Local-first менеджер паролей и приватное vault-пространство

Держите секреты внутриграницы под вашим контролем.

ChromVoid оставляет интерфейс снаружи, а пароли, файлы, OTP-коды, заметки и отдельные vault внутри приватной локальной границы. Создавайте столько vault, сколько нужно вашему workflow.

СкачатьЧитать threat model
Local-first
Zero-cache
Хранилище локально
Public threat model
macOS · Windows · LinuxAudited · open-source core
chromvoid · workspace
[СНАРУЖИ]
ИНТЕРФЕЙС
Workspace
Недавние
Shared surface
Настройки
О продукте
УСТРОЙСТВО
macbook-local
offline-capable · sealed
СНАРУЖИ · только интерфейс
ВНУТРИ · sealed locally
stop · verify
[ГРАНИЦА]
unlock gate
device key
+ biometric
[ВНУТРИ· vault space]
чувствительные данные остаются внутри
Пароли
312
sealed
Файлы
1.4 GB
sealed
OTP
24
sealed
Заметки
58
sealed
SSH Keys
17
sealed
Кошельки
6
sealed
Карты
9
sealed
ещё vault
no outbound traffic · 0 packets · local session
[TRUST STRIP]

Проверяемые сигналы границы

01
Публичный threat model

Архитектура, ограничения и attack assumptions задокументированы.

documented
02
Локальные или phone-held секреты

Выбирайте Local mode или Mobile host.

source of truth
03
Zero-cache browser path

Расширение говорит с localhost и не становится browser vault.

localhost only
04
Один encrypted transport contract

USB, WebRTC и WSS следуют одной encrypted stance.

channel-untrusted
05
Честные ограничения

Deniability зависит от состояния устройства, носителя и OPSEC.

bounded claim
Доверие через документированную архитектуру, явные границы и честные ограничения.
Проблема

Зачем это существует

Современное удобство делает чувствительные данные легкодоступными — и легко раскрываемыми.

Большинство инструментов оптимизируют sync, скорость и удобство. Чувствительные данные расползаются по cloud-сервисам, памяти приложений, превью, autofill и системным поверхностям.

Одна плоская trust zone

Пароли, заметки, файлы и коды часто живут в одной exposed app surface.

Слишком много следов

Данные могут попасть в превью, clipboard history, temp storage, autofill и sync layers.

Удобство важнее изоляции

Большинство систем оптимизированы быстро открываться, а не точно удерживать риск.

Нет осмысленного разделения

Чувствительные данные редко разделены на отдельные vault spaces с разным exposure level.

01
Хранится везде

Чувствительные данные выходят за пределы места, где вы ожидаете их хранить.

02
Слишком широкое доверие

Приложения, sync layers, превью и autofill расширяют exposure surface.

03
Риск трудно разделить

Большинство инструментов не дают создать реальные внутренние границы между разными секретами.

Что внутри

Одна vault surface для daily
секретов и high-risk workflows.

Начните с привычного: passwords, OTP, notes и files. Затем добавьте более строгие границы там, где это важно: phone-held secrets, decoy vaults, localhost-only browser access и workflow-specific approvals.

chromvoid/vault
vault unlocked
Passwords & OTP
GGitHubdev@chromvoid.com•••••••••
PProton Maildev@chromvoid.com•••••••••
BBank Accountuser@bank.com••••••
TOTP code
137 839
Notes
Server root access procedure
  1. Connect via SSH
  2. Verify host key
  3. Elevate with sudo
  4. Check system status
#ops
Файлы
PDF
report.pdf
JPG
diagram.png
ZIP
backup.zip
TXT
keys.txt
CSV
credentials.csv
+
Upload
Browser Access
Connected to
localhost:57228
Short-lived grant active02:45
Higher-Risk Modes

Более строгие границы, когда их требует threat model.

Decoy Vault

Plausible vault для обычных аккаунтов и low-risk data.

Hidden Vault

Разные пароли открывают разные secret surfaces.

Passwords and OTP

Храните logins и one-time codes без cloud vault storage посередине.

Notes and files

Держите sensitive documents в encrypted vault вместо loose files.

Browser access

Заполняйте или копируйте secrets через localhost extension, который не хранит vault.

Higher-risk modes

Используйте mobile host, decoy vaults и approval flows, когда threat model требует большего.

Как это работает

Один flow: от source of truth
до temporary access.

Выберите, где живет vault. Surfaces подключаются как clients. Access выдается short-lived grants — не копируется и не становится permanent.

01Source of truth
Local devicemacOS · Windows · Linux
local
Mobile hostphone holds the vault
active
Выберите, где живут секреты
Локальное устройство или телефон как source of truth.
02Connected surfaces
Vaultsealed
Browser
Desktop
CLI · SSH
Wallet tool
Extension
Подключите свои surfaces
Browser и tools работают как clients, не как storage.
03Ephemeral access
github.comfill · read02:45
ssh prod-edge-3session00:58
wallet.toolsign once00:12
Используйте short-lived access
Grants истекают, могут быть отозваны и не оставляют residue.
Под поверхностью
Один Rust core работает на desktop и mobile.
Отдельные vaults являются отдельными disclosure boundaries.
Browser extension говорит только с 127.0.0.1 — он никогда не хранит vault.
Важно
ChromVoid не отправляет vault в cloud sync service. Secrets остаются с выбранным source of truth.
Проверить alpha availabilityСмотреть архитектуру
Правдоподобное отрицание

То, что видно, контролируется.
То, что скрыто, не должно себя рекламировать.

Deniability про то, что нельзя доказать, а не про сокрытие всего. ChromVoid поддерживает decoy-vault и hidden-vault model, а ограничения документирует публично.

ChromVoidvault
Decoy vault
Доступен everyday credentials. Plausible and practical.
Personal Email
you@example.com
• • • • • •
Banking
checking account
• • • • • •
Notes
meeting agenda
• • • • • •
Receipts.pdf
12 KB · Apr 20
Tax.docx
24 KB · Mar 18
Hidden vaults
Deeper surfaces. Без явных indicators.
Research Notes
Encrypted note
• • • • • •
Project Atlas
Secure folder
Keys & Codes
One-time codes
• • • • • •
Medical Records
Private documents
Archive.bin
Encrypted file
• • • • • •
Decoy vault
Plausible vault для обычных accounts и low-risk data.
Hidden vaults
Разные passwords открывают разные secret surfaces без явного vault count.
Менее talkative metadata
Storage избегает markers, которые доказывают, что еще существует.
Честные limitations
Если device скомпрометирован unlocked, vault не может обещать safety.
Deniability не универсальное обещание. Это инструмент для конкретных threat models, и его limits являются частью product documentation.
Читать limits deniability
Архитектура

Один Core, explicit boundaries, encrypted transport.

ChromVoid отделяет UX surfaces от места, где живут secrets и policy. Browser — shell, desktop может быть thin client, а transport channels по умолчанию untrusted.

Browser — это UI.Не storage layer.
Untrusted Surface
UI only
Local Boundary
your device
Shared Core
domain authority
Source of Truth
your choice
Untrusted Transport
encrypted, not trusted
Browser Extension
UI shell · secrets не хранятся
→ only 127.0.0.1
Desktop App
Thin client
Workflow Tools
CLI · SSH · wallet · autofill
Desktop Gateway
Explicit boundary
Pairing & sessions
Capability grants
Policy enforcement
Audit · runtime grants
ChromVoid Rust Core
Single codebase. Same Core on desktop и mobile. Secrets, policy и crypto живут здесь.
Cryptography
Primitives & protocols
Storage
Vaults · indexes · metadata
RPC Contracts
Typed transports
Domain Policy
Vault invariants
Core Services
Key managementKDFSecure memoryZeroize
OR
Mobile Host
Source of truth на phone
Phone держит vault. Desktop requests access, но не storage layer.
Same Rust Core
Local Vault
Source of truth на этом device
Encrypted at rest. Core применяет domain rules и crypto, не UI surfaces.
Same Rust Core
Encrypted channels
Noise over network
WebRTC
primary
WSS Relay
fallback
USB
post-MVP
Channel is not trusted. Transport delivers ciphertext. Trust lives in Core, not the wire.
Remote unlock gate
transport_ready · host_locked
host unlock confirmed
remote_dashboard_open
Shared Rust Core
Crypto, storage, RPC contracts и vault rules используют один Core.
single-codebasedomain-authority
Mobile host
Phone может держать source of truth, а desktop остается thin client.
unlock-gatethin-client
Noise over transport
WebRTC primary, WSS fallback, USB post-MVP. Channels carry ciphertext.
webrtc → wssusb · post-mvp
Localhost browser boundary
Extension reaches Desktop Gateway on 127.0.0.1, never cloud vault.
127.0.0.1no-cloud-sync
Cryptographic primitivesConcrete · auditable · narrow scope
Storage / vault
ChaCha20-Poly1305Argon2idBLAKE3
Transport secure channel
Noise XX / IK / XXpsk0X25519ChaChaPolyBLAKE2s
Open source. Public threat model. Inspectable end to end.
Inspect architectureView GitHubRead threat model
Сценарии работы

Используйте same vault boundary для daily и high-risk work.

Каждый workflow держит одну stance: surface выполняет работу, boundary ограничивает what it can learn, а outcome остается useful — without moving trust в outer tool.

SurfaceГде идет работа
->
BoundaryЧто ограничивает exposure
->
OutcomeПолезный результат без переноса trust
Shared vault boundary
01
Mounted Vault
Vault files as an explicit volume — work, then unmount.
Surface
~/Documents
vault.cv
OS files stay explicit.
Boundary
User-initiated mount
Encrypted until mounted.
Outcome
Unmount -> re-locked
Work, then storage locks again.
Local · short-livedOpen Mounted Vault
02
Browser Extension
Autofill without turning the browser into a vault.
Surface
app.example.com/login
user...
passfilled
Browser sees a fill, not a vault.
Boundary
127.0.0.1 only
Gateway is local, not cloud storage.
Outcome
0:42grant
Short-lived fill; no durable browser state.
Short-livedOpen Browser Extension
03
Credential Provider
Native OS autofill, no cloud backplane.
Surface
Sign in to app
usera.kor
pass********
Native OS prompt, not in-page UI.
Boundary
Vault available
OS extension reads local vault grants.
Outcome
Native flow · no cloud
Autofill works without cloud backplane.
LocalOpen Credential Provider
04
SSH Agent
Per-request signing — no loose private key files.
Surface
~/proj
$ssh prod-01
requesting signature...
SSH asks for a signature; no key file.
Boundary
First-sign approvalid_ed25519
Local agent approves each connection.
Outcome
Signed in vault
Private keys never become loose files.
ApprovalOpen SSH Agent
05
Crypto Wallet
Transaction approval inside the vault boundary.
Surface
Transactionpreview
to0x7a...b2c4
amount0.42 ETH
gas21k
Review the exact transaction.
Boundary
Local review
Approval happens inside the vault.
Outcome
Approve transaction
Sign only the intended action.
ApprovalOpen Crypto Wallet
06
Emergency Access
Delayed release for trusted recipients.
Surface
M
Maria K.
recipient
Pick recipient and release policy.
Boundary
72h delay
Delay and policy must clear.
Outcome
Visible recovery
Recovery is not a hidden backdoor.
Time-boundOpen Emergency Access
07
Remote
Network remote first; transport stays replaceable, host-unlock gates access.
Surface
WebRTCprimaryWSSfallbackUSBfuture
Network remote uses WebRTC/WSS policy; USB is post-MVP.
Boundary
Noise secure channelXX / IK / XXpsk0 · host-unlock gated
Host unlock requiredpending
Outcome
Transport is replaceable
Change transport without moving trust into the provider.
Host unlockOpen Remote
Same boundary, different surfaces. Одна stance across seven workflows.
Проверить alpha availability
Цена и альфа

Вы не платите за encryption.Вы платите за scale and convenience.

Basic vault path бесплатен. Pro — для extended modes, когда эти workflows готовы. Core security mechanisms не продаются как upgrade.

free · vault path
Free
$0forever

For personal use, local vaults, and the first alpha workflows.

Basic vault path
Включено
Passwords, notes, and OTP
Local mode on supported platforms
Encrypted backup and restore
Browser extension localhost path
Basic security settings
Check alpha availability

Сверьтесь с матрицей availability ниже для текущего статуса.

pro · ldl
Pro entitlement
LDLlifetime device license

For extended modes and higher-scale workflows. Modules activate as rollout allows.

Extended modules
Включено
One Pro product for paid modules
Up to 3 activated Core devices per purchase
Remote, credential-provider, SSH-agent, wallet, and emergency-access moduleswhen rollout allows
Core-authoritative entitlement checks
Уже есть лицензия?

Extended modules activate when rollout and runtime capability allow.

Core security baseline · spans both plans
Security is not a paid feature.

Encryption, KDF, and the basic security architecture are included in the basic vault path. You pay for scale and convenience.

EncryptionKDFArchitecture
Alpha availability

Проверьте, какой build готов для вашей platform.

Builds публикуются по мере готовности platforms. Матрица ниже показывает текущий alpha-статус — сверьтесь перед deployment.

Alpha · platform availability

Матрица показывает, для каких platforms сейчас доступны alpha builds. Сверьтесь перед deployment.

macOS
Alpha

Builds available for testing.

Android
In progress

Alpha in active development.

iOS
Planned

Planned for upcoming alpha releases.

Linux
Early access

Early access builds coming soon.

Availability, features и pricing могут измениться. Source of truth — матрица выше.
FAQ

Короткие ответы перед установкой.

Здесь короткие ответы. Подробные proof pages там, где это важно.

Короткие ответы. Inspectable model.
1.What is ChromVoid?

ChromVoid is a local-first secret vault for passwords, OTP, notes, files, and security workflows. It reduces cloud trust and supports stronger boundaries when needed.

2.How is it different from a normal password manager?

Trust lives in a local or phone-held source of truth. Cloud accounts, browser profiles, and transport paths are treated as clients or surfaces.

3.What does deniability mean here?

A decoy vault can exist beside hidden vaults. The exact guarantees depend on the public threat model.

4.Can I use it without extra hardware?

Yes. The basic vault path works on one device. Hardware tokens are optional stricter boundary tools.

5.Is this overkill for normal users?

No. Basic mode behaves like a calm local vault; stricter modes only activate when configured.

6.Does the browser extension store passwords?

No. It talks to the local Desktop Gateway and receives short-lived grants.

7.What if my storage files are copied?

Vault files are encrypted at rest. Master-password strength and key material still matter.

8.What if my device is compromised while open?

No vault fully protects a compromised live device. ChromVoid reduces specific risks; it does not replace OPSEC.

9.Are alpha builds available now?

У некоторых platforms есть alpha builds; другие — in progress или planned. Сверьтесь с матрицей availability на home page.

10.What is LDL?

LDL is the Lifetime Device License for Pro modules on up to three Core devices when rollout allows.

11.Where can I verify the security model?

Start with the public Threat Model, architecture diagrams, and GitHub repository.

Platform statusThreat ModelGitHub

Проверьте, готов ли ChromVoid alpha
для вашей platform.

Если ваши secrets должны оставаться вне hosted vault storage, начните с текущего alpha status и изучите public security model перед установкой.

Проверить alpha availabilityЧитать Threat ModelСмотреть GitHub

No basic-security upsell.Deniability depends on the threat model.Current limitations are documented publicly.