Private Vault · Architecture · Workflow

The Vault, mis en scène.

Chaque session de ArcaKey s'exécute sur la même architecture — une enveloppe chiffrée autour d'une enclave de confiance, ouverte juste assez longtemps pour réfléchir, fermée dès que vous avez terminé. Ce qui suit est comment cela fonctionne, en termes simples, et où se trouvent les compromis.

Demander l'accèsLire le livre blanc d'architecture
Cycle de vie de session

Comment fonctionne le coffre, en termes simples.

Cinq étapes, dans l'ordre. Rien d'abstrait — chaque étape correspond à une primitive nommée dans le livre blanc.

  1. Initialisation de session
    Votre client négocie une clé hybride : X25519 pour le classique, ML-KEM-768 pour le post-quantique. Les deux moitiés doivent échouer avant que le transport ne soit exposé.
  2. Requête chiffrée
    Votre requête est scellée sous la clé de session avant de quitter votre appareil. Le serveur d'application ne voit que des chiffrés — c'est une boîte aux lettres, pas un lecteur.
  3. Inférence TEE
    Le chiffré entre dans Intel TDX + NVIDIA H100 Confidential Computing — les opérateurs ne peuvent pas lire les requêtes pendant le traitement. La mémoire est chiffrée on-die. L'attestation est vérifiée avant que la clé de session ne soit libérée à l'intérieur de l'enclave.
  4. Réponse signée
    Chaque fragment de réponse est signé en ML-DSA-65 à l'intérieur du TEE. Votre client vérifie la signature ; les fragments non signés ou altérés sont rejetés avant l'affichage.
  5. Fermeture de session
    La clé de session est mise à zéro. Ghost Mode ne laisse aucun chiffré derrière ; une session conservée n'écrit que l'enveloppe que la politique de votre coffre permet.
Ghost Mode

Une bascule par session. Pas un niveau.

Ghost Mode est disponible sur tous les niveaux payants. C'est une posture, pas un produit — une déclaration, au début d'une session, indiquant que rien de ce qui sera écrit pendant la session ne lui survivra.

Aucun chiffré au repos
Les conversations ne vivent que dans la mémoire TEE pendant la durée de la session. Rien n'est écrit sur disque, rien n'est validé dans le registre de mémoire.
Aucun journal fantôme
Le journal d'audit enregistre qu'une session Ghost a eu lieu et à quelle heure. Il n'enregistre pas le contenu, et aucune transcription parallèle n'est conservée « pour des raisons de qualité ».
Mise à zéro à la fermeture
La clé de session est effacée et la zone TEE est réinitialisée. Après la fermeture de la session, il n'existe aucun mécanisme permettant de reconstruire le contenu.
Attestation

Chaque session TEE émet un artefact signé.

Pas un document marketing. Un artefact cryptographique qui nomme le matériel, le firmware, la mesure et la signature de liaison ArcaKey sur l'ensemble. Téléchargez un échantillon signé fraîchement et vérifiez-le hors ligne.

Télécharger un échantillon signéClé publique publiéeIndex des allégations et artefacts

Note pré-lancement : la couche de preuves NRAS est sourcée en stub jusqu'à ce que la capacité GCP A3 Confidential VM soit active. La signature de liaison ArcaKey sur l'artefact est réelle et vérifiable aujourd'hui ; le passage à NRAS en service est automatique au moment de la mise en capacité — la forme de l'artefact ne change pas.

Clés détenues par l'utilisateur

Votre phrase secrète, votre coffre — vous détenez la clé.

Un compromis, énoncé clairement. Les clés détenues par l'utilisateur sont la raison pour laquelle ArcaKey ne peut pas lire votre coffre. Elles sont aussi la raison pour laquelle nous ne pouvons pas le récupérer pour vous.

Ce que cela signifie

La clé de chiffrement de contenu de votre coffre est enveloppée par une clé dérivée de votre phrase secrète ou d'un token FIDO2. La clé d'enveloppement ne quitte jamais votre appareil. ArcaKey stocke des chiffrés. Nous ne détenons pas le clair, et nous ne détenons rien qui puisse le déballer.

Ce que cela coûte

Perdez la phrase secrète ou le token, perdez les données. Il n'y a pas de backdoor, pas de « contactez le support ». C'est énoncé explicitement dans le retainer et acquiescé à la commande — parce qu'au moment où un fournisseur peut récupérer votre coffre, n'importe qui pouvant se faire passer pour vous auprès de ce fournisseur le peut aussi.

En usage

Le coffre, au rythme d'une conversation.

Un aperçu de la lecture du coffre pendant une session de travail — encre, ivoire et un seul rappel champagne. L'esthétique d'une banque privée, en numérique.

The Vault
ExecutiveML-KEM-768Ghost : désactivéSession chiffrée
Récupère le mémorandum de restructuration que nous avons rédigé il y a deux semaines. Je dois rerédiger la section indemnité avant l'appel de jeudi avec l'avocat associé.
Récupéré. Ouverture du brouillon du 3 novembre. La section indemnité court actuellement de la clause 7.1 à la clause 7.4 et fait référence aux deux exclusions juridictionnelles que nous avions signalées. Souhaitez-vous que je rédige des annotations contre la version que vous avez acceptée le 28 octobre, ou que je rédige du nouveau contre les dernières annotations de l'avocat associé ?
Du nouveau contre les annotations de l'avocat associé. Conserve mes exclusions.
Compris. Rédaction en cours.
Entrée pour envoyer

Ouvrez un coffre pour le travail qui ne vivra pas sur le serveur de quelqu'un d'autre.

Démarrez un pilote Executive ou demandez un appel Sovereign. Trente jours à un tarif contracté, puis le tarif standard — ou annulation.

Demander l'accèsAperçu de la sécurité
The Vault — ArcaKey Private AI