// Trust

四个承诺,
不是功能。

"安全功能"可以加;"承诺"是不能破的底线。

⌬ · 端到端加密

.nyx 包从你电脑直接到接收方电脑,不经过我们服务器中转。 我们服务器上没有你的文件明文,没有你的密钥,从来没有。

加密:AES-256-GCM 容器加密 + RSA-2048 设备密钥交换。
实现:Windows CNG / BCrypt,不自造密码学。

◯ · 零信任架构

每次打开 .nyx 包都要重新鉴权。没有"保留缓存"这种事——你撤销的那一刻,对方下一次打开就是失效。

标准受控包:双方在线时立即生效。
离线受限包:下次联网同步(你能在后台看到同步状态)。

≡ · 完整审计

谁、什么时间、打开了哪一页、停了多久、改了什么——全留痕,不可篡改。

审计日志加密存储在你的本地,发件人后台可查询。
导出格式:JSON / CSV(上线后提供)。

⚿ · 设备绑定

.nyx 包只能在你授权的设备上打开。换了设备就失效。 复制走也没用——你撤销授权,那个副本在哪个设备都打不开。

设备指纹:TPM 2.0 + 主板 UUID + 用户 SID。
接收方首次打开需要联网绑定一次(5 分钟)。

// Threat model

威胁模型与边界

NyxWard 不是万能的——我们承诺能防的,也明确说防不了的。

✓ 我们承诺能防的

  • · 接收方把 .nyx 包转给第三方 → 第三方打不开
  • · 接收方截图、录屏 → 你的审计日志记录"打开了"
  • · 我们服务器被入侵 → 攻击者拿不到任何文件明文
  • · 发件人反悔 → 对方立刻打不开
  • · 项目结束 / 外包离职 → 授权自动失效

✗ 我们防不了的

  • · 接收方用另一台设备拍屏幕 / 抄写内容
  • · 接收方在阅读时把内容记在脑子里
  • · 极端国家级 APT 攻击硬件
  • · 接收方不装 WOC(那 .nyx 包就打不开)

// 安全白皮书 PDF 版本 · 上线时提供下载