Risposte rapide alle domande più frequenti. Se la tua non è qui, scrivi a info@hongi.io e rispondiamo entro due giorni lavorativi.
Hongi gira quasi interamente sul tuo dispositivo. Accoppiamento, generazione delle parole chiave e verifica avvengono in locale con primitive crittografiche che non richiedono internet. Esiste un sottile strato server solo perché tre funzioni specifiche non possono funzionare senza. Ecco tutto ciò che tocca un server, perché, e cosa non conserviamo.
Quando ti accoppi con qualcuno che non è accanto a te, l'app genera un token breve e monouso. L'altro telefono recupera quel token, lo decifra in locale e noi lo cancelliamo nel momento in cui arriva. Il payload è cifrato end-to-end tra i due dispositivi. Inoltriamo un cifrato che non possiamo leggere; non sappiamo chi sia su nessuno dei due lati.
Per consegnare un ping silenzioso al telefono del tuo contatto, l'app usa APNs o FCM, in base al sistema operativo. Conserviamo solo il token push opaco di ciascun dispositivo, non la persona che c'è dietro. Quando tocchi "ping silenzioso" chiediamo ad Apple o Google di consegnare una notifica cifrata. Non vediamo mai chi sei o cosa hai detto.
Se scegli di lasciare una mancia, Stripe gestisce i dati della tua carta. Hongi vede solo che è stata pagata una mancia e il relativo importo. Non colleghiamo la mancia alla tua lista contatti, alle tue parole chiave o ad altro nell'app. Non ti stai iscrivendo a nulla; è un pagamento una tantum.
Perché così poco? Perché il modello di minaccia sono truffatori che già si spacciano per la tua banca o la tua famiglia. Meno teniamo su un server, meno qualcuno potrà sostenere di "avere i tuoi dati Hongi". La parola chiave fra te e tua madre vive sui vostri due dispositivi, derivata in tempo reale da una chiave che solo voi due condividete. È tutto il prodotto.
Quattro brevi schemi che mostrano come funzionano davvero l'accoppiamento, le parole chiave e i ping silenziosi. Gli stessi disegni che vedresti su una lavagna di security, con la primitiva crittografica di ogni passo.
I due telefoni generano una coppia di chiavi X25519 effimera. Il QR porta la parte pubblica. Ogni lato combina la chiave pubblica dell'altro con la propria chiave privata (ECDH) e deriva localmente lo stesso segreto condiviso. Nessun server lo vede.
Il relay di Hongi inoltra un invito cifrato end-to-end da un telefono all'altro. Il relay non può decifrare il contenuto. Dopo la consegna, i due telefoni derivano localmente lo stesso segreto condiviso via X25519, esattamente come in presenza.
Ogni 30 secondi, entrambi i telefoni eseguono HMAC-SHA512 sul segreto condiviso e sul time slot attuale per derivare due parole chiave diverse. Una è ciò che dici, l'altra ciò che senti. Senza il segreto condiviso, un impostore non può produrre nessuna delle due.
Per inviare una verifica silenziosa, il tuo telefono chiede al servizio Apple Push Notification o a Firebase Cloud Messaging di consegnare una notifica cifrata al dispositivo del tuo contatto. Inoltriamo solo un token push opaco. Non vediamo mai chi sei né cosa hai chiesto.
Di persona: apri Hongi, tocca Pair, scansiona il QR sull'altro telefono. A distanza: tocca Pair > Link di invito e invia il link monouso su qualsiasi canale. I due dispositivi derivano localmente una chiave condivisa con X25519. Nessun server vede la chiave, nulla viene registrato.
Le tue parole chiave non possono essere recuperate senza il dispositivo, per scelta progettuale. Per ripristinare la protezione con un contatto, vi accoppiate di nuovo entrambi sul nuovo dispositivo. Il vecchio accoppiamento sul telefono perduto è inutile senza sbloccare il telefono stesso, perché le parole chiave sono derivate per sessione.
Sì. L'accoppiamento avviene direttamente fra i due dispositivi tramite QR o un link di invito cifrato. Dopo l'accoppiamento, le parole chiave sono calcolate in locale dalla chiave condivisa e dall'ora corrente. L'app non ha bisogno di internet per verificare un contatto.
Se una chiamata suona strana e non puoi rischiare di chiedere una parola chiave a voce, tocca Ping silenzioso. Il tuo contatto reale riceve una notifica push: "X sta chiedendo, sei davvero in linea?". Tocca Conferma o Rifiuta nell'app. Chi chiama non sente nulla.
Tocca Pair per avviare un nuovo accoppiamento. Scansiona o invia un link di invito. Una volta accoppiato, il contatto appare nella schermata principale con la sua parola chiave per la fascia oraria corrente.
Nell'app, Impostazioni > Elimina tutti i contatti rimuove ogni accoppiamento e chiave dal dispositivo. Puoi anche visitare hongi.io/delete da qualsiasi browser per lo stesso effetto (nel caso non avessi più accesso al dispositivo).
L'app è attualmente disponibile in olandese, inglese, francese, tedesco, turco, spagnolo, italiano, portoghese, polacco, arabo, hindi, indonesiano, giapponese, coreano e cinese. Il sito segue lo stesso elenco.
L'accoppiamento usa lo scambio di chiavi su curva ellittica X25519 (RFC 7748). Le parole chiave sono derivate via HMAC-SHA512 (RFC 4231) sulla chiave condivisa e sulla fascia di 30 secondi corrente. Le chiavi sono memorizzate in iOS Keychain / Android Keystore, con supporto hardware dove disponibile. Nessun server detiene i tuoi segreti.
Il hongi è il saluto tradizionale Māori in cui due persone premono naso e fronte l'uno contro l'altra, condividendo un unico respiro, lo ha. Segna il momento in cui due persone non sono più estranee. Abbiamo scelto il nome perché l'app fa la stessa cosa in modo diverso: due persone, accoppiate una volta, si fidano l'una dell'altra da lì in poi.
Invia un'e-mail a info@hongi.io. Indica il sistema operativo (iOS o Android), la versione dell'app (Impostazioni > Info) e cosa stavi cercando di fare. Più in fretta riusciamo a riprodurre, più in fretta risolviamo.
Hongi è gratuita; nessun account, nessuna pubblicità, nessun tracciamento. Se ti ha evitato una truffa o ti ha solo dato un po' di tranquillità, puoi lasciare una mancia.
Lascia una mancia →