🔍 الشفافية التقنية
ما نراه.
ما لا نفعله.
هذه ليست صفحة تسويقية. هذه مواصفات فنية لما تجمعه البيانات City of Hats بالضبط، وما يمكن لخوادمنا الوصول إليه وما لا يمكنها الوصول إليه، وأين تقع حدود التشفير لدينا.
آخر تحديث: أبريل 2026🎯 موقفنا
نعتقد أنه يجب إثبات الأمن، وليس المطالبة به.
City of Hats هي منصة شابة. أطلقنا التطبيق في متاجر التطبيقات في مارس 2026. ولم نصبح بعد مصدرًا مفتوحًا. لم نكمل بعد عملية التدقيق المستقلة. نحن نتحلى بالشفافية بشأن ذلك، ونعمل بنشاط على سد تلك الفجوات. وفي هذه الأثناء، إليك وصفًا تفصيليًا لما يفعله نظامنا فعليًا.
التزامنا: سننشر التقرير الكامل لأول تدقيق تشفير مستقل لنا على هذه الصفحة. لا التنقيحات.
🛡 نموذج التهديد
ما الذي نحميه من — وما لا نحميه
لا يوجد نظام محصن. إن ذكر ما ندافع عنه ضد — وأين تقع حدودنا — هو أكثر مصداقية من الادعاء بالأمن المطلق.
مصممة للحماية من
- ✅ مراقبة الشبكة السلبية
- ✅ الوصول إلى البيانات من جانب الخادم (لا يمكننا قراءة رسائل E2E)
- ✅ ربط الهوية من خلال أرقام الهواتف أو البريد الإلكتروني
- ✅ الهجمات الكمومية المستقبلية (تبادل مفاتيح PQ الهجين)
- ✅ الحل الوسط الرئيسي الذي يكشف الرسائل السابقة (السرية الأمامية)
- ✅ تحليل طول الرسالة (حشو بيانات التعريف)
لم يتم تقييمها رسميًا بعد
- ⚠ خصوم الدولة القومية
- ⚠ أجهزة المستخدم المُخترقة (الهجمات على مستوى نظام التشغيل)
- ⚠ هجمات مستهدفة متقدمة
- ⚠ تحليل حركة المرور على نطاق واسع (التوقيت، وأنماط التردد)
نصيحة صادقة: يجب على المستخدمين الذين لديهم نماذج تهديد عالية الخطورة الجمع بين أدوات وممارسات آمنة متعددة. لا يوجد تطبيق واحد يمثل حلاً أمنيًا كاملاً.
🔒 التشفير
هندسة التشفير
تستخدم جميع الرسائل والمكالمات وعمليات نقل الملفات التشفير الشامل من جانب العميل. لا يحتفظ الخادم مطلقًا بمفاتيح فك التشفير لمحادثات المستخدم.
Double Ratchet البروتوكول
نفس عائلة البروتوكول مثل Signal. تستخدم كل رسالة مفتاحًا فريدًا. لا يؤدي اختراق مفتاح واحد إلى كشف الرسائل الماضية أو المستقبلية (سرية إعادة التوجيه + سرية المستقبل).
ما بعد الهجين الكمي
استخدامات تبادل المفاتيح X25519 + ML-KEM-768 (كايبر). حتى لو قام الكمبيوتر الكمي بكسر تبادل المفاتيح الكلاسيكية في المستقبل، فستظل الرسائل محمية.
AES-256-GCM
يتم تشفير جميع حمولات الرسائل ومحتوى الملف وإشارات المكالمات باستخدام التشفير المصادق عليه AES-256-GCM. يتم أيضًا تشفير الرؤوس لمنع تسرب البيانات التعريفية.
مفاتيح إرسال المجموعة
تستخدم الرسائل الجماعية بروتوكول مفتاح المرسل مع سلسلة HMAC وتوقيعات ECDSA. يحتفظ كل مرسل بسلسلة مفاتيح خاصة به موزعة على قنوات مشفرة بنسبة 1:1.
بروتوكول Stack
Key Exchange → X25519 + ML-KEM-768 (هجين ما بعد الكم)
Ratchet → Double Ratchet (عائلة البروتوكولات Signal)
شفرة متماثلة → AES-256-GCM
اشتقاق المفتاح → HKDF-SHA-256
مصادقة الرسالة → HMAC-SHA-256
التوقيعات → ECDSA P-256 (مجموعات)
عبارة المرور KDF → PBKDF2
Runtime → Web Crypto API (المتصفح الأصلي)
PQ Library → @noble/post-quantum (ML-KEM-768)
Key Exchange → X25519 + ML-KEM-768 (هجين ما بعد الكم)
Ratchet → Double Ratchet (عائلة البروتوكولات Signal)
شفرة متماثلة → AES-256-GCM
اشتقاق المفتاح → HKDF-SHA-256
مصادقة الرسالة → HMAC-SHA-256
التوقيعات → ECDSA P-256 (مجموعات)
عبارة المرور KDF → PBKDF2
Runtime → Web Crypto API (المتصفح الأصلي)
PQ Library → @noble/post-quantum (ML-KEM-768)
تحقق من مطالباتنا. يتم نشر كود مصدر التشفير الكامل ومواصفات البروتوكول ووثائق الهندسة المعمارية بموجب ترخيص MIT:
github.com/City-of-Hats/coh-crypto-spec →
github.com/City-of-Hats/coh-crypto-spec →
👁 رؤية البيانات
ما يمكن لخوادمنا رؤيته وما لا يمكنها رؤيته
يوثق هذا الجدول بالضبط البيانات الموجودة على خوادمنا. نحن نميز بين ما هو مشفر (معتم بالنسبة لنا) وبين ما هو مرئي.
| نوع البيانات | الوصول إلى الخادم | تفاصيل |
|---|---|---|
| محتوى الرسالة | ✕ لا أستطيع أن أرى | جميع رسائل القبعة إلى القبعة مشفرة من طرف العميل من طرف إلى طرف. يقوم الخادم بتخزين النص المشفر غير الشفاف فقط. |
| مرفقات الملفات | ✕ لا أستطيع أن أرى | يتم تشفير الملفات من جانب العميل قبل التحميل. يقوم الخادم بتخزين النقط المشفرة. |
| صوت & مكالمات الفيديو | ✕ لا أستطيع أن أرى | تستخدم المكالمات WebRTC من نظير إلى نظير مع إشارات مشفرة. يسهل الخادم إعداد الاتصال فقط. |
| Dead Drops / EchoDrops | ✕ لا أستطيع أن أرى | المحتوى مشفر من جانب العميل. مفتاح فك التشفير موجود في جزء عنوان URL (لم يتم إرساله مطلقًا إلى الخادم) أو مشتق من عبارة مرور. |
| GhostFrame الحمولات | ✕ لا أستطيع أن أرى | محتوى إخفاء المعلومات مضمن ومشفر من جانب العميل قبل التحميل. |
| المفاتيح الخاصة | ✕ لا أستطيع أن أرى | يتم إنشاء مفاتيح ECDH ومفاتيح ما بعد الكم الخاصة وتخزينها على الجهاز فقط. لم تنتقل أبدا إلى الخادم. |
| رموز القبعة | ✓ مرئي | يتم تخزين معرفات القبعة لتوجيه الرسائل. وهي أسماء مستعارة ولا ترتبط بالهوية الحقيقية. |
| معرفات زوج القنوات | ✓ مرئي | سجل يحتوي على قناة لدى Hat A وHat B. مطلوب لتوجيه الرسائل. |
| الطوابع الزمنية | ✓ مرئي | إرسال/استقبال الرسائل الطوابع الزمنية. مطلوب لمنطق الطلب وانتهاء الصلاحية. |
| المفاتيح العامة | ✓ مرئي | يتم نشر المفاتيح العامة ECDH وML-KEM لتمكين تبادل المفاتيح. هذا حسب التصميم — المفاتيح العامة من المفترض أن تكون عامة. |
| دفع رموز الإخطار | ⚠ البيانات الوصفية فقط | يتم تخزين رموز دفع الجهاز لتقديم الإشعارات. يستخدم محتوى الإعلام نصًا عامًا، وليس محتوى الرسالة. |
الإفصاح الصادق: مثل جميع منصات المراسلة (بما في ذلك Signal)، يجب علينا تخزين بعض البيانات التعريفية للتوجيه لتسليم الرسائل. رموز القبعة هي أسماء مستعارة — ولا يشترط رقم الهاتف أو البريد الإلكتروني أو الهوية. لكننا نعلم أن القبعة "أ" أرسلت رسالة إلى القبعة "ب" في وقت معين.
⚙ أوضاع التشفير
مساران للتشفير — مشروحان بصراحة
لا يستخدم كل المحتوى الموجود في City of Hats نفس مسار التشفير. نحن نتحلى بالشفافية بشأن متى يستطيع الخادم الوصول إلى المحتوى أو لا يمكنه ذلك.
E2E من جانب العميل (افتراضي)
يستخدم لجميع الرسائل والمكالمات والرسائل الميتة وGhostFrames وEchoDrops.
- ✅ مشفرة على جهازك قبل الإرسال
- ✅ تم فك التشفير فقط على جهاز المستلم
- ✅ يخزن الخادم نصًا مشفرًا غير شفاف
- ✅ لا يمكننا فك التشفير حتى لو اضطررنا
التشفير من جانب الخادم (محدود)
يُستخدم فقط للمحتوى الذي ينشئه النظام: إعلانات النظام الأساسي وروبوت الذكاء CHECK.
- ⚠ يقوم الخادم بإنشاء هذا المحتوى وتشفيره
- ⚠ يحتفظ الخادم بمفاتيح التشفير لهذه المسارات
- ℹ ينطبق هذا فقط على رسائل الروبوت/النظام
- ✅ الدردشة بين مستخدم ومستخدم لا تسير على هذا المسار أبدًا
لماذا وضعان؟ يحتاج روبوت الاستخبارات CHECK إلى إنشاء تقارير أمنية من جانب الخادم (يقوم بالاستعلام عن قواعد البيانات الخارجية). يتم بث إعلانات المنصة لجميع المستخدمين. هذه ليست محادثات خاصة — بل هي رسائل النظام. تستخدم جميع الاتصالات بين المستخدم والمستخدم E2E من جانب العميل حصريًا.
📋 سياسة التسجيل
ما نقوم بتسجيله
نحن نؤمن بالكشف عن ما تم تسجيله بالضبط، بدلاً من تقديم مطالبات واسعة النطاق بـ "عدم وجود سجلات".
| فئة | ما تم تسجيله | حفظ |
|---|---|---|
| عناوين IP (التطبيق) | يستخدم تحديد المعدل تجزئة SHA-256 أحادية الاتجاه لعناوين IP. لا يتم تخزين عنوان IP الأولي في قاعدة البيانات. قد تحتوي سجلات الوصول إلى خادم الويب القياسية على عناوين IP مؤقتًا. | مجزأة: مستمرة. سجلات الوصول: يتم تدويرها بانتظام. |
| عناوين IP (الموقع الإلكتروني) | يجمع موقع التسويق (cityofhats.com) تحليلات الزائرين بما في ذلك عنوان IP والموقع الجغرافي التقريبي. هذا منفصل عن تطبيق المراسلة. | غير مرتبط بهوية المراسلة. |
| محتوى الرسالة | لم يتم تسجيل. لا يمكن الوصول إليها. يتم تخزين النص المشفر E2E للتسليم، ثم يخضع لانتهاء الصلاحية الذي يقوم المستخدم بتكوينه. | يتحكم فيها المستخدم (مؤقتات الحرق، انتهاء الصلاحية التلقائي). |
| سجلات الأخطاء/ الأعطال | سجلات الأخطاء من جانب الخادم لتصحيح الأخطاء. تحتوي هذه على أنواع الأخطاء وتتبعات المكدس، وليس محتوى الرسالة. | استدارة بانتظام. |
| أحداث الحد الأقصى للسعر | تم تسجيلها بمعرفات مجزأة لمنع إساءة الاستخدام. لا يوجد محتوى الرسالة. | نافذة المتداول. |
| بيانات الحساب | إذا قمت بتسجيل الدخول باستخدام Auth0 (Google/Apple)، فسيشارك موفر المصادقة الخاص بك بريدًا إلكترونيًا. الحسابات المجهولة (للقبعات فقط) لا تحتوي على بريد إلكتروني مرتبط. | حتى حذف الحساب. |
🔑 إدارة المفاتيح
أين تعيش مفاتيحك
المفاتيح الخاصة لا تترك جهازك أبدًا. هنا هو بالضبط كيفية التعامل مع المواد الرئيسية.
| نوع المفتاح | موقع التخزين | الوصول إلى الخادم |
|---|---|---|
| ECDH المفتاح الخاص | الجهاز فقط (التخزين المحلي للمتصفح) | لم تنتقل أبدا |
| ML-KEM المفتاح السري | الجهاز فقط (التخزين المحلي للمتصفح) | لم تنتقل أبدا |
| Double Ratchet الدولة | الجهاز فقط. Optional encrypted backup to server (encrypted with key derived from private key). | النسخ الاحتياطي المشفر فقط |
| مفاتيح إرسال المجموعة | الجهاز فقط (التخزين المحلي للمتصفح) | لم تنتقل أبدا |
| ECDH المفتاح العام | تم النشر على الخادم لتبادل المفاتيح | مرئية (حسب التصميم) |
| ML-KEM المفتاح العام | تم النشر على الخادم لتبادل المفاتيح | مرئية (حسب التصميم) |
القيود المعروفة: نظرًا لأن هذا تطبيق ويب/PWA، يتم تخزين المفاتيح الخاصة في التخزين المحلي للمتصفح. يعد هذا أمرًا قياسيًا بالنسبة لبرامج المراسلة المشفرة المستندة إلى الويب، ولكنه يعني أن أمان الجهاز (قفل الشاشة، وتشفير القرص بالكامل) أمر بالغ الأهمية. تعمل ميزة PIN الاختيارية على تغليف المفاتيح المخزنة بتشفير مشتق من PBKDF2 لتوفير حماية إضافية.
⚖ الطلبات القانونية
إنفاذ القانون والطلبات القانونية
تأسست شركة City of Hats Inc. في أونتاريو بكندا وتعمل بموجب القانون الكندي.
- ✓ لا يمكننا تقديم محتوى الرسالة. يتم تخزين الرسائل المشفرة E2E كنص مشفر. نحن لا نحمل مفاتيح فك التشفير. حتى لو اضطررنا إلى ذلك بموجب القانون، لا يمكننا فك تشفير الرسائل من مستخدم إلى مستخدم.
- ✓ ما يمكننا تقديمه إذا اضطررنا قانونيًا: رموز القبعة وسجلات زوج القنوات والطوابع الزمنية والمفاتيح العامة والبريد الإلكتروني للحساب (إذا قام المستخدم بتسجيل الدخول باستخدام موفر). هذه هي نفس البيانات التعريفية التي تخزنها أي خدمة مراسلة مشفرة.
- ✓ الحسابات المجهولة تحتوي على الحد الأدنى من البيانات. المستخدمون الذين يقومون بإنشاء حسابات القبعة فقط دون تسجيل الدخول ليس لديهم بريد إلكتروني ولا رقم هاتف ولا معلومات هوية على خوادمنا. رمز القبعة هو المعرف الوحيد.
- ✓ سننشر تقرير الشفافية. نعتزم نشر إحصائيات مجمعة عن الطلبات القانونية الواردة والبيانات المقدمة، بما يتوافق مع القانون المعمول به.
- ✓ كناري الضمان: City of Hats يحتفظ بضمان الكناري. إذا تمت إزالته، فهذا يشير إلى أننا تلقينا أمرًا قانونيًا سريًا.
🛤 خارطة طريق الثقة
ماذا نفعل بعد ذلك
نحن نبني نحو ثقة كاملة يمكن التحقق منها. هذه هي خريطة الطريق العامة لدينا.
صفحة الشفافية الفنية
هذه الصفحة. مواصفات مفصلة وصادقة لما يفعله نظامنا. تم النشر في أبريل 2026.
طبقة التشفير مفتوحة المصدر
سننشر تنفيذ بروتوكول التشفير (Double Ratchet، هجين ما بعد الكم، مفاتيح مرسل المجموعة) كمصدر مفتوح للتحقق المستقل.
التدقيق الأمني المستقل
ستقوم شركة خارجية ذات سمعة طيبة بمراجعة تنفيذ التشفير لدينا. سيتم نشر التقرير الكامل هنا، دون تنقيح.
تقارير الشفافية
تقارير منتظمة عن الطلبات القانونية المستلمة والبيانات التي تم الكشف عنها ووقت تشغيل النظام. نشرت على هذه الصفحة.
🤝 التحقق من ذلك بنفسك
ليس عليك أن تثق بنا
يتضمن City of Hats أدوات مدمجة للتحقق من أن التشفير يعمل كما هو موضح.
- ✓ أرقام الأمان. تعرض كل قناة رقم أمان فريدًا مشتقًا من المفاتيح العامة لكلا الطرفين. قارن خارج النطاق للتحقق من عدم حدوث أي هجوم رجل في الوسط.
- ✓ تنبيهات تغيير المفاتيح. إذا تغيرت مفاتيح تشفير جهة الاتصال (جهاز جديد، إعادة التثبيت)، فستتلقى تنبيهًا. وهذا يمنع استبدال المفتاح الصامت.
- ✓ Audit Log Chain. تستخدم سجلات تدقيق التشفير سلاسل التجزئة بحيث يمكن اكتشاف التلاعب بالسجل.
- ✓ E2E المؤشر. تعرض كل قناة مشفرة رمز قفل مع "E2E" لتأكيد أن التشفير من جانب العميل نشط لتلك المحادثة.
- ✓ مواصفات التشفير المفتوحة. تصميمنا الكامل للبروتوكول — تبادل المفاتيح، Double Ratchet، هجين ما بعد الكم، تشفير المجموعة — يتم نشره علنًا. راجعها بنفسك: github.com/City-of-Hats/coh-crypto-spec
📬 اتصال
أسئلة أو مخاوف؟
إذا كنت باحثًا أمنيًا أو صحفيًا أو لديك أسئلة حول ممارسات الخصوصية لدينا، فنحن نرحب بالمحادثة.
City of Hats Inc. · Toronto، كندا · تأسست في أونتاريو