TRANSPARENCY REPORT

בדיוק מה מוצפן ומה לא

ללא יוצא מן הכלל - כל שדה, כל אלגוריתם, כל מגבלה. כאן אין שיווק, רק עובדות הנדסיות.

💬

תוכן הודעות

ENCRYPTEDתוכן הודעת Dead Drop

RSA-OAEP 2048 + AES-256-GCM

הצפנה במכשיר השולח, פענוח במכשיר המקבל

ENCRYPTEDקבצים מצורפים

AES-256-GCM

מוצפנים לפני העלאה לאחסון

ENCRYPTEDOTP / Secure Channel

PBKDF2 (310K iterations) + AES-256-GCM

OTP נשמר כ-SHA-256 hash. מפתח נגזר מה-OTP עצמו

🗄️

שדות רגישים ב-DB

ENCRYPTEDשדות PII (שם, אימייל, טלפון, כתובת)

AES-256-GCM (field-level)

מוצפן ברמת שדה ב-Supabase, מפתח ב-GCP

ENCRYPTEDסיסמאות אדמין

scrypt (N=16384, r=8, p=1, keylen=64)

Hash + 32-byte salt ב-DB. לא ניתן לפענוח חזרה

ENCRYPTEDDevice tokens

SHA-256 hash

ה-hash נשמר ב-DB. ה-token המקורי רק במכשיר

ENCRYPTEDIP addresses

SHA-256 hash

רק hash נשמר - ה-IP הגולמי לא מאוחסן

🏗️

תשתית

ENCRYPTEDEnvironment variables (production)

Vercel encryption at rest

Vercel מנהלת הצפנת env vars. SOC 2 Type II certified

⚠️ Vercel employees תיאורטית יכולים לגשת

ENCRYPTEDמפתחות הצפנה קריטיים

GCP Secret Manager

Cloud Run me-west1 (ישראל). מופרד מ-Vercel

ENCRYPTEDDB connection strings

Vercel + Supabase encrypted

מנוהל על ידי Vercel Marketplace auto-provisioning

⚠️

מה לא מוצפן

NOT ENCRYPTEDמזהי sessions (session_id)

UUIDs אקראיים - אין מידע רגיש בהם, משמשים לניהול state

NOT ENCRYPTEDחותמות זמן (timestamps)

Audit log ומעקב - נדרש ל-SOC 2 compliance

NOT ENCRYPTEDסוגי פעולות (action types)

"encrypt", "scan", "fix" - ללא תוכן הפעולה עצמה

NOT ENCRYPTEDמספרי פעולות (counts)

"79 fixes" - ללא פירוט מהם

NOT ENCRYPTEDStatic assets (JS, CSS, images)

קבצים ציבוריים - TLS בתנועה, CDN cache

HTTP Security Headers

כל ה-headers הבאים פעילים על כל תגובה מהשרת:

Strict-Transport-Securitymax-age=63072000; includeSubDomains; preload

Content-Security-Policydefault-src 'self'; frame-ancestors 'none'; ...

X-Content-Type-Optionsnosniff

X-Frame-OptionsDENY

Referrer-Policystrict-origin-when-cross-origin

Permissions-Policycamera=(self), microphone=(self), geolocation=(self)

Cross-Origin-Opener-Policysame-origin

Cross-Origin-Embedder-Policycredentialless

Cross-Origin-Resource-Policysame-origin

X-DNS-Prefetch-Controloff

X-Permitted-Cross-Domain-Policiesnone

תקנים קריפטוגרפיים

AES-256-GCM

הצפנת תוכן ושדות

FIPS 197 / NIST SP 800-38D

RSA-OAEP 2048-bit

החלפת מפתחות

NIST SP 800-57

PBKDF2 (310K iterations)

גזירת מפתח מ-OTP

NIST SP 800-132

scrypt (N=16384)

hashing סיסמאות אדמין

RFC 7914

SHA-256

hashing של tokens, IPs, OTPs

FIPS 180-4

HMAC-SHA256

אימות שלמות (receipts)

RFC 2104

crypto.timingSafeEqual

השוואה עמידה ל-side-channel

CWE-208 prevention

crypto.getRandomValues

יצירת tokens ו-IVs

Web Crypto API

← מרכז אבטחה