安全性とメッセージ保護

Deep Talk の基本方針はシンプルです。文章とパスワードは、Deep Talk のメッセージ用サーバーではなく、今使っているブラウザー内で処理します。

メッセージを保護するときに起きること

  1. 文章とパスワードを入力します。
  2. ブラウザーがパスワードから一時的な鍵を作ります。
  3. 文章を保護し、内容が変更されていないか確認する情報を追加します。
  4. 生成された保護済みメッセージをコピーして共有します。
  5. 受信者が同じパスワードで開きます。

パスワードが違う場合や、保護済みメッセージが変更された場合、Deep Talk は開くことを拒否します。

設計上、送信しないもの

  • アカウント登録はありません。
  • 元の文章、パスワード、保護済みメッセージを受け取るためのサービス用 API はありません。
  • パスワードを復元するための保存機能はありません。
  • 同じ文章とパスワードでも、保護済みメッセージは毎回異なります。

Deep Talk では防げないリスク

  • マルウェア、キーロガー、侵害された OS。
  • ページやクリップボードを読める悪意あるブラウザー拡張機能。
  • 開いた後の画面を見られること。
  • 推測しやすい、使い回した、または漏えい済みのパスワード。
  • 受信者によるコピー、スクリーンショット、転送。
  • 将来ホスティング用アカウントが侵害され、変更されたコードが配信されること。

重要な内容では、正しい URL であることを確認し、最新のブラウザーと固有の長いパスワードを使い、パスワードを別の経路で共有してください。

任意の技術情報

保護済みメッセージは、ブラウザー内の認証付き暗号化を利用します。現在の形式は AES-256-GCM を使い、PBKDF2-HMAC-SHA-256 でパスワードから一時的な鍵を作ります。メッセージごとに新しいランダム値を使い、形式には将来の更新を区別するためのバージョン情報があります。以前の形式で作成したメッセージも引き続き開けます。

これらの名称は実装方法を示すだけで、上に挙げた端末、拡張機能、受信者に関するリスクをなくすものではありません。

メッセージを保護するに戻るか、プライバシーについてを読んでください。