En sık karşılaştığımız sorulara kısa yanıtlar. Aradığınızı burada bulamazsanız info@hongi.io adresine yazın; iki iş günü içinde döneriz.
Hongi neredeyse tamamen sizin cihazınızda çalışır. Eşleşme, şifre kelimesi üretimi ve doğrulamanın hepsi, internet gerektirmeyen kriptografik bileşenlerle yerelde yapılır. Yalnızca üç özelliğin onsuz işleyemediği yerlerde ince bir sunucu katmanı devreye girer. Sunucuya değen ne varsa, neden değdiğini ve nelerin tutulmadığını aşağıda bulacaksınız.
Yanınızda olmayan biriyle eşleşirken uygulama, tek kullanımlık kısa bir token üretir. Diğer telefon bu tokenı çeker, yerelde çözer; biz de eline geçtiği an sileriz. Yük, iki cihaz arasında uçtan uca şifrelidir. Okuyamadığımız bir şifreli metin taşırız; iki tarafta da kimin olduğunu bilmeyiz.
Kişinizin telefonuna sessiz bildirim ulaştırmak için uygulama, işletim sistemine göre APNs veya FCM kullanır. Her cihaz için yalnızca opak push tokenını tutarız; arkasındaki kişiyi değil. "Sessiz bildirim"e dokunduğunuzda Apple veya Google’dan şifreli bir bildirim iletmesini rica ederiz. Kim olduğunuzu ya da ne söylediğinizi asla görmeyiz.
Bahşiş bırakmayı seçerseniz kart bilgilerinizi Stripe işler. Hongi yalnızca bir bahşişin ödendiğini ve tutarını görür. Bahşişi kişi listenize, şifre kelimelerinize veya uygulamadaki başka hiçbir şeye bağlamayız. Aboneliğe filan girmezsiniz; tek seferlik bir ödemedir.
Neden bu kadar az? Çünkü tehdit modelimiz, bankanız veya aileniz gibi davranan dolandırıcılardır. Sunucuda ne kadar az şey olursa, birinin "sizin Hongi verinize sahip olduğunu" iddia etmesi o kadar zorlaşır. Sizinle anneniz arasındaki şifre kelimesi, yalnızca ikinizin paylaştığı bir anahtardan o anda türetilir ve iki cihazınızda yaşar. Ürünün tamamı bu.
Eşleşme, şifre kelimeleri ve sessiz ping'lerin gerçekte nasıl çalıştığını gösteren dört kısa şema. Güvenlik tahtasında göreceğiniz çizimlerin aynısı, her adım için kullanılan kriptografik primitif ile birlikte.
İki telefon da geçici bir X25519 anahtar çifti üretir. QR, açık tarafı taşır. Her taraf karşı tarafın açık anahtarını kendi gizli anahtarıyla birleştirir (ECDH) ve aynı paylaşılan sırrı yerel olarak türetir. Hiçbir sunucu görmez.
Hongi'nin aktarıcısı uçtan uca şifreli bir daveti bir telefondan diğerine iletir. Aktarıcı içeriği çözemez. Teslimden sonra iki telefon da X25519 ile aynı paylaşılan sırrı cihaz üzerinde türetir, yüz yüze eşleşmeyle aynı şekilde.
Her 30 saniyede bir iki telefon da paylaşılan sır ve mevcut zaman dilimi üzerinde HMAC-SHA512 çalıştırarak iki farklı şifre kelimesi türetir. Biri sizin söylediğiniz, diğeri duyduğunuzdur. Paylaşılan sır olmadan bir taklitçi ikisini de üretemez.
Sessiz doğrulama göndermek için telefonunuz, Apple Push Notification servisinden veya Firebase Cloud Messaging'den kontağınızın cihazına şifreli bir bildirim iletmesini ister. Yalnızca opak bir push belirteci aktarırız. Kim olduğunuzu veya ne sorduğunuzu görmeyiz.
Yüz yüzeyken: Hongi’yi açın, Eşleş’e dokunun, karşı telefondaki QR kodu tarayın. Uzaktan: Eşleş > Davet bağlantısı’na dokunun, tek kullanımlık bağlantıyı dilediğiniz kanaldan gönderin. İki cihaz X25519 ile yerelde ortak bir anahtar türetir. Hiçbir sunucu anahtarı görmez, hiçbir şey kaydedilmez.
Şifre kelimeleriniz tasarım gereği cihaz olmadan kurtarılamaz. Bir kişiyle korumayı geri kazanmak için ikiniz de yeni cihazda yeniden eşleşirsiniz. Kaybolan telefondaki eski eşleşme, telefonun kilidi açılmadan işe yaramaz; çünkü şifre kelimeleri her oturum için yeniden türetilir.
Evet. Eşleşme, iki cihaz arasında QR ile veya şifreli bir davet bağlantısıyla doğrudan yapılır. Eşleşmeden sonra şifre kelimeleri, ortak anahtar ve mevcut saatten yerelde hesaplanır. Bir kişiyi doğrulamak için uygulamanın internete ihtiyacı yoktur.
Arayan kulağınıza tuhaf geldiyse ve sesli olarak şifre kelimesi sormayı göze alamıyorsanız "Sessiz bildirim"e dokunun. Gerçek kişiniz şu push bildirimini alır: "X soruyor, hatta gerçekten sen misin?" Uygulamada Onayla ya da Reddet’e dokunur. Arayanın ruhu duymaz.
Yeni bir eşleşme başlatmak için Eşleş’e dokunun. QR tarayın veya davet bağlantısı gönderin. Eşleşme tamamlandığında kişi, Ana ekranınızda o anki zaman aralığına ait şifre kelimesiyle birlikte görünür.
Uygulamada Ayarlar > Tüm kişileri sil dediğinizde cihazdaki tüm eşleşmeler ve anahtarlar kaldırılır. Aynı etki için herhangi bir tarayıcıdan hongi.io/delete adresini de ziyaret edebilirsiniz (cihaza artık ulaşamıyorsanız).
Uygulama şu an Hollandaca, İngilizce, Fransızca, Almanca, Türkçe, İspanyolca, İtalyanca, Portekizce, Lehçe, Arapça, Hintçe, Endonezce, Japonca, Korece ve Çince olarak sunuluyor. Web sitesi de aynı listeyi takip ediyor.
Eşleşme, X25519 eliptik eğri anahtar değişimini (RFC 7748) kullanır. Şifre kelimeleri, ortak anahtar ve mevcut 30 saniyelik zaman aralığından HMAC-SHA512 (RFC 4231) ile türetilir. Anahtarlar, mümkün olan her yerde donanım destekli olarak iOS Keychain / Android Keystore içinde saklanır. Hiçbir sunucu sırlarınızı tutmaz.
Hongi, iki kişinin burunlarını ve alınlarını birbirine değdirerek aynı nefesi, ha’yı paylaştığı geleneksel bir Maori selamlamasıdır. İki insanın artık birbirine yabancı olmadığı anı simgeler. Bu adı seçtik, çünkü uygulama da bir başka biçimde aynı şeyi yapıyor: iki kişi bir kez eşleşir, sonrasında birbirine güvenir.
info@hongi.io adresine bir e-posta atın. Hangi işletim sistemini (iOS ya da Android) kullandığınızı, uygulama sürümünü (Ayarlar > Hakkında) ve ne yapmaya çalıştığınızı yazın. Sorunu ne kadar hızlı yeniden üretebilirsek o kadar hızlı çözeriz.
Hongi ücretsiz; hesap, reklam, takip hiçbiri yok. Uygulama bir dolandırıcılığı durdurduysa ya da içinizi rahatlattıysa küçük bir bahşiş bırakabilirsiniz.
Bahşiş bırak →