כל פעולה בתוך משטח הבקרה שלנו הופכת ל-event חתום קריפטוגרפית, חוליה ב-hash chain שמתעבה כל שעה ל-Merkle root חתום ועוגן ב-Bitcoin. לקוחות ב-Sovereign tier מחזיקים מפתח חתימה משלהם — פיזית לא ניתן לנו לזייף בשמם.
כל פעולה (wrap · open · burn · message · file upload · copy-block · device-approval · ועוד ~50 סוגים) יוצרת שורה אחת ב-nd_operator_receipts עם event_hash, חתימת Ed25519, prev_receipt_id ו-chain_index משלה. ה-Merkle seal השעתי לא מאחד אירועים — רק את ה-hashes שלהם.
כל receipt מצביעה על קודמתה דרך prev_receipt_id + chain_index. שינוי שורה אחת שובר את כל הסדרה אחריה. אותו pattern של Certificate Transparency, רק עם semantics של פעולות על מידע.
כל שעה, כל ה-event_hashes באותו חלון מתאחדים ל-Merkle tree (ממוין · אין דלף סדר), השורש נחתם ב-Ed25519 ונשלח ל-OpenTimestamps שעוגן אותו בבלוק Bitcoin. אחרי אישור — שכתוב היסטוריה מצריך reorg ל-Bitcoin.
ב-Sovereign tier הלקוח מייצר Ed25519 keypair בתוך ה-vault הלוקאלי שלו (SQLCipher · Argon2id passphrase). כל heartbeat · metrics · entry/exit מ-Border Control חתום במפתח שלו. השרת מאמת בכל קליטה. NoData פיזית לא יכולה לזייף — היא לא מחזיקה את המפתח.
כשמבצעים burn, אנחנו לא מסמנים שורה כ-deleted. אנחנו מוחקים את ה-content_key. גם backup מלא של ה-DB לא יכול לשחזר את הקובץ. זה soft-delete של הרבה vendors, אצלנו זה מתמטית בלתי-שחזיר.
הניסוח שאנחנו עומדים מאחוריו: "every interaction within the controlled surface". הטבלה למטה היא ההגדרה המדויקת של "the controlled surface" — בלי הגזמות.
CISO ישאל "מה באמת חי עכשיו?". הטבלה הזאת לא מבדילה בין vapor ל-vision — רק בין LIVE (יש לזה receipt בייצור), TIER-GATED (קיים אבל רק ב-tier מסוים), ו-ROADMAP (לא קיים עדיין · אנחנו אומרים את זה בקול).
ההוכחה היא סולם של 4 שלבים. אנחנו מספקים את ה-2 הראשונים לציבור · ה-3 דורש את ה-vault של הלקוח · ה-4 דורש אדם. התוכן עצמו נשאר אצל הלקוח · אנחנו מוכיחים קיום + שלמות + עיתוי, לא תוכן.
כל שכבה היא אוטונומית · כל אחת מאמתת את הקודמת. תוכן לא חוצה את גבול 01. רק hashes חתומים עולים החוצה. ה-Bitcoin anchor אינו תוסף — הוא נטוע ב-flow מהיום הראשון.
Tauri 2.0 (Rust) binary · SQLCipher vault (Argon2id-derived key) · Customer Ed25519 keypair מיוצר בתוך ה-vault · Scanner מזהה PII/secrets · Border Control witness chain שומר כל entry/exit עם prev_hash מקושר.
/api/sovereign/heartbeat מקבל {license_key, machine_fp_hash, customer_pubkey, signature} ומאמת. /api/sovereign/metrics מקבל aggregated counts + proof_hash, אינו מקבל תוכן. כל קליטה יוצרת nd_operator_receipts row חתום ב-Ed25519 chain key עם prev_receipt_id.
Worker רץ כל שעה, אוסף את כל ה-event_hashes באותו חלון, ממיין lexicographically (כדי לבטל דלף סדר), מחשב Merkle root, חותם ב-Ed25519. seal-של-seal דרך prev_epoch_id יוצר שרשרת-של-שרשרות.
OpenTimestamps שולח את ה-Merkle root ל-Bitcoin block header. אחרי N confirmations שכתוב היסטוריה מצריך Bitcoin reorg. Sigstore זמין כחלופה ל-CISOs שמסרבים ל-public blockchain. Seals מתפרסמים פומבית ב-GitHub witness feed כדי שצדדים שלישיים יוכלו לארכב.
כל ההבטחות למעלה ניתנות לאימות בלי שאנחנו מעורבים. אלה הכניסות הציבוריות:
מודל האיומים הפומבי שלנו - מה אנחנו מגנים, מה לא, ומה הסיכונים שאנחנו מכירים
בדיוק מה מוצפן, מה לא, אילו אלגוריתמים, ואיפה הגבולות - ללא הסתרה
מצאת פגיעות? כאן המדיניות, הערוצים, וזמני התגובה שלנו
Software Bill of Materials - כל dependency, גרסה, ורישיון שהמערכת שלנו משתמשת בהם
אנחנו מריצים את Capsule על עצמנו - בלייב. תראו את התוצאות בזמן אמת
שולחים קובץ עטוף עם policy מלא (TTL · max opens · device-bind · CC/BCC · sealed Gmail label / Outlook category) דרך ה-Outlook או Gmail שלכם · NoData לא רואה תוכן · כל פתיחה = device chip + receipt חתום.
inventory חי של Drive ו-Gmail · NoData לא קוראת body של מייל · 🔒 reply sealed שומר על thread רציף · Doc/Sheet/Slides מומרים אוטומטית ל-PDF/xlsx בעת sealing · per-user OAuth · כל user שולח כעצמו לא בשם NoData.
כל ה-shares של הארגון במקום אחד · filters לפי status/recipient/TTL · device chips צבעוניים מי פתח · drill-in ל-Per-Share Dashboard עם timeline forensic · REVOKE / BURN בלחיצה אחת · crypto-shred של ה-wrapping key · proof of destruction חתום כ-signet receipt.
Outlook + Gmail per-user OAuth · ה-recipient רואה את ה-from address האמיתי שלך · CC/BCC נתמכים מלא · checkbox 'NoData-sealed' מוסיף Gmail label / Outlook category לסינון discovery · כל פעולה → signet receipt עם sender exact identity · אדמין fallback אם user עוד לא חיבר.
Daily Digest (24h/7d/30d period) · Audit CSV export (200 receipts) · Findings CSV export (severity + remediation) · Trust Page public shareable URL · Dashboards Hub (8 cards + 4 quick stats) · ה-CISO פותחת בבוקר · מבינה את מצב הארגון ב-90 שניות · כל card → drill-in.
Users v2 (4-stat + custody-model · pending_admin_approval) · Seats v2 (6-stat + dual-model billing) · Invitations v2 (anonymity-model · ext_email_hash · multi-use) · Approvals dual-control (4 tiers · active locks + history) · File retention (3 options עם price tag). כל פעולה signet receipt · בלי לחשוף תוכן.
Backups (12-words iron-rule · proof hash · אין תוכן) · Keys (key release count · rotation history · 4 CISO Q&A) · Master Key read-only (dual-control rotation בלבד) · Devices attestation (pending_admin_approval חי · fingerprint + IP + UA · precursor ל-Painted Devices). כל פעולה receipt חתום.
Assignments (asset_assignments + capability JWT scope) · Assets (data_assets + risk_groups · blast radius mapping) · Capsule hub (deployments + open findings) · Capsule targets (6 kinds · scope clear) · Capsule apps (6-axis catalog: detect/protect/enforce/alert/audit/recover). ה-CISO ממפה את ה-blast radius של דליפה לפני שהיא קורה.
Processes v2 (active/flagged/completed · chain receipt) · Process templates (GDPR · HIPAA · SOC2 · ISO27001 · onboarding) · Scan v2 (severity + RLS coverage) · scan-local (in-browser · zero-upload · 8 phases) · Sovereign Capsule (Tauri desktop · Customer Ed25519 + Border Control · proof-only telemetry · NEVER schema names or file paths).
ProcessBoard live workflows · Signet policies (audit-grade enforce + TTL + attestation) · Signet workflows (multi-step approval · receipt per step) · Incident Response (WOW #2: alert → /incident/[receiptId] → evidence pack PDF + 1-click burn + 4 fix-script options · 30 שניות מ-alert ל-mitigation עם proof חתום).
כל סוכן AI (Claude · GPT · agent פנימי) מקבל bearer token ייעודי + scope DSL (עמודות מותרות + team filter + classification) · ה-DAL מפיק מפתח HKDF פר-עמודה רק לעמודות שב-scope · עמודות חסומות מוחזרות bytea שאי-אפשר לפענח · ניסיון מחוץ לתחום = 403 + receipt חתום בשרשרת SHA-256 + HMAC · /verify-pack/agent-read/[id] לאימות ציבורי עם selective reveal (שם עמודה PII → [redacted-pii-column] · ספירת שורות → bucket).
two-phase HMAC-signed challenge · השלב הראשון מחזיר token עם iat + min_wait_ms חתומים · השלב השני נדחה אם now < iat+min_wait. אדם רואה countdown של 8 שניות · בוט שמדלג מקבל 429 too_fast. אין דרך לזייף את ה-token (HMAC server-side) · אין דרך לדלג על ה-wall-clock (חתום בתוך ה-token). ה-primitive stateless · serverless-safe · /demo/pause-unlock להמחשה אינטראקטיבית.
כל עובד מקבל עמוד אישי משלו (/me/showcase) עם ה-Capabilities שהאדמין הקצה לו · מעטפות מותרות + TTL ceiling + max opens + device-binding + quotas יומיים. איתי (tenant_admin) מקצה ומבטל דרך /tenant-v2/[id]/users/[uid] · 100% UI · אפס curl. כל הקצאה/ביטול חתום בשרשרת signet עם applySignetAsync (chain persistent). default-deny · עובד ללא הקצאה לא יכול לפעול.
מה שאנחנו מפרסמים בעצמנו - לא ניתן לחשוף נגדנו. אנחנו מפרסמים את מודל האיומים, את התוצאות על עצמנו, ואת האלגוריתמים.
AES-256-GCM, RSA-OAEP, PBKDF2, scrypt - תקנים פתוחים ומוכרים. אין "קסם קנייני". אבטחה דרך סודיות היא לא אבטחה.
אנחנו לא מושלמים, ואנחנו אומרים את זה בקול. ה-threat model שלנו כולל את מה שאנחנו לא מגנים. 38 controls - לא 1,000. SOC-ready - לא SOC-certified.
Capsule רצה על Capsule עצמו - 24/7. אם הסקאנר שלנו מוצא בעיה אצלנו, אנחנו מתקנים ומפרסמים.
crypto-shred מיידי ב-live DB. ה-residuals הבאים קיימים והם הוגנים לדעת עליהם:
אם בחרת proof+backup retention, ה-Supabase project שלכם עשוי להכיל wrapped keys ב-point-in-time backups לחלון השמירה שהוגדר (ברירת מחדל 7 ימים). ה-crypto-shred מיידי ב-DB החי · חלון הגיבוי נשאר עד שהוא rotated. ברירת המחדל = receipt-only (אין גיבוי תוכן).
אחרי שהנמען פתח קובץ sealed, ה-unwrapped content_key עשוי להיות cached ב-memory של הדפדפן עד שה-tab נסגר או ה-cache נוקה. ה-burn מסיר את היכולת לקבל את ה-key מהשרת · אך הקובץ במכשיר הנמען עדיין נגיש עד שהדפדפן משחרר את ה-memory.
מצאת משהו? דווח לנו כאן — אנחנו מגיבים תוך 24 שעות.