제로 지식

키는 기기에서 생성됩니다. 데이터는 우리 서버가 아닌 귀하의 iCloud로 동기화됩니다. 우리는 귀하의 데이터를 볼 수 없습니다 — 암호화된 것조차.

현대적 암호화

P256 ECDH, ChaCha20-Poly1305, HKDF-SHA256. Apple CryptoKit 구현. 커스텀 암호화 없음.

감사 가능

표준 암호화 프리미티브. Apple의 감사된 CryptoKit. 구현을 검토하세요.

민감한 정보

시간 기록은 위협 데이터입니다

귀하의 타임시트는 적대자들이 원하는 정보를 드러냅니다:

고객명 — 어떤 회사가 보안에 투자하고 있는지 (또는 필요한지)
계약 유형 — "침투 테스트 - 외부 경계," "IR - 랜섬웨어," "컴플라이언스 갭"
취약점 세부 정보 — 수정 전 발견 사항에 대한 메모
프로젝트 타임라인 — 보안 평가가 언제 진행되는지
방법론 — 무엇에 시간을 쓰는지가 접근 방식을 드러냄

"침투 테스트 메모를 평문으로 저장하는 시간 추적기를 사용하지 않을 겁니다. 그런데 왜 고객명과 계약 설명을 그렇게 저장하는 것을 사용하나요?"

암호화, 검토됨

검증하고 싶은 분들을 위해.

키 합의

P-256 (secp256r1) ECDH
- 최초 실행 시 키 쌍 생성
- iOS 키체인의 개인 키
  (가능한 경우 Secure Enclave)
- 파생용 공개 키만

키 파생

HKDF-SHA256 (RFC 5869)
- 도메인: "tenths.encryption.v1"
- 레코드별 32바이트 랜덤 솔트
- 256비트 파생 키

대칭 암호화

ChaCha20-Poly1305 (RFC 8439)
- AEAD 구조
- 256비트 키, 96비트 논스
- 인증 태그가 변조 방지

키 백업

BIP-39 12단어 니모닉
- 표준 단어 목록
- 전체 키 자료 복구
- 하드웨어 지갑 플로우와 호환

전체 암호화 사양

위협 모델

다양한 시나리오에서 귀하의 데이터에 일어나는 일.

시나리오	귀하의 데이터
우리 서버가 침해됨	훔칠 사용자 데이터 없음 — 귀하의 iCloud에 있음
악의적인 직원이 백엔드 접근	접근할 것이 없음 — 귀하의 데이터를 저장하지 않음
정부가 우리 기록에 소환장 발부	제출할 것이 없음 — 귀하의 데이터는 귀하의 CloudKit에 있음
우리 회사가 인수됨	새 소유자는 사용자 데이터를 얻지 못함 — 우리 것이 아니었음

"이것이 귀하가 고객에게 권장하는 아키텍처입니다. 이제 직접 사용하세요."

보안 계약

침투 테스트 및 평가 추적

고객: MegaCorp Industries
├── 건: 외부 침투 테스트 Q1
│   ├── 항목: 정찰 (4.2시간)
│   ├── 항목: 익스플로잇 시도 (6.8시간)
│   └── 항목: 보고서 작성 (3.1시간)
└── 건: 내부 평가 Q2
    ├── 항목: 네트워크 열거 (2.5시간)
    └── 항목: AD 권한 상승 (5.3시간)

빠른 메모 (암호화됨) — "로그인 포털에서 SQLi 발견"
다중 요율 유형 — 평가 vs. 보고서 작성
정액 + 시간당 — 향후 협상을 위한 범위 초과 추적

고객이 보안에 대해 물을 때

기업 고객이 공급업체 보안 설문지를 보냅니다. 시간 추적에 대해 물을 때:

데이터가 저장 시 암호화되나요?

예. 모든 데이터는 저장 또는 동기화 전에 ChaCha20-Poly1305를 사용하여 기기에서 암호화됩니다.

데이터가 전송 시 암호화되나요?

예. iCloud 동기화는 TLS를 사용합니다. 또한 우리 데이터는 전송 전에 종단간 암호화됩니다.

우리 계약 데이터에 누가 접근하나요?

오직 귀하만. 귀하의 데이터는 기기에서 암호화되고 개인 iCloud로 동기화됩니다 — 우리는 볼 수도, 저장하지도, 접근하지도 않습니다.

SOC 2가 있나요?

SOC 2는 회사가 고객 데이터를 어떻게 처리하는지 인증합니다. 우리는 고객 데이터를 전혀 처리하지 않습니다 — 귀하의 기기에서 암호화되고 우리 서버가 아닌 귀하의 iCloud로 동기화됩니다. 감사할 것이 없습니다.

사용 사례

침투 테스터 — 개인 컨설턴트

"연간 20개 이상 고객의 침투 테스트를 합니다. 각 계약에는 무기화될 수 있는 발견 사항이 포함됩니다. 다른 사람이 통제하는 시스템에 그 데이터를 둘 수 없습니다."

해결책: 각 고객을 Tenths에, 각 계약을 건으로. 정찰, 테스트, 보고 시간을 추적하세요. 발견 사항에 대한 메모를 추가하세요 (암호화됨). 고객 목록과 발견 사항이 귀하의 키로 암호화된 상태로 유지됩니다.

보안 법인 — 다수의 컨설턴트

"8명의 컨설턴트가 있습니다. 청구용 시간 추적이 필요하지만 컨설턴트 간 데이터 접근이 있으면 안 됩니다."

해결책: 각 컨설턴트가 자신의 키로 자신의 Tenths 인스턴스를 사용합니다. 통합 청구를 위해 PSA로 시간을 내보내세요. 컨설턴트 기기 간 고객 데이터 공유 접근 없음 — 설계상.

인시던트 대응자 — 대기

"랜섬웨어 인시던트로 새벽 2시에 전화를 받습니다. 보험 상환 청구를 위해 즉시 정확하게 시간을 추적해야 합니다."

해결책: 홈 화면의 위젯. 한 번 탭으로 추적 시작. 누구인지 알게 되면 고객 추가. 인시던트에 대한 메모는 암호화된 상태로 유지. 보험 청구 지원을 위한 상세 타임라인 내보내기.

vCISO — 다수의 고객

"6개 회사의 프랙셔널 CISO입니다. 각 회사는 자신이 유일한 고객이라고 생각합니다. 시간 추적이 완벽해야 합니다."

해결책: 각 회사를 별도 고객으로. 자문 시간, 미팅 시간, 프로젝트 작업을 추적하세요. 고객 B를 위해 일하면서 고객 A의 계약을 노출할 위험 없음. 고객별 별도 청구서 내보내기.

보안을 중시하는 전문가를 위해

무료 버전은 무기한 사용 가능. 더 많은 내보내기가 필요할 때 업그레이드하세요.

무료

아키텍처 체험

✓ 무제한 고객/계약
✓ 전체 종단간 암호화
✓ iCloud 동기화
✓ AI 어시스턴트
✓ 월 1회 내보내기

시작하기

Plus

₩14,000*/월

활발한 컨설팅 실무

✓ 무제한 고객/계약
✓ 전체 종단간 암호화
✓ iCloud 동기화
✓ AI 어시스턴트
✓ 무제한 내보내기

무료 체험 시작

*가격은 현지 통화로 표시됩니다. 실제 가격은 App Store에서 결정되며 환율에 따라 변동될 수 있습니다.

기술 FAQ

암호화 구현을 감사할 수 있나요?

모든 암호화 작업에 Apple의 CryptoKit을 사용합니다 — 커스텀 암호화 없음. 구현은 표준 패턴을 따릅니다. 보안 연구자 검토에 열려 있습니다.

Apple에 CryptoKit 취약점이 있으면?

CryptoKit은 감사되고, 하드웨어 가속되며, Apple 보안 팀이 유지하기 때문에 사용합니다. 취약점이 발견되면 OS와 함께 업데이트합니다. 이것이 자체 암호화를 만드는 것보다 낫습니다.

데이터가 iCloud에 있나요?

암호화된 데이터가 CloudKit을 통해 개인 iCloud 계정으로 동기화됩니다. 우리는 볼 수 없습니다. Apple은 귀하의 개인 CloudKit 컨테이너에서 암호문만 봅니다. 귀하의 데이터는 우리 서버를 거치지 않습니다.

셀프 호스팅할 수 있나요?

아니요. 하지만 필요 없습니다 — 어차피 귀하의 데이터에 접근할 수 없습니다. 셀프 호스팅은 우리가 서버 인프라를 구축하고 귀하가 유지해야 합니다. 우리 아키텍처가 그것을 불필요하게 만듭니다.

API 접근이 있나요?

현재 없습니다. API 접근은 귀하의 데이터로 요청을 처리해야 하며, 이는 제로 지식 모델과 충돌합니다. 통합을 위해 CSV/Excel로 내보내세요.

기준	Tenths	일반 도구
키 관리	클라이언트 측만	서버 측
암호화	종단간 (기기에서)	저장 시 (서버)
공급업체 접근	제로 지식	전체 접근
침해 영향	우리 서버에 사용자 데이터 없음	평문 노출
암호화 표준	P256 + ChaCha20	알 수 없음/AES

자체 감사를 통과하는 시간 추적