проблема доверия

Ваши сообщения зашифрованы.
Всё остальное — нет.

Сквозное шифрование защищает то, что вы говорите. Но не то, кому, когда, как часто и как долго вы это говорите. Всё остальное остаётся в открытом виде на сервере.

даже при сквозном шифровании

Им не нужно читать сообщения.
Им хватает остального.

Шифрование скрывает содержимое сообщений. Журнал маршрутизации фиксирует кому, когда, как часто и как долго. Этого журнала достаточно, чтобы реконструировать большую часть жизни.

2026-05-08T19:14:02Z alice → bob [сообщение] 2026-05-08T19:14:08Z alice → carol [сообщение] 2026-05-08T19:14:31Z bob → alice [сообщение] 2026-05-08T19:15:02Z alice → group:design-team [сообщение × 3] 2026-05-08T19:15:47Z carol → alice [сообщение] 2026-05-08T19:16:12Z bob → group:design-team [сообщение] 2026-05-08T19:16:40Z alice → dan [сообщение × 2] 2026-05-08T19:17:08Z dan → alice [сообщение] 2026-05-08T19:17:33Z carol → group:design-team [сообщение] 2026-05-08T19:18:01Z alice → bob [сообщение] 2026-05-08T19:18:44Z bob → carol [сообщение] 2026-05-08T19:19:06Z alice → group:design-team [сообщение] 2026-05-08T19:14:02Z alice → bob [сообщение] 2026-05-08T19:14:08Z alice → carol [сообщение] 2026-05-08T19:14:31Z bob → alice [сообщение] 2026-05-08T19:15:02Z alice → group:design-team [сообщение × 3] 2026-05-08T19:15:47Z carol → alice [сообщение] 2026-05-08T19:16:12Z bob → group:design-team [сообщение] 2026-05-08T19:16:40Z alice → dan [сообщение × 2] 2026-05-08T19:17:08Z dan → alice [сообщение] 2026-05-08T19:17:33Z carol → group:design-team [сообщение] 2026-05-08T19:18:01Z alice → bob [сообщение] 2026-05-08T19:18:44Z bob → carol [сообщение] 2026-05-08T19:19:06Z alice → group:design-team [сообщение]

взгляд оператора

Сервер может закрыть
ваш аккаунт.

ваш аккаунт

в мессенджере

ваши переписки

м. ортис

перенесём ревью на четверг?

14:31

к. танака

ещё один проход по тексту и отгружаем.

12:08

Дж

дж. окафор

самолёт прилетает в девять.

10:47

а. лин

спасибо — на связи.

вчера

л. моро

приду со спекой.

вчера

с. вебер

с днём рождения — до субботы.

2д

консоль оператора

acct_8194активен

acct_8195активен

acct_8196активен

acct_8197 — выактивензаблокирован

acct_8198активен

acct_8199активен

Компания, которая держит сервер, может отключить ваш аккаунт по своему усмотрению. Все ваши переписки — все до одной — перестают быть вашими. И никакой апелляции из приложения не подашь.

что крутится на сервере

Вы доверяете бинарникам, которые
крутятся на сервере. Видеть их вы не можете.

м. ортис

в сети

сегодня

перенесём ревью на четверг?

удобно. приду со спекой.

отлично. в 10?

договорились, в 10.

спасибо.

сообщение

DEPLOY 2026-05-04 14:31 DEPLOY 2026-05-06 09:17 DEPLOY 2026-05-08 11:08 DEPLOY 2026-05-04 14:31 DEPLOY 2026-05-06 09:17 DEPLOY 2026-05-08 11:08

Что работает на сервере — то работает над вами. Исходники не привязаны к тому, что крутится в проде; аудиты невоспроизводимы. Каждый деплой — это новый акт веры.

кому нужно доверять сегодня

Вот скольким сторонам
вы уже доверяете. По умолчанию.

▢компании-разработчику мессенджера

▢его CEO и юристам

▢каждому инженеру с правом деплоя

▢хостинг-провайдеру мессенджера

▢каждому админу каждой группы, в которой вы состоите

▢удостоверяющим центрам, прошитым в вашем телефоне

▢вендору операционной системы

▢любому судебному запросу к любому из них

Шифрование должно было убрать часть из них. Не убрало.

мост

Как математика на самом деле
заменяет доверие.

Три инженерных решения делают всю работу. Ни одно из них не экзотика. Каждое уже крутится в боевой криптографии где-то ещё.

01 · ZK-доказательства членства

Публичный реестр без публичных идентичностей.

Отправитель доказывает «я участник этой группы» прямо в блокчейне, не раскрывая, какой именно. Soroban-контракт проверяет доказательство; для всех остальных — релеера, валидаторов, пассивных наблюдателей — видно лишь, что какой-то участник совершил действие.

Это не скрывает, что действие было, и в какой группе оно произошло.

02 · Релеер платит за транзакции

Вы действуете без пополненного счёта.

Релеер отправляет вашу подписанную Stellar-транзакцию и платит комиссию. Никакого банка, никакого on-ramp, никакого пополненного счёта, привязывающего вас к реальной идентичности.

Релеер видит шифротекст и метаданные соединения. Он не может прочитать сообщения, выдать себя за вас или переписать состояние группы — и его можно заменить.

03 · Идентичность на устройстве

Никакого аккаунта, который можно отключить.

Двенадцать BIP-39 слов, сгенерированных на вашем телефоне. Ключи, контакты и история живут там же. Никакого «аккаунта Onym», который можно было бы заблокировать, выдать или удалить.

Если ваш телефон скомпрометирован, ничто из этого не помогает. Конечные точки остаются конечными точками.

ответ onym

Уберите оператора.
Сделайте общее состояние публичным.

Никакой компании в цепочке. Никакого оператора с правом вас отключить. Каждый слой open source и собирается воспроизводимо из исходников — никакой непрозрачной серверной логики в пути доверия. Состояние группы — в публичном смарт-контракте; сообщения идут через релееры, которые вы можете заменить; идентичность остаётся на вашем устройстве.

Onym защищает от оператора, который захочет вас отключить, пассивного наблюдателя в блокчейне и недобросовестного участника группы. Onym не защищает от глобального наблюдения, скомпрометированного устройства или скриншотов. Полный список — модель угроз.

Посмотреть, как это работает Прочитать модель угроз

Ваши сообщения зашифрованы.Всё остальное — нет.

Им не нужно читать сообщения.Им хватает остального.

Сервер может закрытьваш аккаунт.

Вы доверяете бинарникам, которыекрутятся на сервере. Видеть их вы не можете.

Вот скольким сторонамвы уже доверяете. По умолчанию.

Как математика на самом делезаменяет доверие.