Why should I verify instead of just trusting your marketing?

Because every secret-sharing tool claims to be secure, and most ask you to take their word for it. Verification turns "trust me" into "check yourself." If you can confirm the encryption claim with the tools already in your browser, the architecture is falsifiable — which is the strongest kind of trust signal.

What does the server actually store?

Only ciphertext, the IV, the view counter, the expiry timestamp, and an optional wrapped passphrase salt — keyed by a random secret ID. Without the key from the URL fragment, the ciphertext is indistinguishable from random noise. A full database dump would yield encrypted blobs and metadata.

Could a future code change break the zero-knowledge property?

Yes — verification proves behaviour at this moment. If you need ongoing assurance, re-run the checklist whenever you have something sensitive to share, or subscribe to the blog/changelog. We also publish our threat model and a bug bounty.

What if the CDN serves a different JavaScript bundle to me?

A targeted attacker who compromised the CDN could serve a different bundle to a single user. Subresource Integrity and reproducible builds mitigate this — see the threat model for full detail. The verification checklist confirms the bundle you ran is honest; it cannot prove the bundle every user runs is the same.

Do I need to install anything?

No. The four tests use only the built-in browser DevTools (Network tab, Sources tab) and optionally curl from a terminal. No extensions, no proxies, no custom builds.

Audit 5 menit

Verifikasi enkripsi zero-knowledge Vaulted sendiri

Jangan percaya begitu saja pada alat keamanan — verifikasi sendiri. Empat pengujian browser, tanpa instalasi, lima menit.

Checklist 60 detik

Baca ini dulu sekilas. Panduan lengkap di bawah membahas setiap langkah secara mendalam.

1
Buka DevTools → tab Network
Di Vaulted, tekan Cmd+Option+I (macOS) atau F12 (Windows/Linux). Pindah ke tab Network dan filter berdasarkan Fetch/XHR.
2
Buat rahasia dan periksa POST
Ketik string canary yang mudah dikenali (mis. CANARY-12345) dan klik Create. Temukan permintaan POST /api/secrets. Buka tab Payload — kamu hanya akan melihat ciphertext (base64) dan iv. Cari body untuk canary-mu; itu tidak ada di sana.
3
Periksa link berbagi
Lihat link yang dihasilkan. Kunci dekripsi berada setelah # (URL fragment). Sesuai RFC 3986, browser tidak pernah mengirim fragment ke server — baik di baris permintaan, header, maupun referrer.
4
Konfirmasi dekripsi berjalan di sisi klien
Buka link di tab baru. Respons GET dari /api/secrets/[id] hanya mengembalikan ciphertext. Di panel Sources, cari crypto.subtle.decrypt — panggilan itu berjalan di browsermu, bukan di server kami.

Buka Vaulted dan mulai →Baca threat model

Apa yang kamu verifikasi

Klaim Vaulted sangat spesifik: server tidak pernah melihat plaintext atau kunci enkripsimu. Itu dapat diuraikan menjadi empat properti yang bisa diamati:

Plaintext tidak pernah muncul dalam permintaan jaringan apa pun.
Kunci enkripsi tidak pernah muncul dalam permintaan jaringan apa pun.
URL fragment (tempat kunci berada) tidak pernah sampai ke server.
Data sisi server saja tidak dapat merekonstruksi rahasia.

Jika keempat hal itu terpenuhi, arsitektur ini adalah zero-knowledge secara konstruksi — tidak perlu bahasa pemasaran.

Pengujian 1 — Plaintext tidak pernah melewati jaringan

Buka vaulted.fyi.
Buka DevTools dan pindah ke tab Network. Filter berdasarkan Fetch/XHR.
Ketik string yang mudah dikenali di kolom rahasia — misalnya CANARY-12345.
Klik Create.

Kamu akan melihat satu POST ke /api/secrets. Klik dan lihat tab Payload.

Body berisi kolom ciphertext dan kolom iv. Keduanya adalah blob yang di-encode base64url. Cari payload untuk CANARY-12345 — itu tidak ada. Plaintext dienkripsi di browser sebelum permintaan dikirim.

Jika ingin lebih teliti, ubah throttling jaringan ke “Slow 3G” dan ulangi. Ciphertext masih terlihat seperti noise; plaintext masih tidak ada di mana-mana.

Pengujian 2 — Kunci juga tidak pernah melewati jaringan

Setelah membuat rahasia, Vaulted menampilkan link berbagi. Tampilannya seperti ini:

https://vaulted.fyi/s/abc123#dGhpcyBpcyBhIGtleQ
                              ^^^^^^^^^^^^^^^^^^^^
                              encryption key (base64url)

Bagian setelah # adalah URL fragment. Sesuai RFC 3986, browser memproses fragment secara lokal — fragment tidak pernah muncul di baris permintaan HTTP, header, atau referrer.

Untuk membuktikannya:

Salin link berbagi.
Buka di tab baru dengan tab Network DevTools terbuka.
Temukan permintaan GET /s/abc123.
Lihat tab Headers — URL permintaan lengkap, tanpa fragment.
Lihat tab Request — tanpa fragment.
Periksa document.referrer di halaman berikutnya — fragment dihapus.

Kunci yang dibutuhkan penerima untuk mendekripsi rahasia ada di URL, tetapi tetap di browsernya. Server melihat GET /s/abc123 dan tidak lebih dari itu.

Pengujian 3 — Server saja tidak bisa mendekripsi

Buka terminal dan curl rahasia secara langsung:

curl https://vaulted.fyi/api/secrets/abc123

Kamu akan mendapatkan JSON yang berisi ciphertext dan iv. Itulah seluruh state sisi server untuk rahasiamu.

Sekarang coba pahami. Tanpa kunci dari URL fragment, kamu tidak bisa. AES-256-GCM dengan kunci acak yang dihasilkan dengan benar secara praktis tidak dapat dibedakan dari noise acak. Dump database penuh dari server Vaulted hanya akan menghasilkan ini — blob terenkripsi dan metadata.

Inilah definisi literal zero-knowledge: server menyimpan data yang tidak bisa dibacanya.

Pengujian 4 — Enkripsi terjadi di JavaScript yang bisa kamu lihat

Vaulted menggunakan Web Crypto API, yang merupakan primitif browser — tidak ada WASM yang diobfuskasi atau modul native yang menyembunyikan proses tersebut. Kamu bisa menyaksikan enkripsi terjadi.

Di DevTools, buka tab Sources.
Cari crypto.subtle.encrypt (gunakan Cmd+Option+F untuk pencarian global).
Pasang breakpoint pada baris yang memanggil crypto.subtle.encrypt.
Picu pembuatan rahasia baru.
Breakpoint terpicu. Periksa argumennya: kamu akan melihat plaintext-mu sebagai Uint8Array, kunci AES-GCM, dan IV acak yang baru.
Langkahi panggilan tersebut. Hasilnya adalah ciphertext yang dikirim.

Kamu sekarang menyaksikan plaintext menjadi ciphertext, di browsermu, sebelum permintaan jaringan apa pun. Tidak ada jalur lain yang bisa dilalui data tersebut.

Apa yang ini buktikan

Tidak ada plaintext yang meninggalkan browser. Pengujian 1.
Tidak ada kunci yang meninggalkan browser. Pengujian 2.
Server tidak bisa mendekripsi dengan apa yang disimpannya. Pengujian 3.
Enkripsi nyata dan terjadi di sisi klien. Pengujian 4.

Itulah seluruh klaim zero-knowledge, didemonstrasikan pada sistem produksi yang berjalan dalam lima menit.

Apa yang ini tidak buktikan

Verifikasi adalah pekerjaan yang jujur — ada baiknya bersikap jelas tentang batasannya.

Pengujian membuktikan perilaku saat ini. Perubahan kode di masa depan bisa merusak properti ini. Jika kamu membutuhkan jaminan berkelanjutan, berlangganan changelog dan jalankan ulang pengujian secara berkala.
Pengujian tidak melindungi dari perangkatmu sendiri. Keylogger atau ekstensi browser berbahaya dapat membaca plaintext setelah dekripsi. Itu di luar kendali aplikasi web mana pun.
Pengujian mengasumsikan JavaScript yang kamu jalankan adalah JavaScript yang disajikan Vaulted. Penyerang yang menargetkan dan berhasil mengkompromikan CDN dapat menyajikan bundle berbeda ke satu pengguna. Subresource Integrity dan reproducible build mengurangi risiko ini; lihat threat model kami untuk detail lengkap.

Lebih lanjut

Jika ingin menggali lebih dalam:

Baca deep-dive enkripsi zero-knowledge kami untuk implementasi kriptografi lengkap.
Coba Encryption Playground untuk menyaksikan AES-256-GCM langkah demi langkah.
Bandingkan dengan enkripsi sisi server dan tentukan model mana yang sesuai dengan threat model-mu.

Argumen terkuat untuk alat keamanan bukan pemasarannya. Melainkan bahwa kamu bisa membongkarnya dan memastikan alat tersebut melakukan apa yang dikatakannya. Vaulted dibangun agar kamu bisa melakukan itu.

Pertanyaan yang sering diajukan

Ada pertanyaan atau menemukan sesuatu yang aneh? Email [email protected] — kami mempublikasikan kebijakan pengungkapan yang bertanggung jawab dan merespons dalam 48 jam.

Bagikan rahasia →

Verifikasi enkripsi zero-knowledge Vaulted sendiri

Checklist 60 detik

Buka DevTools → tab Network

Buat rahasia dan periksa POST

Periksa link berbagi

Konfirmasi dekripsi berjalan di sisi klien

Apa yang kamu verifikasi

Pengujian 1 — Plaintext tidak pernah melewati jaringan

Pengujian 2 — Kunci juga tidak pernah melewati jaringan

Pengujian 3 — Server saja tidak bisa mendekripsi

Pengujian 4 — Enkripsi terjadi di JavaScript yang bisa kamu lihat

Apa yang ini buktikan

Apa yang ini tidak buktikan

Lebih lanjut

Pertanyaan yang sering diajukan

Mengapa saya harus memverifikasi daripada sekadar mempercayai pemasaran kalian?

Apa yang sebenarnya disimpan server?

Bisakah perubahan kode di masa depan merusak properti zero-knowledge?

Bagaimana jika CDN menyajikan bundle JavaScript berbeda kepadaku?

Apakah saya perlu menginstal sesuatu?