обнуление ключей в памяти
Atomic writes + fsync — устойчивость к сбоям
Модель угроз
Модель угроз шире,
Модель угроз шире,
чем вам говорят
Когда вас заставляют «открыть всё», криптография перестаёт быть единственной линией защиты.
Облако и аккаунты расширяют поверхность атаки и создают риск централизованных инцидентов.
Неверный пароль часто оставляет слишком понятный сигнал: система раскрывает сам факт наличия данных.
Слишком многие решения завязаны на подписку и требуют постоянного доступа к сети.
ChromVoid намеренно устроен не как обычный cloud-first продукт: local-first хранение, меньше доверия к сети и UX с упором на deniability — это ответ на реальные ограничения, а не маркетинговая поза.
Архитектура, которую можно проверить
Единый Rust Core
Криптография, хранилище, RPC — одинаково в Desktop/Mobile
Транспорт‑абстракция
USB / WebRTC / WSS — все через Noise Protocol
Zero-trust relay
Relay видит только зашифрованные блобы, содержимое недоступно
Цены
Без подписки
Базовая версия бесплатна. Pro-возможности покупаются один раз: LDL — навсегда для выбранных устройств.
Free
0 ₽
Lifetime Device License
Для личного использования и большинства сценариев
Vault: пароли, заметки, OTP
Local mode (Desktop/Mobile)
Backup & Restore (зашифрованные)
Browser extension (localhost-only)
Базовые security-настройки
Pro
LDL
Lifetime Device License
Для high-risk threat model
Лицензия «навсегда на устройство»
До 3 личных устройств
Расширенные политики доступа
Расширенные режимы (Mobile host)
Priority support
Почему безопасность не в Pro?
Шифрование, KDF и базовая архитектура безопасности не продаются отдельно. Pro — это масштабирование и удобство, а не «плата за безопасность».
FAQ
Частые вопросы
Что такое deniability в ChromVoid?
Модель «decoy-vault + скрытые vault'ы». Вы можете показать один vault под принуждением. ChromVoid старается минимизировать признаки того, что существует что-то ещё. Ограничения зависят от threat model — они описаны в Threat Model.
Можно использовать телефон как основное устройство?
Да. В режиме Mobile host телефон является source of truth с аппаратной защитой ключей (Secure Enclave / TEE). Desktop подключается как тонкий клиент по USB‑кабелю (без сети) или по WebRTC/WSS (по сети).
Можно держать Obsidian vault внутри ChromVoid?
Да, если ваш workflow folder-based. Mounted Vault — это публичный путь для заметок и файлов на desktop. Это не first-party плагин Obsidian, а workflow с зашифрованной mounted-папкой.
Открыть страницу Mounted VaultМожно без отдельного железа?
Да. Local mode работает на Desktop и Mobile. Если хотите, чтобы секреты хранились на телефоне, используйте Mobile host.
Поддерживает ли ChromVoid системный autofill?
Да, через Credential Provider integrations на поддерживаемых платформах. Важное ограничение в том, что provider-путь остаётся local-only и требует открытого vault, а не фонового cloud-доступа.
Открыть страницу Credential ProviderЧто если украдут файлы хранилища?
ChromVoid использует memory-hard KDF (Argon2id) и "offline-hardening" подход: часть материала хранится отдельно (например, в OS keystore). Это усложняет оффлайн-подбор даже при наличии копии данных.
Как работает расширение браузера?
Расширение подключается только к локальному Desktop Gateway (127.0.0.1) и общается по защищённому каналу (Noise). Секреты не хранятся в расширении — это zero-cache policy.
Открыть страницу Browser ExtensionЧто если я забуду пароль от vault?
Vault-пароль восстановить невозможно. Это компромисс "security-first". Используйте passphrase (4–5 слов) и храните recovery sheet в безопасном месте.
Это заменяет OPSEC?
Нет. Если устройство скомпрометировано в момент, когда vault открыт, любой менеджер паролей под угрозой. ChromVoid снижает риск, но не отменяет базовую гигиену безопасности.
Что такое LDL?
LDL — Lifetime Device License. Покупка привязывается к устройству (Core) и действует «навсегда для этого устройства». Security updates без ограничения срока.
Постройте свой threat model — и сейф под него
Если ваш threat model включает принуждение, изъятия или высокий риск компрометации — ChromVoid создан именно для этого.
Без подписки. Deniability зависит от threat model — ограничения описаны публично.