Что есть в сервисе
Личные и групповые чаты, каналы, посты, комментарии, звонки, стикеры, подарки, внутренняя цифровая валюта, профили, персонализация, игры и секретные чаты.
Килограм находится в активной разработке. Мы честно показываем возможности, ограничения, правила обработки данных и то, где используется сквозное шифрование.
Килограм пока нельзя воспринимать как зрелую замену Telegram, Signal или другим большим мессенджерам. Это развивающийся сервис, где функции могут меняться, улучшаться и иногда работать в тестовом режиме. Для максимально чувствительной переписки используйте секретные чаты и проверяйте отпечатки ключей с собеседником.
Личные и групповые чаты, каналы, посты, комментарии, звонки, стикеры, подарки, внутренняя цифровая валюта, профили, персонализация, игры и секретные чаты.
Сервис предоставляет Кинах Вадим Сергеевич, самозанятый, ИНН 631217871071. По вопросам поддержки, данных, платежей и безопасности: kilogram@avc-games.ru.
В Килограм есть секретные чаты со сквозным шифрованием. Они отличаются от обычных чатов: обычные чаты защищаются транспортными и серверными механизмами, а секретные чаты дополнительно шифруют текст на устройстве отправителя и расшифровывают его на устройстве получателя.
Для устройства создается RSA-OAEP 2048 SHA-256 ключ. Ключ секретного чата является AES-GCM 256 ключом. Текст секретного сообщения шифруется AES-GCM с уникальным IV.
Приватный ключ хранится на устройстве пользователя в зашифрованном виде. Для защиты используется PIN или пароль, PBKDF2 SHA-256 и AES-GCM. PIN или пароль не отправляется на сервер.
Публичные ключи могут храниться на сервере, чтобы пользователи могли создать секретный чат. Ключ чата шифруется публичным ключом участника и открывается только его приватным ключом.
В интерфейсе можно сверять отпечатки публичных ключей. Это помогает заметить смену устройства, замену ключа или потенциальную атаку посредника.
Сервер не должен получать открытый текст секретных сообщений, но ему могут быть доступны метаданные: участники, факт существования чата, время доставки, размер данных и служебные события.
Веб-E2EE зависит от защищенности устройства, браузера, аккаунта и загружаемого клиентского кода. Независимый публичный аудит криптографической части пока не проводился.
Обычные чаты нужны для удобства, файлов, медиа и синхронизации. Секретные чаты нужны для переписки, где содержимое не должно быть доступно серверу в открытом виде.
Для работы соцсети обрабатываются профиль, email или телефон, контент, технические данные, push-токены и платежные операции. Данные банковских карт должен обрабатывать платежный провайдер.
Если доступна установка PWA, безопаснее использовать PWA из браузера. APK стоит устанавливать только из официального источника Килограмма и после проверки подписи и версии.
Для важных данных пользователю стоит самостоятельно заботиться о резервных копиях. Сервис развивается и не обещает абсолютную защиту от ошибок, сбоев устройства или потери доступа.
Монеты — внутренняя цифровая валюта Килограмма. 1 монета равна 1 рублю при покупке. Монеты нельзя вывести в реальные деньги или обменять за пределами сервиса.
Монеты можно использовать для покупки цифровых подарков из витрины сервиса и будущей премиум-подписки. Подарки являются внутренним цифровым контентом Килограмма. Витрина подарков формируется сервисом через аккаунт администратора.
Перед реальной оплатой пользователь должен видеть понятную сумму, описание товара, правила получения цифрового товара и ссылки на документы сервиса.
Пользователь отвечает за сообщения, посты, комментарии, файлы и другие материалы, которые публикует или отправляет. Запрещены угрозы, травля, мошенничество, спам, вредоносные файлы, разжигание ненависти и материалы, нарушающие права других лиц.
Сервис может применять автоматическую и ручную модерацию, ограничивать видимость материалов, блокировать функции или аккаунты, если это нужно для безопасности, исполнения правил или закона.
Если вы нашли уязвимость, ошибку в E2EE, проблему с платежом или хотите уточнить обработку данных, напишите на kilogram@avc-games.ru.