Onym · Модель угроз ← Назад
v0.0.1 · меняется · 2026-05-08

Модель угроз.
Честно про то, что мы можем и не можем защитить.

Приватный продукт честен ровно настолько, насколько честна его модель угроз. На этой странице перечислены противники, которым Onym сопротивляется по построению, противники, которым нет, и что Onym гарантирует против каждого, а что — нет.

Если в других местах сайта что-то расходится с этим документом — прав документ, а текст на странице — нет. Сообщайте на lead@onym.app.

Где живёт доверие

То, что традиционный мессенджер держит внутри одного сервера, Onym переносит на небольшой набор заменяемых, в основном слепых сторон. Те же шесть категорий данных существуют и так, и так; меняется лишь то, кто их видит.

Традиционный мессенджер
один хранитель
USER device keys · ui CUSTODIAN single operator cleartext accounts db message store social graph KILL SWITCH
Оператор видит плейнтекст граф аккаунтов историю
Оператор может отключить аккаунт читать сообщения
Onym
три стороны · каждая слепа
DEVICE keys history plaintext RELAYER ciphertext + timing SOROBAN commitments governance public stellar ledger · observable
Релеер видит шифротекст ip · тайминг
Контракт держит обязательства правила управления
Реестр показывает вызовы · счётчики · тайминг

Как читать этот документ

Onym — групповой мессенджер со сквозным шифрованием, в котором состояние группы живёт в публичном реестре (Stellar / Soroban), а релеер платит за on-chain комиссии — пользователю не нужен пополненный счёт. Идентичность создаётся и хранится на устройстве; связи одной идентичности с другой опосредуются ZK-доказательствами членства в группе.

Эта архитектура убирает целый класс атак (один оператор с правом вас отключить; сервер, держащий плейнтекст или восстанавливаемый социальный граф). Но она не убирает любую атаку. Список ниже — то, что архитектура, по нашему мнению, действительно обеспечивает, написанное настолько прямо, насколько у нас получилось.

Противники

«В сфере охвата» означает, что мы делаем явные гарантии и проектируем против этого противника. «Частично» — что часть атак из этой категории мы отбиваем, а часть нет. «Вне охвата» — что защиту мы не заявляем, и вы должны понимать почему, прежде чем доверять Onym в этом случае.

Полностью отбит Частично Вне охвата
в охвате
частично
вне охвата
Оператор релеерав охвате
Видит только шифротекст и тайминг. Не может читать, выдавать себя за вас или отключить — заменяем по желанию.
Недобросовестный участник группыв охвате
Читает то, что ему доступно; не может выдать себя за другого, выйти за роль или переписать историю группы вне правил управления.
Пассивный наблюдатель в блокчейнев охвате
Видит вызовы и обязательства в блокчейне; не может связать on-chain идентичность с человеком или прочитать содержимое.
Активный наблюдатель + таймингчастично
Сопоставление одного события отбито; долгое пересечение по неделям — нет.
Валидаторы Stellarчастично
Не могут читать содержимое или подделывать подписи; могут отказать во включении, видеть IP, в крайнем случае — перестроить консенсус.
Глобальное пассивное наблюдениевне охвата
Нет паддинга, перемешивания и cover-трафика. Глобальная корреляция по таймингам ломает Onym сам по себе.
Противник на устройствевне охвата
Скомпрометированная конечная точка, malware ОС, запись экрана. Сквозное шифрование заканчивается на концах.
Квантовый противникв будущем
Сегодня доквантовые примитивы (BLS, secp256k1, Ed25519, X25519). Постквантовая миграция — план, а не защита.
  1. Оператор релеера · в охвате
    Видит шифротекст и тайминг. Не может читать, выдавать себя за вас или отключить.
  2. Недобросовестный участник группы · в охвате
    Не может выдать себя за другого, выйти за роль или переписать историю вне правил.
  3. Пассивный наблюдатель в блокчейне · в охвате
    Не может связать on-chain идентичность с человеком или прочитать содержимое.
  4. Активный наблюдатель + тайминг · частично
    Сопоставление одного события отбито; долгое пересечение — нет.
  5. Валидаторы Stellar · частично
    Не могут читать содержимое; могут отказать во включении, видеть IP.
  6. Глобальное пассивное наблюдение · вне охвата
    Нет паддинга, перемешивания и cover-трафика.
  7. Противник на устройстве · вне охвата
    Сквозное шифрование заканчивается на концах.
  8. Квантовый противник · в будущем
    Сегодня доквантовые примитивы; постквантовая миграция в плане.
Оператор релеера
В охвате

Релеер — сервис, который отправляет подписанные пользователем Stellar-транзакции и платит за комиссии. Он видит шифротекст и метаданные соединения. Мы проектируем, исходя из того, что он недоверенный, возможно злонамеренный и возможно ведёт логи.

Недобросовестный участник группы
В охвате

Любой принятый в группу имеет право читать сообщения этой группы. Мы проектируем против того, чтобы он получал возможности вне правил управления группы — выдачу себя за другого, переписывание истории, превышение роли.

Пассивный наблюдатель в блокчейне
В охвате

Любой, кто читает публичный реестр Stellar. Реестр публичен по построению — групповые операции видны, но они не должны напрямую идентифицировать, какой человек контролирует какую on-chain идентичность.

Активный наблюдатель в блокчейне с анализом тайминга
Частично

Наблюдатель, следящий за реестром и сопоставляющий с другими сигналами (логи релеера, сетевые зонды, тайминг публикации в магазинах). Мы отбиваем сопоставление одного события, но не атаки длительного пересечения по неделям.

Валидаторы Stellar / сетевые провайдеры
Частично

Валидаторы, упорядочивающие и подтверждающие транзакции, и провайдеры, переносящие пакеты. Содержимое сообщений они читать не могут. Они могут отказаться включать транзакции, видеть ваш IP и (в крайнем случае) сговориться, чтобы перестроить консенсус.

Государство с глобальным пассивным наблюдением
Вне охвата

Противник, способный наблюдать большую часть или весь интернет-трафик в мире и проводить долгую корреляцию по таймингам. Чтобы это победить, нужны Tor-подобное перемешивание, паддинг и cover-трафик — чего Onym сейчас не делает.

Противник на устройстве
Вне охвата

Скомпрометированный телефон, malware на уровне ОС, запись экрана, враждебная клавиатура, jailbreak. Сквозное шифрование заканчивается в конечных точках; если конечная точка взята — взяты и сообщения.

Будущий квантовый противник
Вне охвата (сегодня)

Onym использует доквантовые примитивы (BLS12-381, secp256k1, Ed25519, X25519). Криптографически релевантный квантовый компьютер их сломает. Миграция на постквантовые примитивы — работа на будущее, а не защита сегодня.

Гарантии по противникам

Для каждого in-scope противника — что Onym гарантирует и что нет. Колонки «не может» важны не меньше колонок «гарантирует».

Против оператора релеера

Что он не может

  • Прочитать плейнтекст сообщений. Сообщения зашифрованы между участниками сквозным образом; релеер видит только шифротекст.
  • Выдать себя за пользователя в блокчейне. Stellar-транзакции подписываются на устройстве; релеер не может подделать подпись.
  • Переписать состояние группы. Управление группой — это Soroban-контракт; релеер не имеет права действовать в нём.
  • Окончательно отключить вас. Транспорт открытый; пользователи могут менять релееры, поднимать свои или использовать сразу несколько.

Что он всё ещё может видеть или делать

  • Метаданные соединения: ваш IP, время подключения, размер сообщения, частоту, адрес контракта, на который идёт транзакция.
  • Отказаться передавать ваши транзакции. Один релеер может отказать одному пользователю; рекурс — сменить релеер.
  • Профилировать пользователя со временем, если тот всегда ходит через один и тот же релеер с одного и того же IP без ротации.
  • Сопоставлять тайминг передачи шифротекста с таймингом подтверждения on-chain для отправленных им транзакций.

Против недобросовестного участника группы

Что он не может

  • Расшифровать сообщения групп, в которых он не состоит.
  • Выдать себя за другого участника внутри группы. Каждое сообщение подписано пер-групповым ключом отправителя.
  • Превысить роль, выданную контрактом управления группой. Права принятия, исключения и публикации проверяются в блокчейне.
  • Тихо переписать историю группы за рамки того, что разрешает управление.

Что он всё ещё может

  • Читать всё, что отправлено в группу, пока он её участник. Сквозное шифрование — между конечными точками, включая его.
  • Сделать скриншот, переписать или иным образом утечь содержимое out-of-band. Криптография не защищает от добровольного раскрытия.
  • Видеть полный список участников группы (свойство группового чата, не баг).
  • Прощупать анонимность отправителя в маленькой группе. ZK-доказательства скрывают, кто из участников отправил сообщение; в группе из трёх человек пространство поиска маленькое.

Против пассивного наблюдателя в блокчейне

Что он не может

  • Прочитать плейнтекст. Никакой плейнтекст никогда не попадает в блокчейн.
  • Идентифицировать человека за on-chain идентичностью только из блокчейна. Идентичности по построению развязаны с реальным миром.
  • Сказать, какой именно участник группы инициировал данную групповую операцию, когда вместо идентификатора участника используется ZK-доказательство.

Что он всё ещё видит

  • Что группа существует. Что произошла операция. Когда. Как часто.
  • Сколько участников в группе, в небольшом диапазоне, по операциям членства.
  • Какие on-chain идентичности транзаговали с какими другими, даже если ни одна не привязана к реальному имени.

Против активного наблюдателя в блокчейне (с таймингом)

Что ему сложно сделать

  • Связать одиночную on-chain операцию с конкретным реальным пользователем только из блокчейна.
  • Снять анонимность отправителя в достаточно большой группе при использовании ZK-доказательств.

Что он может, имея время

  • Сопоставить активность Onym с конкретным IP, если он сам держит релеер или принуждает его держателя.
  • Запустить атаки пересечения. Если конкретный пользователь онлайн в одну и ту же минуту каждый день и групповая операция случается только в эти минуты — за недели пользователь и группа связываются.
  • Наблюдать всплески активности, изменения размера группы и события управления как профиль использования, даже без идентификации.

Против валидаторов Stellar / сетевых провайдеров

Что они не могут

  • Прочитать содержимое сообщений. Никакого плейнтекста нет ни в блокчейне, ни в полёте.
  • Подделать подписи или поменять правила управления. Soroban-контракты — неизменяемый код, исполняемый всеми валидаторами.

Что они могут

  • Отказаться включать транзакции, замедляя или отказывая в доставке для конкретных аккаунтов.
  • Наблюдать сетевые паттерны на уровне трафика (провайдеры); знать, что ваш IP транзагует со Stellar.
  • В крайнем случае: сговориться, чтобы перестроить или форкнуть сеть. Это свойство использования Stellar в принципе, а не Onym конкретно.

От чего Onym не защищает

Парадоксально, но именно этот раздел даёт больше доверия, чем любое позитивное утверждение. Лучше быть узким, чем неправым. Шесть категорий угроз живут вне периметра Onym. Диаграмма ниже их называет; текст после — раскрывает каждую.

Вне периметра не заявляется · не защищается
01 · сеть
Глобальное пассивное наблюдение

Тайминг, объём и IP-метаданные видны любому на сетевом пути. Onym не делает паддинг, не перемешивает и не маршрутизирует через Tor.

02 · конечная точка
Скомпрометированное устройство

Malware, jailbreak, запись экрана или изъятие с разблокированным экраном. Сквозное шифрование заканчивается на концах.

03 · социальное
Утечка вне канала

Участник группы может сделать скриншот, переписать или пересказать прочитанное. Криптография — не соглашение о неразглашении.

04 · вендор
Слежка вендора ОС

Apple, Google и производитель вашего железа имеют привилегированный доступ. Они — не противники Onym; они часть вашей конечной точки.

05 · физическое
Принуждение вас

Гаечный ключ дешевле ключа криптографического. Мы защищаем от противника, который не может принудить вас лично; не от того, кто может.

06 · будущее
Квантовый противник

Доквантовые примитивы (BLS, secp256k1, Ed25519, X25519). Релевантный квантовый компьютер их сломает. Постквантовая миграция — в плане.

  • Анализ трафика на сетевом уровне. Тайминг, объём и IP-метаданные видны любому, кто держит релеер или сидит на сетевом пути. Onym не делает паддинг сообщений, не перемешивает трафик и не маршрутизирует через Tor. Если в вашей модели угроз — глобальный пассивный наблюдатель, одного Onym недостаточно.
  • Утечка размера группы и факта существования группы в блокчейне. Групповые операции публичны. Наблюдатель видит, что у группы X примерно N участников и примерно M операций в день, даже если он не может прочитать содержимое или идентифицировать участников.
  • Скомпрометированная конечная точка. Если ваш телефон скомпрометирован — malware, jailbreak, запись экрана или изъятие с разблокированным экраном — Onym не поможет. Сквозное шифрование заканчивается на концах.
  • Утечка вне канала. Участник группы может сделать скриншот, переписать или пересказать прочитанное. Криптография — не соглашение о неразглашении.
  • Слежка вендора ОС. Apple, Google и производитель железа имеют привилегированный доступ к вашему устройству. Они — не противники Onym; они часть вашей конечной точки.
  • Отказ в обслуживании одного релеера. Если у вас настроен только один релеер и он лёг или вам отказал — вы офлайн до тех пор, пока не смените. Onym устойчив к цензуре в совокупности, не в любом одном соединении.
  • Статистическая деанонимизация в крошечных группах. ZK-доказательства подтверждают «отправил кто-то из участников», не уточняя кто. В группе из трёх внешняя догадка имеет базис «один из трёх». Приватность в маленьких группах — функция размера, а не криптографии.
  • Квантовые противники (сегодня). Наши примитивы доквантовые. Будущий криптографически релевантный квантовый компьютер их сломает. Миграция на постквантовые примитивы — в плане; в проде её нет.
  • Принуждение вас. Гаечный ключ дешевле ключа криптографического. Мы защищаем от противника, который не может принудить вас лично; от того, кто может, мы вас не защищаем.

Что мы имеем в виду, говоря «никакого оператора с правом вас отключить»

Эту формулировку вы встретите по всему сайту. Она у́же, чем «никакого сервера, которому надо доверять» — так мы говорили раньше. Узкое утверждение — это то, что мы можем защищать.

Оно означает: ни одна сторона — ни Onym, ни оператор релеера, ни хостинг-провайдер — не может в одностороннем порядке отключить ваш аккаунт, забрать у вас разговоры или отлучить вас от платформы. Идентичность — на вашем устройстве. Правила группы — в публичном реестре. Транспорт — открытый и заменяемый. Удаление любой одной стороны из системы не лишает вас доступа; вы её просто заменяете.

Это не значит, что серверов нет. Релееры — это серверы. Валидаторы Stellar — это серверы. Провайдеры — это серверы. Они видны в этой модели угроз и честно учтены выше.

Как меняется этот документ

Это v0.0.1. Где-то он будет неправ — и мы пока этого не заметили. Когда мы находим дефект, мы обновляем эту страницу, бампим версию и связываем изменение с changelog. Мы не правим тихо.

Если вы исследователь безопасности, прочитали это и нашли пробел — пишите на lead@onym.app. Раскрытие, улучшающее эту страницу — самое полезное раскрытие, которое бывает.

v0.0.1 · 2026-05-08 · текст под MIT, как и весь проект