TAIVA Vault

Cofre zero-knowledge para senhas, 2FA, documentos e assinatura PDF (Lei 14.063). Cripto pós-quântica ML-KEM-1024 + MPC 2-de-3.

TAIVA Vault. Muito mais que um gerenciador de senhas. Um cofre zero-knowledge end-to-end para tudo que importa: senhas, 2FA, documentos pessoais, inventário de ativos, assinatura de PDF (Lei 14.063) e herança digital. Toda a criptografia acontece no seu navegador, o servidor só vê cifrotexto opaco. Subpoena, breach, insider threat: suas informações permanecem protegidas pela matemática, não por política. ▸ O QUE VOCÊ GERENCIA NO TAIVA VAULT • Senhas, autofill em qualquer site, gerador seguro • TOTP / 2FA, códigos de autenticação gerenciados localmente • Notas seguras, texto cifrado E2E • Carteira de Documentos: RG, CPF, CNH, contratos, diplomas (cifrados no seu dispositivo antes do upload) • Inventário Pós-Quântico, catálogo de ativos digitais e físicos (PIX, contas, criptomoedas, propriedades) • Assinatura de PDF (Lei 14.063 Art. 4º II), assinatura avançada com chave própria, dentro do navegador • Herança Digital, fragmentos selados via Shamir SSS distribuídos entre trustees de confiança, release condicional após óbito ou incapacidade • Travel Mode, oculta dados sensíveis em viagens (border crossing) • Panic Mode, SOS silencioso para situações de coação • Dead Man's Switch, notifica contatos se você sumir por X dias ▸ POR QUE INSTALAR Você precisa de um cofre digital que sobreviva a você, ao seu provedor e a qualquer ator que tenha incentivo para violar sua privacidade. TAIVA Vault foi projetado para esse cenário: o servidor cai, o operador some, ou alguém vaza o banco, e seus dados continuam ilegíveis sem suas chaves. ▸ SEGURANÇA QUE VOCÊ PODE AUDITAR • Zero-knowledge real: a chave de cifragem (DEK) jamais sai do seu dispositivo em forma utilizável pelo servidor. • Autenticação OPAQUE-3DH (RFC 9497): a senha mestre nunca trafega, nem mesmo o hash. Servidor não verifica offline o que não possui. • Pós-quântica híbrida: ML-KEM-1024 (NIST FIPS 203) combinada com ECDH P-256, AES-256-GCM cifra os dados. Resistente a "harvest now, decrypt later". • MPC 2-de-3 com Shamir Secret Sharing (GF 2^8), nós distribuídos entre Brasil e Europa. Comprometer um nó não dá acesso, a reconstrução acontece no seu navegador. • DEK importada como CryptoKey não-extraível (Web Crypto API): vive em memória C++ do browser, fora do alcance de JavaScript. • Auto-bloqueio em 15 minutos de inatividade. • Clipboard auto-limpa 15 segundos depois de copiar uma senha. • Trusted device com PIN: wipe automático após 10 tentativas incorretas. ▸ INFRAESTRUTURA SERVER-SIDE AUDITÁVEL • Master secrets isolados em OpenBao (HSM-light) em host dedicado. • Audit log com Merkle chain SHA-256 ancorado em Bitcoin diariamente (OpenTimestamps), prova externa pública de integridade. • Banco SQLite com cifragem at-rest AES-256-GCM (libsql encrypted), backup local com AES-256-CBC + PBKDF2 600k iterações, replicação off-site cifrada via Tailscale. • mTLS entre todos os serviços inter-host. • Self-hosted Brasil + Europa. Zero dependência de cloud público (sem AWS, GCP ou Azure). ▸ ASSINATURA DE PDF DENTRO DA EXTENSÃO Assine PDFs (Lei 14.063, AEAd) sem instalar nada extra. Confirme com biometria do dispositivo ou chave de segurança (WebAuthn PRF). A chave privada é dividida via MPC e nunca existe completa em lugar nenhum. O documento é carimbado, hash ancorado em Bitcoin, verificável publicamente. ▸ A EXTENSÃO A extensão é a porta de entrada local. Faz autofill de senhas, gera códigos TOTP, assina PDFs e desbloqueia o cofre para acesso ao app web em vault.taiva.com.br (onde os outros módulos vivem). Detecta formjacking durante o autofill. Sem trackers, sem analytics, sem telemetria. ▸ DIVULGAÇÃO RESPONSÁVEL E TRANSPARÊNCIA Canal de pesquisa de segurança: contato@taiva.com.br Safe harbor para pesquisadores: https://vault.taiva.com.br/security Atestações públicas (SBOM, CBOM, bundle manifest assinado Cosign): https://vault.taiva.com.br/.well-known/ Política de Privacidade: https://vault.taiva.com.br/privacy Encarregado de Dados (DPO): https://vault.taiva.com.br/dpo Changelog: https://vault.taiva.com.br/changelog