Szybkie odpowiedzi na najczęściej zadawane pytania. Jeśli Twojego tu nie ma, napisz na info@hongi.io, a odpowiemy w ciągu dwóch dni roboczych.
Hongi działa niemal w całości na Twoim urządzeniu. Parowanie, generowanie haseł kodowych i weryfikacja odbywają się lokalnie z użyciem prymitywów kryptograficznych, które nie potrzebują internetu. Istnieje cienka warstwa serwerowa, tylko dlatego że trzy konkretne funkcje bez niej nie zadziałają. Poniżej znajduje się wszystko, co dotyka serwera, dlaczego oraz czego nie zatrzymujemy.
Gdy parujesz się z kimś, kto nie stoi obok, aplikacja generuje krótki, jednorazowy token. Drugi telefon pobiera ten token, odszyfrowuje lokalnie, a my usuwamy go w chwili, gdy do niego dotarł. Ładunek jest szyfrowany end-to-end pomiędzy dwoma urządzeniami. Przekazujemy szyfrogram, którego nie potrafimy odczytać; nie wiemy, kto jest po której stronie.
Aby dostarczyć cichy ping do telefonu Twojego kontaktu, aplikacja używa APNs lub FCM, w zależności od systemu. Przechowujemy jedynie nieprzejrzysty token push każdego urządzenia, a nie osobę za nim. Gdy stukasz w "cichy ping", prosimy Apple lub Google o dostarczenie zaszyfrowanego powiadomienia. Nigdy nie widzimy, kim jesteś ani co powiedziałeś.
Jeśli zdecydujesz się zostawić napiwek, danymi karty zajmuje się Stripe. Hongi widzi tylko, że napiwek został zapłacony i w jakiej kwocie. Nie łączymy napiwku z Twoją listą kontaktów, hasłami kodowymi ani niczym innym w aplikacji. Niczego nie subskrybujesz; to jednorazowa płatność.
Dlaczego tak niewiele? Bo model zagrożenia to oszuści, którzy już udają Twój bank albo Twoją rodzinę. Im mniej trzymamy na serwerze, tym mniej ktokolwiek może udawać, że "ma Twoje dane Hongi". Hasło kodowe między Tobą a Twoją mamą żyje na Waszych dwóch urządzeniach, wyprowadzane w czasie rzeczywistym z klucza, który dzielicie tylko Wy dwoje. To cały produkt.
Cztery krótkie schematy pokazujące, jak naprawdę działają parowanie, hasła i ciche pingi. Te same rysunki, które zobaczyłbyś na security-whiteboardzie, z prymitywem kryptograficznym przy każdym kroku.
Oba telefony generują efemeryczną parę kluczy X25519. QR niesie połowę publiczną. Każda strona łączy klucz publiczny drugiej z własnym kluczem prywatnym (ECDH) i lokalnie wyprowadza ten sam wspólny sekret. Żaden serwer go nie widzi.
Relay Hongi przekazuje zaszyfrowane end-to-end zaproszenie z jednego telefonu na drugi. Relay nie potrafi rozszyfrować zawartości. Po dostarczeniu oba telefony lokalnie wyprowadzają ten sam wspólny sekret przez X25519, dokładnie tak jak przy parowaniu osobistym.
Co 30 sekund oba telefony liczą HMAC-SHA512 nad wspólnym sekretem i bieżącym slotem czasowym, otrzymując dwa różne hasła. Jedno ty mówisz, drugie słyszysz. Bez wspólnego sekretu oszust nie wyprodukuje żadnego.
Aby wysłać ciche potwierdzenie, twój telefon prosi Apple Push Notification service lub Firebase Cloud Messaging o dostarczenie szyfrowanego powiadomienia na urządzenie kontaktu. Przekazujemy tylko nieprzejrzysty token push. Nigdy nie widzimy, kim jesteś ani o co prosiłeś.
Osobiście: otwórz Hongi, dotknij Pair, zeskanuj kod QR na drugim telefonie. Zdalnie: dotknij Pair > Link zaproszenia, wyślij jednorazowy link dowolnym kanałem. Oba urządzenia wyprowadzają lokalnie wspólny klucz z X25519. Żaden serwer nie widzi klucza, nic nie jest logowane.
Twoich haseł kodowych nie da się odzyskać bez urządzenia, taki jest projekt. Aby przywrócić ochronę z kontaktem, oboje parujecie się ponownie na nowym urządzeniu. Stare parowanie na zgubionym telefonie jest bezużyteczne bez odblokowania samego telefonu, ponieważ hasła kodowe są wyprowadzane na każdą sesję.
Tak. Parowanie odbywa się bezpośrednio między dwoma urządzeniami przez kod QR lub zaszyfrowany link zaproszenia. Po sparowaniu hasła kodowe są obliczane lokalnie ze wspólnego klucza i aktualnego czasu. Aplikacja nie potrzebuje internetu, aby zweryfikować kontakt.
Jeśli rozmówca brzmi podejrzanie, a nie możesz ryzykować pytania o hasło na głos, dotknij Cichy ping. Twój prawdziwy kontakt dostaje powiadomienie push: "X pyta, czy naprawdę jesteś na linii?". Dotyka w aplikacji Potwierdź lub Odrzuć. Rozmówca nic nie słyszy.
Dotknij Pair, aby rozpocząć nowe parowanie. Zeskanuj albo wyślij link zaproszenia. Po sparowaniu kontakt pojawia się na ekranie głównym z hasłem kodowym dla bieżącego okna czasowego.
W aplikacji Ustawienia > Usuń wszystkie kontakty kasuje wszystkie parowania i klucze z urządzenia. Możesz też wejść z dowolnej przeglądarki na hongi.io/delete, aby uzyskać ten sam efekt (jeśli nie masz już dostępu do urządzenia).
Aplikacja jest obecnie dostępna w językach: niderlandzkim, angielskim, francuskim, niemieckim, tureckim, hiszpańskim, włoskim, portugalskim, polskim, arabskim, hindi, indonezyjskim, japońskim, koreańskim i chińskim. Strona internetowa odpowiada tej samej liście.
Parowanie używa wymiany kluczy na krzywej eliptycznej X25519 (RFC 7748). Hasła kodowe są wyprowadzane przez HMAC-SHA512 (RFC 4231) ze wspólnego klucza i bieżącego 30-sekundowego okna czasu. Klucze są przechowywane w iOS Keychain / Android Keystore, ze wsparciem sprzętowym tam, gdzie jest dostępne. Żaden serwer nie trzyma Twoich sekretów.
Hongi to tradycyjne powitanie Māori, w którym dwie osoby stykają się nosami i czołami, dzieląc jeden oddech, ha. Wyznacza moment, w którym dwie osoby przestają być sobie obce. Wybraliśmy tę nazwę, bo aplikacja robi to samo w inny sposób: dwie osoby, raz sparowane, od tego momentu sobie ufają.
Wyślij wiadomość na info@hongi.io. Podaj system operacyjny (iOS lub Android), wersję aplikacji (Ustawienia > O aplikacji) i co próbowałeś zrobić. Im szybciej odtworzymy, tym szybciej naprawimy.
Hongi jest darmowe; bez kont, bez reklam, bez śledzenia. Jeśli aplikacja pomogła Ci uniknąć oszustwa albo po prostu dała Ci spokój ducha, możesz zostawić napiwek.
Zostaw napiwek →