Конфиденциальные записки
со сквозным шифрованием

В Тайге используется сквозное шифрование (E2EE): записка шифруется и подписывается у вас в браузере до отправки на сервер. Сервер получает только зашифрованный блок (CipherText) и метаданные (IV, открытые ключи), но никогда не видит исходный текст или ключи расшифровки. Ключи передаются вторым каналом вместе с ссылкой в открытом или зашифрованном виде, в зависимости от настроек.

Шифрование реализуется через ГОСТ Р 34.12-2018 (Кузнечик) в режимах CTR/OFB/CBC/CFB/CTR-ACPKM, с опциональным добавлением AES-256 поверх.

Для шифрования ссылки отправитель генерирует эфемерный ключ и вырабатывает общий ключ с получателем в соответствии с ГОСТ Р 34.10-2018 и Р 1323565.1.020-2018. При шифровании паролем используется Р 50.1.111-2016 (PBKDF2) с хэш-функцией ГОСТ Р 34.11-2018 (Стрибог) и динамичным количеством итераций.

Ключ шифрования не попадает и не хранится на сервере — сервер является только хранилищем шифротекстов. Поэтому открыть чужую записку по ID без ключа невозможно.

Одноразовые записки: после первого прочтения они автоматически удаляются с сервера. Повторно открыть ту же записку нельзя.

Обычные записки: хранятся до тех пор, пока вы сами их не удалите или пока не истечёт срок хранения (настраивается администратором).

Тайга использует адаптивную CAPTCHA, основанную на доказательстве работы (Proof-of-Work) с криптографическим хэшем ГОСТ Р 34.11-2018 (Стрибог). Сервер генерирует случайную строку и отправляет её клиенту как задачу. Клиент должен найти такую строку, чтобы первые 10 битов хэша были нулями. Сложность растёт при повторных неудачах с одного IP-адреса. Это делает спам и автоматический перебор вычислительно затратным, но для пользователя выполняется незаметно и практически мгновенно.

Блоковые шифры: ГОСТ Р 34.12-2018 (Кузнечик) — официальный российский стандарт с поддержкой режимов ECB, CTR, OFB, CBC, CFB, CTR-ACPKM;
AES-256 — как опциональное шифрование поверх Кузнечика.
Хэширование: ГОСТ Р 34.11-2018 (Стрибог) на 256 и 512 бит, используется для MAC, PBKDF2, KDF.
Классический XOR с ключом больше открытого текста.
Выбор обусловлен требованиями российского законодательства и сертификации ФСТЭК/ФСБ — все компоненты включены в реестр российских криптографических средств.

Ключи не хранятся сервером. Доступ к записке — это владение секретом (ссылка, а также дополнительно пароль, WebAuthn аутентификатор, RuToken-ключ или мнемоника). Реализованы три уровня надёжности:
Простая доставка — получателю понадобится ссылка с ключом;
Пароль — получателю понадобится пароль и ссылка;
Шифрование сертификатом — получателю понадобится закрытый ключ от сертификата, которым зашифрована ссылка и ссылка.
Важно: если вы потеряете пароль, ключ или мнемонику — восстановить доступ невозможно — даже разработчики Тайги не могут помочь.

Да, Тайга не ограничена текстом. Вы можете загрузить любой файл (по умолчанию до 100 Мб в сжатом виде) или передать сертификаты для аутентификации через интерфейс "Мои ключи". Файлы шифруются как двоичный объект с применением Кузнечик. При прикреплении файлов происходит сжатие всех прикреплённых файлов для оптимизации хранилища.

Многоуровневая защита: весь HTML-контент изолирован в безопасной среде, скрипты отключены. Markdown-разметка рендерится в чистый HTML без возможности выполнения вредоносного кода. Ссылки на внешние изображения блокируются — разрешены только безопасные протоколы.