Bezpieczny transfer kluczy między urządzeniami
Przenieś klucze szyfrowania na nowe urządzenie za pomocą kodów QR. Wymiana kluczy X25519 ECDH + transfer szyfrowany AES-256-GCM.
Grupy do 1000 osób, w pełni E2EE.
SIGNAL FOUNDATION SENDER KEYS
We wszystkich planach — bez podnoszenia limitu
Protokół Sender Keys
Oficjalna implementacja libsignal, zoptymalizowana dla grup
Forward Secrecy
Wcześniejsze wiadomości pozostają zaszyfrowane nawet po wycieku przyszłych kluczy
Niska latencja
Szyfrowanie po stronie nadawcy jest O(1) — szybkie w każdej skali
Urządzenie źródłowe
Na urządzeniu z kluczami: Ustawienia → Key Sync → „Przenieś klucze”. Wyświetli się kod QR (ważny 5 minut).
Urządzenie docelowe
Na nowym urządzeniu: Po zalogowaniu wybierz „Skanuj QR” i zeskanuj kod QR z urządzenia źródłowego kamerą.
Transfer zakończony
Klucze są bezpiecznie przesyłane przez szyfrowany kanał. Suma kontrolna SHA-256 weryfikuje integralność danych. Sesja wygasa automatycznie.
Protokół transferu
Source Device Target Device
│ │
│ 1. Create Session (Firestore) │
│ 2. Generate X25519 Ephemeral Key │
│ 3. Display QR Code │
│ ─── QR Scan ───► │
│ │ 4. Parse QR → sessionId + publicKey
│ │ 5. Generate X25519 Ephemeral Key
│ │ 6. ECDH → Shared Secret
│ │ 7. HKDF-SHA256 → AES Key
│ ◄── Firestore ── │ 8. Write encrypted response
│ 9. ECDH → Same Shared Secret │
│ 10. Encrypt keys (AES-256-GCM) │
│ ── Firestore ──► │
│ │ 11. Decrypt → Import keys
│ │ 12. SHA-256 Checksum verify
│ 13. Cleanup session │
└────────────────────────────────────┘
Session TTL: 5 minutesTransferowane klucze
| Klucz | Algorytm | Przeznaczenie |
|---|---|---|
| Para kluczy tożsamości | X25519 | Weryfikacja tożsamości / PQXDH |
| Para kluczy podpisu | Ed25519 | Podpisy wiadomości (AEGIS XEdDSA) |
| Podpisana para kluczy wstępnych | X25519 | Ustanawianie sesji X3DH |
| ID rejestracji | — | Identyfikator sesji |
Jednorazowe klucze wstępne (One-Time PreKeys) NIE są transferowane. Są regenerowane na nowym urządzeniu, aby uniknąć rywalizacji kluczy między urządzeniami.
Obsługa platform
| Platforma | Skanowanie QR | Przechowywanie kluczy | Alternatywa |
|---|---|---|---|
| iOS | Obsługiwane | Keychain | — |
| Android | Obsługiwane | Android Keystore | — |
| macOS | Zależy od kamery | Keychain | Regeneruj klucze |
| PWA (Web) | Zależy od uprawnień kamery | Web Crypto API | Regeneruj klucze |
Regeneracja kluczy: Jeśli skanowanie QR jest niedostępne (PWA/macOS), wybierz „Regeneruj klucze”, aby utworzyć nowe klucze szyfrowania. Nowe sesje zostaną nawiązane ze wszystkimi kontaktami, ale poprzednie wiadomości nie będą możliwe do odszyfrowania.
Korzystanie z wielu urządzeń
Ważne informacje dotyczące korzystania z tego samego konta na wielu urządzeniach.
To samo konto, wiele urządzeń
- • Każde urządzenie przechowuje niezależne klucze szyfrowania
- • Key Sync wymagany do odszyfrowania wiadomości z oryginalnego urządzenia
- • Możliwe konflikty One-Time PreKey przy jednoczesnym korzystaniu z wielu urządzeń
- • Limit urządzeń: Essential 1 / Premium i Intelligence 3
Inne konto, to samo urządzenie
- • Wszystkie sesje szyfrowania całkowicie zresetowane
- • Wiadomości z poprzedniego konta trwale nieodszyfrowywalne
- • Brak kolizji kluczy między różnymi kontami
- • Okno ostrzeżawcze przed zmianą konta
Arc vs Signal: Model wielu urządzeń
| Funkcja | Signal | Arc V2 |
|---|---|---|
| Model urządzenia | Główne/Połączone | Niezależne zestawy kluczy |
| Dodawanie urządzenia | Przez urządzenie główne | Bezpośrednia rejestracja + Key Sync |
| Dystrybucja kluczy | Główne dystrybuuje do Połączonych | Wymiana QR peer-to-peer |
| Uwierzytelnianie urządzenia | Domyślne zaufanie | Weryfikacja podpisu Ed25519 |
| Awaria urządzenia głównego | Wszystkie połączone urządzenia osierocone | Bez wpływu (niezależne) |