先保证本地机密性
核心资产是本地加密 vault。Oak Keyring 的安全叙事从这里开始:明文 secret,以及能打开它们的密钥材料,不应该进入同步提供方的信任边界。
这并不等于公开网站应该声称完美的设备安全,或声称已经审计过所有本地攻击。它的意思是:产品结构不要求用户把主要信任放在远程存储路径上。
Security
安全首先取决于谁能读到 vault。
Oak Keyring 的安全姿态是本地优先:secret 在离开设备前被保护,同步存储不被信任为 vault key 的持有者,恢复也必须保留同样的边界,而不是绕过它。
端到端加密的同步边界
对同步来说,重要的公开声明应该很窄:secret 在同步前已经加密,Google Drive 不应该收到 vault key。远程存储可以移动加密状态,但不应该能读取 vault 内容。
这就是本站使用 zero-knowledge 时有意义的范围。它适用于同步存储边界,而不是每一种威胁、设备失陷、扩展、备份或未来集成。
Secret 生命周期纪律
密码管理器最容易出问题的地方,是 secret 处理散落在不同流程里。Oak Keyring 把 secret 输入、解锁、命令执行、取消、错误路径、清理和恢复看成同一条必须可见的生命周期。
公开页面不展开实现敏感细节。但安全原则可以公开:每条接触敏感材料的路径,都需要退出路径,而不只是成功路径。
恢复不能变成绕过
恢复是安全敏感路径,因为便利性很容易悄悄击穿 vault 模型。Oak Keyring 把恢复放在同一条密钥和 vault 生命周期里,而不是允许它作为支持捷径绕过正常所有权边界。
目标是:丢失设备、设置新设备或从同步数据恢复时,不改变谁控制 vault,也不改变同步提供方能知道什么。
当前公开限制
Oak Keyring 仍处于首个预览阶段。本站不声称稳定公开发布、公开第三方审计或完整公开实现评审。
这里描述的安全姿态,是关于产品边界和设计优先级的声明,而不是把项目当成生产密码管理工作流替代品的承诺。
报告漏洞
请通过 GitHub Security Advisory form 或邮件 alphaqiu@gmail.com 私下报告疑似安全漏洞。
不要在公开 issues 或 discussions 中发布密码、vault 文件、recovery words、OAuth secrets、tokens 或包含敏感值的私有日志。如果复现需要样例数据,请使用一次性 vault 和假凭据。