obsyncian* ENCRYPTION
← obsyncian.com

How Obsyncian encrypts your vault Как Obsyncian шифрует твой vault

When you link a vault, you choose one of two modes. This page explains exactly what each protects — and what it doesn't. При подключении vault'а ты выбираешь один из двух режимов. Здесь честно расписано, от чего защищает каждый — и от чего нет.

🔐 End-to-end encrypted (recommended) 🔐 Сквозное шифрование — E2EE (рекомендуем)

Set an encryption passphrase when linking your vault. Note contents and file names are encrypted on your device with AES-256-GCM before upload; the key is derived from your passphrase (PBKDF2, 600,000 iterations) and never leaves your device. Our servers and storage only ever see ciphertext and random identifiers. Nobody — not us, not our storage provider — can read your notes.

Задай пассфразу при подключении vault'а. Содержимое заметок и имена файлов шифруются на твоём устройстве (AES-256-GCM) до отправки; ключ выводится из пассфразы (PBKDF2, 600 000 итераций) и никогда не покидает устройство. Наши серверы и хранилище видят только шифротекст и случайные идентификаторы. Никто — ни мы, ни хостинг хранилища — не может прочитать твои заметки.

📄 Unencrypted 📄 Без шифрования

Skip the passphrase and your notes are stored as-is. They're still protected in transit (TLS) and at rest on disks (our storage provider encrypts all stored objects), but people with access to the storage — meaning us, and Cloudflare as infrastructure — could technically read them. Choose this only if convenience matters more than confidentiality, e.g. for a test vault.

Пропусти пассфразу — и заметки хранятся как есть. Они всё равно защищены в передаче (TLS) и на дисках (провайдер хранилища шифрует все объекты), но те, у кого есть доступ к хранилищу — то есть мы и Cloudflare как инфраструктура — технически могут их прочитать. Выбирай этот режим, только если удобство важнее конфиденциальности, например для тестового vault'а.

01

Every layer, honestly Все слои, честно

LayerStatusWhat it means
End-to-end (your passphrase)optional, your choiceContents + file names unreadable to anyone but you. The only layer that protects your data from us.
In transitalwaysTLS on every connection — to our API and to storage.
At rest in storagealwaysCloudflare R2 encrypts all stored objects on its disks (AES-256). Protects against physical disk theft, not against whoever holds storage access.
Sync metadatanot encryptedYour account identity, vault count, file counts and sizes, sync timestamps are visible to us in any mode — we need them to run quotas and sync. In E2EE mode even we can't see file names, only sizes.
СлойСтатусЧто это значит
Сквозное (твоя пассфраза)опционально, твой выборКонтент + имена файлов не может прочитать никто, кроме тебя. Единственный слой, защищающий данные от нас.
В передачевсегдаTLS на каждом соединении — и к API, и к хранилищу.
В хранилище (at rest)всегдаCloudflare R2 шифрует все объекты на своих дисках (AES-256). Защищает от физической кражи диска, но не от того, у кого есть доступ к хранилищу.
Метаданные синкане шифруютсяТвоя учётка, количество vault'ов, количество и размеры файлов, время синка видны нам в любом режиме — это нужно для квот и работы синка. В режиме E2EE даже мы не видим имена файлов — только размеры.
02

Connecting an encrypted vault on a new device Подключение E2EE vault'а на новом устройстве

  1. Install the plugin and log in (Telegram code or email).
  2. Enter the same passphrase in the passphrase field.
  3. Pick your vault under "Existing vaults" — the plugin verifies your passphrase locally against a check value before syncing anything. A wrong passphrase fails immediately and clearly; nothing is downloaded or corrupted.
  1. Установи плагин и войди (код из Telegram или email).
  2. Введи ту же пассфразу в поле пассфразы.
  3. Выбери свой vault в "Existing vaults" — плагин локально сверит пассфразу с проверочным значением до начала синка. Неверная пассфраза сразу и явно откажет; ничего не скачается и не испортится.

The passphrase itself is never sent to the server — the server stores only a derived check value that lets your device verify it, not recover it.

Сама пассфраза никогда не отправляется на сервер — сервер хранит только производное проверочное значение, по которому устройство может её проверить, но не восстановить.

If you lose your passphrase, your synced data is unrecoverable — by us or anyone. That's the honest cost of real end-to-end encryption: there is no reset, no backdoor, no "support can help". Your local files stay untouched, so you can always relink with a new passphrase and re-sync. Потеряешь пассфразу — синхронизированные данные не восстановит никто, включая нас. Это честная цена настоящего E2EE: нет ни сброса, ни бэкдора, ни «поддержка поможет». Локальные файлы останутся нетронутыми — всегда можно перелинковать vault с новой пассфразой и пересинкать.
03

Questions we get Частые вопросы

Can I turn encryption on later? Not in place — encryption is chosen when a vault is created. To switch: unlink, create a new vault with a passphrase, let it re-sync, delete the old one.

Можно включить шифрование позже? Не на месте — режим выбирается при создании vault'а. Чтобы перейти: отвяжи vault, создай новый с пассфразой, дождись пересинка, удали старый.

What about shared vaults? The passphrase travels person-to-person: the owner shares it with collaborators directly (we never see it, so we can't pass it along). Everyone enters the same passphrase.

А общие vault'ы? Пассфраза передаётся из рук в руки: владелец сообщает её соавторам напрямую (мы её не видим и передать не можем). Все вводят одну и ту же пассфразу.

Is the encryption code auditable? Yes — the plugin is open source, including all crypto code (WebCrypto: PBKDF2 + AES-256-GCM, a random nonce per file version).

Можно проверить код шифрования? Да — плагин открыт, включая весь крипто-код (WebCrypto: PBKDF2 + AES-256-GCM, случайный nonce на каждую версию файла).