Et detaljeret kig på, hvordan vi sikrer, at dine data kun kan læses af dig.
Ikke en politik — en matematisk egenskab.
Hver byte på vores servere er forseglet med en nøgle, der aldrig forlader din enhed — og intet når din bank, før du låser den op. Backenden gemmer kun ciphertext og offentlige nøgler.
Et ECDH P-256-nøglepar genereres i din browser via Web Crypto API. Den private nøgle pakkes med din adgangssætning (PBKDF2) og gemmes i IndexedDB — den forlader aldrig din enhed.
Backenden modtager kun den offentlige nøgle — nok til at kryptere data til dig, men matematisk ubrugelig til at dekryptere dem.
Under en synkronisering, du selv godkender, henter backenden fra din bank og forsegler straks hver konto og transaktion med din offentlige nøgle (ephemeral ECDH P-256 + HKDF-SHA256 + AES-256-GCM) — ciphertext den kan skrive, men aldrig læse.
Intet gemmes i klartekst — heller ikke bankens sessionstoken. Hver post er blot en envelope: ephemeral offentlig nøgle, nonce og ciphertext.
Kun tre ting ligger på vores servere — og ingen af dem kan afsløre dine bankdata.
Gemmes aldrig: bankdata i klartekst. Vi gemmer kun ciphertext, vi ikke kan dekryptere.
Du henter ciphertext og dekrypterer lokalt. Browseren og den headless S2S-klient kører samme kodesti, så de kryptografiske garantier er identiske.
Selv bankens sessionstoken er krypteret med din nøgle. En synkronisering kører kun, mens du er til stede med din nøgle låst op: dekryptér sessionen → hent fra banken → genkryptér resultaterne → slet al klartekst.
Ingen tavse jobs, ingen stående adgang — uden din oplåste nøgle kan vi ikke hente noget fra din bank.
Server-til-server
Eksportér din private nøgle (JWK eller PKCS#8) og provisionér den i din egen infrastruktur. Den headless S2S-klient bruger samme dekrypteringssti som browseren, og nøglen forlader aldrig systemer, du selv kontrollerer.
Eksport kræver en udtrykkelig bekræftelse fra dig. Nøglen kan kun trækkes ud, når du bekræfter — i normal drift ligger den lokale nøgle låst i din browser.