安全優先
以隱私為設計核心
MissCaps 的每一項功能都圍繞一個核心原則構建:你的內容對任何不應該存取它的人在數學上都是不可達的。
只有你——以及你指定的接收人——才能讀取你的膠囊。
我們的伺服器只持有密文。即使在法律強制要求下,我們的工程師也無法解密你的內容。這不是一項政策 — 這是內建於架構中的數學保證。
失聯開關
當你失聯時自動投遞
設定你的「迷失天數」——也就是從最後一次活動到膠囊開始投遞之間的門檻。你可以選擇 7、14、30 天,也可以設定任意 ≥ 3 天的自訂值。
系統會在達到門檻前一天寄出預警郵件。如果你仍未活動,投遞流程就會開始。你也可以設定可選的 二次確認人,在最終投遞前先由可信的人確認情況,降低誤觸發風險。
一旦觸發,每位接收人都會透過郵件或簡訊收到一個安全的 6 位領取連結。連結可在任意瀏覽器開啟,接收人不需要安裝 App。
閱讀文章也算 check-in
當你在 App 內閱讀新聞或文章時,MissCaps 可以記錄你的活躍狀態。你仍然可以手動點擊活動按鈕,但閱讀 App 內文章也是一種輕量的 check-in 方式,可以讓你的膠囊在當天繼續保持封存。
一覽
- 可設定迷失天數(3–∞)
- 觸發前 24 小時寄出預警郵件
- 可選人工二次確認
- 每位接收人都有唯一領取連結
端對端加密
內容離開裝置前已完成加密
啟用膠囊時,裝置會在記憶體中產生隨機的 256 位內容加密金鑰(CEK)。文字、圖片和影片等所有內容都會在上傳前透過 AES-256-GCM 加密。伺服器收到的是密文,永遠不會收到明文。
CEK 會被你的 RSA-2048 公鑰包裹;同時,每位接收人還會擁有一份由其驗證答案派生金鑰(PBKDF2-SHA256 金鑰派生 + AES-GCM)包裹的 CEK 副本。因此,多位接收人可以用各自的答案獨立解鎖同一份內容。
你的私鑰由 6 位隱私密碼保護。隱私密碼透過 PBKDF2-SHA256 金鑰派生產生金鑰,再用 AES-GCM 加密私鑰。我們保存的唯一私鑰材料就是這份加密後的資料。
設定隱私密碼時,App 會產生 8 個一次性恢復碼。如果你忘記 PIN,可以使用恢復碼重設且不遺失資料——整個恢復過程會在裝置本地重新加密私鑰。伺服器在任何時候都看不到你的 PIN 或明文私鑰。
一覽
- AES-256-GCM 內容加密
- RSA-2048 金鑰包裹
- PBKDF2-SHA256 PIN 金鑰派生
- 伺服器不持有明文或 PIN
- 8 個一次性恢復碼用於重設 PIN
- 恢復過程在裝置端重新加密,伺服器零知識
區塊鏈存證
透過 Solana Memo 實現防竄改完整性證明
保存膠囊時,我們會根據標題、內容和所有檔案雜湊計算 SHA-256 指紋。這個 proofHash 會寫入 Solana 區塊鏈的 Memo 交易中,形成不可竄改的時間戳。
接收人可以在領取頁點擊驗證徽章,在 Solana Explorer 中開啟對應交易。頁面會在本地重新計算指紋,並與鏈上值進行比對——任何竄改都會導致匹配失敗。
檔案位元組也可以重新下載並獨立雜湊。如果 CORS 限制導致無法直接下載檔案,標題 + 內容 + 已存檔案雜湊的自洽校驗仍能提供強完整性保證。
一覽
- SHA-256 指紋寫入 Solana
- 公開可驗證的交易
- 接收人可獨立驗證,無需信任伺服器
- 區塊鏈時間戳證明建立時間
零知識伺服器
伺服器只保存密文,僅此而已
我們的架構目標是:即使資料庫完全外洩,也不會暴露明文。伺服器保存的是:bcrypt(privacyPinHash)、AES-GCM 加密後的私鑰,以及每個膠囊的 RSA 加密 CEK。沒有你的隱私密碼,這些資料都無法被解密。
一覽
- PIN 從不傳輸到伺服器
- 私鑰只以加密形式儲存
- 伺服器端內容在數學上不可讀
- 接收人的金鑰獨立於 PIN
二次確認人
投遞前的一道人為安全網
你可以指定一位可信的人作為二次確認人。當達到迷失天數門檻時,MissCaps 不會立刻投遞,而是先向確認人發送一個唯一驗證連結。
確認人可以看到你距離上次活動已過去多少天,並選擇兩種操作之一:確認失聯(立即觸發所有膠囊投遞)或 一切正常(重設你的最後活動時間,相當於剛完成一次活動)。
如果確認人在設定的等待期內(1、3 或 7 天)沒有回應,系統會自動繼續投遞——因此,確認人不回應也不會阻塞流程。
一覽
- 帳號級可選設定
- 確認人透過郵件或簡訊接收通知
- 可選擇 1、3 或 7 天等待窗口
- 確認人未回應時自動觸發