プライバシーアーキテクチャ
Quiraにおいてプライバシーは機能ではなく、アーキテクチャ上の制約です。すべてのサブシステムはデータ最小化の原則に基づいて設計されています: 必要なものだけを収集し、ローカルに保存し、前方秘匿性で暗号化し、明示的な同意なしに送信しない。
ローカルファーストストレージ
すべてのブラウジングデータ(履歴、Context Graph、ブックマーク、パスワード、フォームデータ)はユーザーのデバイス上にのみ保存されます。デフォルトではクラウド同期はありません。
- SQLite + SQLCipher ― すべての構造化データに対するAES-256暗号化(保存時)
- プロファイルごとの鍵 ― 各ブラウザプロファイルにOSキーチェーンから派生したマスターキー
- 埋め込み独立暗号化 ― セマンティック埋め込みはメインデータベースとは別の鍵で暗号化。一方が侵害されてもう一方は露出しない
- 安全な削除 ― 削除されたデータはリンク解除だけでなくランダムバイトで上書き
暗号アーキテクチャ
Quiraは標準的な保存時暗号化を超え、ナレッジグラフ保護のために特別に設計された複数の暗号イノベーションを導入します。認証状態に応じた4段階の保護クラスについてはKnowledge Protection Classes (KPC)を参照。
| 技術 | 保護対象 | 仕組み |
|---|---|---|
| 保存時前方秘匿性 | 鍵侵害後の過去データ | エポックベースの鍵ローテーション。古いエポック鍵は安全に消去。現在の鍵へのフォレンジックアクセスでは過去のエポックを復号不能。 |
| 閾値暗号 | 単一障害点の鍵管理 | Shamirの秘密分散法 (3-of-5)。マスター鍵はデバイス、クラウドバックアップ、リカバリフレーズ、生体認証、ハードウェアキーに分割。任意の3つで鍵を再構成。 |
| 検証可能な削除 | データ除去のユーザー信頼 | 削除されたデータが復元不能であることの暗号学的証明 ― そのデータセグメントの暗号化鍵が証明可能に破壊される。 |
| 差分プライバシー | グラフクエリによるパターン漏洩 | 集約クエリへのキャリブレーションされたノイズ注入。個々の閲覧パターンはクエリ結果から復元不能。 |
ポスト量子対応
Phase 3 (2027) ではX25519と並行してハイブリッドポスト量子鍵交換 (ML-KEM / Kyber) を導入し、保存データへの量子攻撃に対する将来への備えを行います。
時間セキュリティ
Quiraは時間をセキュリティ次元として扱います。パーミッションとデータアクセスは静的ではなく、減衰し、期限切れし、自己破壊します。
| メカニズム | 目的 | 例 |
|---|---|---|
| パーミッション減衰 | 古い付与のリスク蓄積を防止 | プラグインのread:nodesトークンは更新されない限り24時間後に自動期限切れ |
| セッション健忘 | 時間的相関攻撃の制限 | 厳格モードのContext Graphクエリは現在のセッションのデータのみ返す |
| デッドマンスイッチ | ユーザーが行動不能な場合のデータ保護 | N日間アンロックがなければグラフは暗号学的に封印(設定可能) |
| 前方秘匿セッション | 遡及的セッション再構成の防止 | 各ブラウジングセッションはエフェメラル鍵を派生; セッション終了後はセッションデータを復号不能 |
アンチトラッキング対策
Quiraは連携して動作する複数のアンチトラッキングレイヤーを実装しています:
| 技術 | ブロック対象 |
|---|---|
| Cookie分離 | サードパーティCookieをファーストパーティオリジンごとに隔離 |
| ストレージ分離 | localStorage、IndexedDB、Cache APIをオリジンペアごとに隔離 |
| フィンガープリント耐性 | Canvas、WebGL、AudioContext、フォント列挙にノイズ注入 |
| Referrerトリミング | クロスオリジンReferrerをオリジンのみに削減 |
| バウンストラッキング保護 | リダイレクトベースのトラッキングチェーンを検知しブロック |
ハードウェア協調設計
Quiraは利用可能な場合にハードウェアセキュリティ機能を活用するよう設計されており、ソフトウェアのみの保護へのグレースフルフォールバックを備えています。
| ハードウェア機能 | Quiraでの使用 | フォールバック |
|---|---|---|
| TEE (Intel SGX / ARM TrustZone) | 隔離エンクレーブでのAI推論 ― モデル重みとグラフデータがメインOSに露出しない | 暗号化メモリページによるプロセスレベル隔離 |
| Secure Enclave / TPM | マスター鍵の派生と保存; 生体認証アンロックのバインディング | PBKDF2派生によるOSキーチェーン |
| メモリ暗号化 (Intel TME / AMD SME) | タブ単位のメモリ暗号化 ― 1つのタブのメモリ領域を侵害しても他は露出しない | アドレス空間ランダマイゼーション (ASLR) |
プライバシーモード
QuiraはグローバルまたはContext Spaceごとに設定できる段階的なプライバシーモードを提供します:
| モード | Context Graph | AI | ネットワーク | 時間的制御 |
|---|---|---|---|---|
| 標準 | フルキャプチャ | ローカル | 通常 + トラッカーブロック | 設定可能な保持期間 |
| 厳格 | タイトルのみ | ローカルのみ | 積極的フィルタリング、WebRTCなし | セッションのみ |
| シークレット | 無効 | 無効 | Tor対応(オプション) | RAMのみ、永続化なし |
| ロックダウン | 無効 | 無効 | Tor + JIT無効化 | トリガーフレーズでパニックワイプ |
Context Lockdown Mode
ロックダウンモードはジャーナリスト、活動家、敵対的環境にいるユーザー向けに設計されています。JavaScriptのJITコンパイルを無効化し、すべてのネットワークをTor回線に制限し、Context GraphをRAMのみモードで実行し、設定可能なキーコンビネーションでトリガーされるパニックワイプをサポートします。