安全优先
以隐私为设计核心
MissCaps 的每一项功能都围绕一个核心原则构建:你的内容对任何不应该访问它的人在数学上都是不可达的。
只有你——以及你指定的接收人——才能读取你的胶囊。
我们的服务器只持有密文。即使在法律强制要求下,我们的工程师也无法解密你的内容。这不是一项政策 — 这是内置于架构中的数学保证。
失联开关
当你失联时自动投递
设置你的“迷失天数”——也就是从最后一次活动到胶囊开始投递之间的阈值。你可以选择 7、14、30 天,也可以设置任意 ≥ 3 天的自定义值。
系统会在达到阈值前一天发送预警邮件。如果你仍未活动,投递流程就会开始。你也可以设置可选的 二次确认人,在最终投递前先由可信的人确认情况,降低误触发风险。
一旦触发,每位接收人都会通过邮件或短信收到一个安全的 6 位领取链接。链接可在任意浏览器打开,接收人不需要安装 App。
阅读文章也算 check-in
当你在 App 内阅读新闻或文章时,MissCaps 可以记录你的活跃状态。你仍然可以手动点击活动按钮,但阅读 App 内文章也是一种轻量的 check-in 方式,可以让你的胶囊在当天继续保持封存。
一览
- 可配置迷失天数(3–∞)
- 触发前 24 小时发送预警邮件
- 可选人工二次确认
- 每位接收人拥有唯一领取链接
端对端加密
内容离开设备前已完成加密
激活胶囊时,设备会在内存中生成随机的 256 位内容加密密钥(CEK)。文字、图片和视频等所有内容都会在上传前通过 AES-256-GCM 加密。服务器收到的是密文,永远不会收到明文。
CEK 会被你的 RSA-2048 公钥包裹;同时,每位接收人还会拥有一份由其验证答案派生密钥(PBKDF2-SHA256 密钥派生 + AES-GCM)包裹的 CEK 副本。因此,多位接收人可以用各自的答案独立解锁同一份内容。
你的私钥由 6 位隐私密码保护。隐私密码通过 PBKDF2-SHA256 密钥派生生成密钥,再用 AES-GCM 加密私钥。我们保存的唯一私钥材料就是这份加密后的数据。
设置隐私密码时,App 会生成 8 个一次性恢复码。如果你忘记 PIN,可以使用恢复码重置且不丢失数据——整个恢复过程会在设备本地重新加密私钥。服务器在任何时候都看不到你的 PIN 或明文私钥。
一览
- AES-256-GCM 内容加密
- RSA-2048 密钥包裹
- PBKDF2-SHA256 PIN 密钥派生
- 服务器不持有明文或 PIN
- 8 个一次性恢复码用于重置 PIN
- 恢复过程在设备端重新加密,服务器零知识
区块链存证
通过 Solana Memo 实现防篡改完整性证明
保存胶囊时,我们会根据标题、内容和所有文件哈希计算 SHA-256 指纹。这个 proofHash 会写入 Solana 区块链的 Memo 交易中,形成不可篡改的时间戳。
接收人可以在领取页点击验证徽章,在 Solana Explorer 中打开对应交易。页面会在本地重新计算指纹,并与链上值进行比对——任何篡改都会导致匹配失败。
文件字节也可以重新下载并独立哈希。如果 CORS 限制导致无法直接下载文件,标题 + 内容 + 已存文件哈希的自洽校验仍能提供强完整性保证。
一览
- SHA-256 指纹写入 Solana
- 公开可验证的交易
- 接收人可独立验证,无需信任服务器
- 区块链时间戳证明创建时间
零知识服务器
服务器只保存密文,仅此而已
我们的架构目标是:即使数据库完全泄露,也不会暴露明文。服务器保存的是:bcrypt(privacyPinHash)、AES-GCM 加密后的私钥,以及每个胶囊的 RSA 加密 CEK。没有你的隐私密码,这些数据都无法被解密。
一览
- PIN 从不传输到服务器
- 私钥只以加密形式存储
- 服务器端内容在数学上不可读
- 接收人的密钥独立于 PIN
二次确认人
投递前的一道人为安全网
你可以指定一位可信的人作为二次确认人。当达到迷失天数阈值时,MissCaps 不会立刻投递,而是先向确认人发送一个唯一验证链接。
确认人可以看到你距离上次活动已过去多少天,并选择两种操作之一:确认失联(立即触发所有胶囊投递)或 一切正常(重置你的最后活动时间,相当于刚完成一次活动)。
如果确认人在配置的等待期内(1、3 或 7 天)没有响应,系统会自动继续投递——因此,确认人不响应也不会阻塞流程。
一览
- 账号级可选配置
- 确认人通过邮件或短信接收通知
- 可选择 1、3 或 7 天等待窗口
- 确认人未响应时自动触发