我們的承諾
SENTRY 建立在三個原則:資料最小化、零知識架構、可稽核透明。以下為產品如何執行這三個原則的完整說明,涵蓋 Messenger 與 MDM 服務。
資料最小化
免手機號碼、免 Email、免永久識別碼,只保留建立安全會話所需的雜湊與短期憑證。
零知識架構
NTAG424+Argon2id+OPAQUE 讓密碼和主金鑰只存在你的裝置;伺服器永遠看不到明文。
可稽核透明
前後端程式碼皆開源並提供可重現建置,任何第三方都能驗證行為與雜湊。
使用者控制
明確的資料保存期限、刪除流程與查詢管道,確保你主導自己的資料命運。
我們收集與保存什麼?
下表列出兩項服務可能觸及的資料。未提及的資料代表我們不會存取或已在端上即時清除。
| 資料項目 | 用途 | 保存期限 | 用戶控制 |
|---|---|---|---|
| NTAG424 UID / Counter / MAC | 驗證晶片真偽、簽發 60 秒 Session,不建立可搜尋帳號 | 僅存在當次登入流程,完成即丟棄 | 更換晶片或撤銷卡片時立即失效 |
| 帳號雜湊(AccountDigest) | 作為 OPAQUE 與 API 認證索引,不含明文身分 | 活躍期間儲存;30 天未使用即自動刪除 | 可在裝置設定中重新產生或請支援撤銷 |
| 聯絡人祕鑰快照(加密) | 供你在新裝置復原關係,伺服器只保存 AES‑256‑GCM 密文 | 你啟用備援時才存在,可隨時刪除 | 於「安全備份」面板停用並要求刪除 |
| 媒體物件密文 | 傳輸與暫存附件(預設 3GB 配額,單檔 500MB) | 到期或手動刪除後即移除;逾 45 天未讀自動清空 | 可在聊天室刪除或設定自毀計時 |
| 系統遙測(匿名) | 偵測濫用、調整網路配置;只包含錯誤碼與延遲 | 最大 7 天 | 企業版可要求完全停用 |
端到端加密堆疊
登入與身分
- NTAG424 SDM 驗證 UID / Counter / MAC;伺服器僅簽發一次性 Session。
- Argon2id 派生 KEK 包裝主金鑰(MK),OPAQUE 處理密碼驗證。
- MK 只存在記憶體與 sessionStorage,離線或逾時即清空。
訊息與媒體
- X3DH + Double Ratchet 讓訊息、控制訊號、通話金鑰全都獨立輪換。
- 附件使用 HKDF+AES‑256‑GCM 在端上加密,再透過 Cloudflare R2 短時效 URL 存取。
- 聯絡人祕鑰與 DR 歷程可由事件觸發加密備份,伺服器持有的仍是密文。
語音與視訊
- 通話金鑰由聯絡人祕鑰 + salt 派生 Call Master Key。
- 音訊 / 視訊 / 回傳控制通道各有獨立 AES 金鑰與計數器。
- 預設 10 分鐘輪換;若失敗則立即終止通話並提示。
稽核與開源
- 前端(本專案)與伺服端程式皆在 GitHub 公開,支援 reproducible build。
- 支援第三方安全審查,亦可提供 API 呼叫紀錄與雜湊供比對。
- 企業方案可自建並比對我們釋出的簽章。
Cookie 與追蹤
我們盡量避免使用 Cookie 與第三方追蹤。僅以下情境需要:
- 必要 Cookie:網站語系、Cookie 同意紀錄、Cloudflare Bot 管理。這些功能無法被關閉。
- 功能性 Cookie(選用):記住你的選單布景或滾動位置,未同意前不會寫入。
- Analytics:預設關閉。我們不植入 Pixel、不串接社群 SDK,除非企業客戶要求在自有域名導入。
任何 Cookie 偏好都可透過頁面下方的提示重新設定,並可在瀏覽器刪除。
使用者權利與支援
- 查詢 / 下載資料:寫信至 privacy@sentry.red,我們會在 7 個工作天內提供加密封裝的資料匯出。
- 刪除資料:可在裝置內選擇「重置帳戶」,或透過 Email 提出刪除請求。
- 事故通報:若發生安全事件,我們會於 72 小時內對所有受影響用戶公告,並提供修補時程。
- 客製需求:企業客戶可要求專屬資料處理附錄(DPA)與區域儲存策略。
聯絡我們
安全議題:security@sentry.red
隱私與法遵:privacy@sentry.red
一般服務:support@sentry.red