WARSTWA_KONTROLOWANEGO_SZYFROWANIA_PLIKÓW

Kontrolowane szyfrowanie plików dla systemów, które nie mogą eksternalizować zaufania

Qvault jest warstwą kontrolowanego szyfrowania plików w stacku QuantixLabs. To nie jest tylko sejf. To lokalny workflow desktopowy do ochrony plików, przekazywania ich odbiorcy i utrzymania kontroli kryptograficznej po stronie operatora.

ODWIEDŹ QVAULT.PL ZAPYTAJ O WDROŻENIE
AES-256-GCM-SIV
authenticated encryption
Argon2id
16 MiB CORE / 64 MiB PRO+
DeviceKey
ENTERPRISE + 24 słowa recovery
Dvault
browser + portable
V3
domyślny kontener
50 GiB
limit ENTERPRISE
~274 KB
Dvault bundle
0
server-side decrypt
DLACZEGO_TA_WARSTWA_ISTNIEJE

Dlaczego ta warstwa istnieje

Konwencjonalne szyfrowanie chroni bajty. Qvault chroni granicę zaufania wokół ich wymiany. Kryptografia pozostaje lokalna. QuantixLabs nie otrzymuje plaintextu, haseł ani kluczy w ścieżce szyfrowania. Dvault istnieje po to, aby strona odbiorcy była audytowalna, a nie improwizowana.

AES-256-GCM-SIV (RFC 8452) jako authenticated encryption w każdym tierze
Tierowane Argon2id: CORE 16 MiB / t=1, PROFESSIONAL i ENTERPRISE 64 MiB / t=3
V3 streaming to domyślny format nowych plików desktopowych
ENTERPRISE dokłada DeviceKey, 24-wyrazową frazę recovery oraz ML-KEM-1024 / ML-DSA-87; PROFESSIONAL i ENTERPRISE mogą używać Oracle jako fail-safe dla CSPRNG
PIPELINE_SZYFROWANIA

Sześciostopniowy przebieg szyfrowania

INPUT

Lokalny wybór pliku z limitami 256 MiB, 5 GiB albo 50 GiB zależnie od tieru

KDF

Tierowane Argon2id: CORE 16 MiB / t=1, PROFESSIONAL i ENTERPRISE 64 MiB / t=3

ORACLE

OS CSPRNG pozostaje źródłem głównym; Oracle jest defense-in-depth fail-safe dla ścieżki saltu

BIND

ENTERPRISE wiąże plik z per-device DeviceKey i przygotowuje 24-wyrazową ścieżkę recovery

AES/PQC

AES-256-GCM-SIV w każdym tierze; ENTERPRISE dokłada ML-KEM-1024 + ML-DSA-87

OUTPUT

Kontener .qvault V3 ze spójnością metadanych i workflow kompatybilnym z Dvault

RUNTIME_DVAULT

Dvault jest workflow odbiorcy, a nie kosmetycznym viewerem

Dvault istnieje dlatego, że środowisko odbiorcy jest zwykle najsłabszym punktem bezpiecznej wymiany. QuantixLabs rozwiązuje to przez oddzielenie szyfrowania od deszyfracji odbiorcy i wystawienie ścieżki odbiorczej jako powierzchni audytowej. Aplikacja przeglądarkowa ~274 KB albo przenośny dvault.html. Bez konta. Bez instalacji. Bez server-side decrypt.

Browser decrypt dla CORE i PROFESSIONAL w pełni po stronie klienta
Device-bound ENTERPRISE jest weryfikowany i odrzucany z instrukcją recovery
Security Report oraz PDF Certificate of Cryptographic Integrity
Audytowane biblioteki JavaScript oparte na @noble i hash-wasm
OTWORZ DVAULT
SCENARIUSZE_WDROŻENIOWE

Instytucjonalne scenariusze wdrożenia

Kancelarie i wymiana uprzywilejowana

Akta spraw, due diligence i korespondencja uprzywilejowana chronione z per-file control, Dvault delivery i czytelnym Security Report.

Zespoły finansowe i regulowane

Pakiety audytowe, załączniki i zgłoszenia szyfrowane lokalnie tak, by wymiana z odbiorcą nie zależała od zaufania do chmury.

Sektor publiczny i obronny

ENTERPRISE łączy DeviceKey binding, recovery i PQC tam, gdzie polityka wymaga jawnej kontroli urządzenia i odtwarzalnej ścieżki odzyskania.

Doradztwo i konsulting

Deliverables klienckie i oceny strategiczne pozostają w workflow zero-knowledge, a Dvault lub Burn Decryptor obsługuje stronę odbiorcy.

ZGODNOŚĆ_REGULACYJNA

Architektura wspierająca zgodność

RODO Art. 32

Lokalne szyfrowanie i brak dostępu QuantixLabs do plaintextu, haseł oraz kluczy w ścieżce szyfrowania

NIS2 Art. 21

Authenticated encryption, audytowalny workflow i wariant ENTERPRISE z dodatkowymi kontrolami DeviceKey oraz PQC

FIPS 203 / 204

ENTERPRISE wykorzystuje ML-KEM-1024 i ML-DSA-87 zgodne z NIST, gdy wymaga tego polityka wdrożeniowa

LICENCJONOWANIE

Trzy warianty dla różnych modeli zaufania

CORE (MILITARY)

0 PLN
Bezpłatny - na zawsze
  • AES-256-GCM-SIV
  • Argon2id 16 MiB / t=1
  • V3 domyślnie dla nowych plików
  • Dvault browser decrypt

PROFESSIONAL (PREMIUM)

9 900 PLN
Licencja bezterminowa
  • + Argon2id 64 MiB / t=3
  • + Oracle fail-safe
  • + Pliki do 5 GiB
  • + Priorytetowe wsparcie

ENTERPRISE (QUANTUM)

Indywidualna
Na zapytanie
  • + DeviceKey binding
  • + 24-wyrazowe recovery
  • + ML-KEM-1024 + ML-DSA-87
  • + Pliki do 50 GiB