Sikkerhet
envei.no er bygget rundt ett prinsipp: serveren skal aldri kunne lese dokumentene dine.
Dokumentene som sendes via envei kan inneholde opplysninger om helse, økonomi og familieforhold — beskyttet av taushetsplikt og GDPR. Vi bygget envei slik at selv om serveren ble kompromittert, ville innholdet være uleselig.
Zero-knowledge-arkitektur
All kryptering og dekryptering skjer i nettleseren din — aldri på serveren. Det betyr at selv om serveren ble kompromittert, ville angriperen bare finne uleselige, krypterte blobs uten noen mulighet til å dekryptere dem.
Avsender krypterer
Nettleseren genererer en tilfeldig kode og bruker den til å kryptere filene med AES-256-GCM. Kun den krypterte versjonen sendes til serveren.
Koden deles manuelt
Den 8-tegns koden deles direkte mellom avsender og mottaker — via telefon, SMS eller personlig. Koden sendes aldri til serveren i klartekst.
Mottaker dekrypterer
Mottakers nettleser henter de krypterte filene og bruker koden til å dekryptere lokalt. Serveren leverer kun krypterte blobs.
Hva serveren vet og ikke vet
| Data | Serveren vet | Serveren vet ikke |
|---|---|---|
| Filinnhold | Utilgjengelig | |
| Dekrypteringsnøkkel | Utilgjengelig | |
| Koden i klartekst | Utilgjengelig | |
| Mottakers navn | Utilgjengelig | |
| Filnavn | Utilgjengelig | |
| Filstørrelse | Ja | |
| Tidspunkt | Ja | |
| IP-adresse | Ja |
Kryptering i detalj
- AES-256-GCM — industristandard symmetrisk kryptering med autentisering
- Web Crypto API — nettleserens innebygde krypteringsbibliotek, ingen tredjepartskode
- PBKDF2 — nøkkelderivering med 600 000 iterasjoner fra koden
- Tilfeldig IV — unik initialiseringsvektor per fil og per krypteringsoperasjon
Brute-force-beskyttelse
Koden har ~960 millioner mulige kombinasjoner. I tillegg beskytter vi mot gjetteforsøk med:
- Maks 5 feilede forsøk per IP per 15 minutter
- IP-blokkering ved gjentatte forsøk
- Med rate limiting: estimert ~5 500 år for brute-force
Automatisk sletting
- Kryptert filinnhold slettes fra primærlagring ved første nedlasting eller ved utløp
- Utløpte filer sjekkes og slettes automatisk hvert 15. minutt
- Varighet velges av avsender: 1 time til 30 dager (Pro)
- Vi lagrer aldri lesbart innhold. Nødvendig driftsmetadata (tidspunkt, filstørrelse, IP-adresse) beholdes for sikkerhet og misbrukshåndtering
- Underliggende infrastruktur kan ha kortvarig replikering for oppetid, men krypterte filer er ubrukelige uten koden som aldri lagres på serveren
Trusselmodell
Server kompromittert
Angriper får krypterte blobs — ubrukelige uten nøkkel.
Man-in-the-middle
All trafikk er over TLS. Krypterte blobs er ubrukelige uten koden.
Kode avlyttet
Kort varighet + én nedlasting begrenser vinduet. Valgfri PIN i fremtiden.
Insider (server-admin)
Zero-knowledge — admin kan ikke dekryptere. Filinnhold er utilgjengelig.
Spørsmål om sikkerhet? Kontakt oss på sikkerhet@envei.no