Récupération sociale
Ne perdez jamais l'accès, et faites en sorte que les bonnes personnes le puissent. Keeplas divise votre clé maître en fragments chiffrés répartis entre des contacts de confiance — un quorum peut restaurer votre Vault, mais aucune personne seule ne le peut jamais.
Les garanties cryptographiques
- Shamir Secret Sharing. Votre clé maître est divisée en 5 fragments. Un seuil que vous choisissez (2 sur 5 par défaut) peut la reconstruire.
- Enveloppe post-quantique. Chaque fragment est enveloppé par ML-KEM-768 (NIST FIPS 203), pour qu'il reste scellé même face aux futures attaques quantiques.
- Reconstruit sur l'appareil. La récupération se fait sur les appareils de vos contacts. Keeplas ne voit jamais un fragment brut ni votre clé reconstruite.
- Aucun risque de collusion. En dessous du seuil, les fragments ne révèlent rien. Même Keeplas et un contact seul ne peuvent pas ouvrir votre Vault.
Comment fonctionne la récupération
- Invitez des contacts de confiance. Ajoutez des personnes en qui vous avez confiance par e-mail ou téléphone. Elles confirment et reçoivent un fragment chiffré lié à leur appareil.
- Choisissez votre seuil. Choisissez combien de contacts doivent coopérer — 2 sur 5 par défaut. Plus bas est plus facile ; plus haut résiste mieux à la collusion.
- Les fragments sont distribués. Keeplas exécute Shamir localement sur votre appareil, enveloppe chaque fragment par ML-KEM-768, et envoie un fragment par contact. Les fragments en clair n'existent jamais en dehors de la mémoire.
- Quand la récupération est nécessaire, les contacts autorisent la requête depuis leurs appareils. La valeur du seuil en fragments déballés reconstruit la clé maître — sur un appareil, pas sur le serveur.
Choisir un seuil
| Seuil | Friction de récupération | Résistance à la collusion |
|---|---|---|
| 2 sur 5 | La plus faible | La plus faible |
| 3 sur 5 | Modérée | Plus forte |
| 4 sur 5 | Élevée | La plus forte |
2 sur 5 est la valeur par défaut parce qu'elle rend la récupération réellement faisable lors d'un moment stressant. Si vous pouvez choisir cinq personnes qui ne colluderaient pas contre vous, c'est un bon point de départ. Passez à 3 sur 5 si certains de vos cinq contacts sont liés par le même foyer, employeur, ou juridiction.
Choisir les contacts
Les bons contacts partagent trois traits :
- Joignables — ils décrocheront le téléphone ou regarderont leur e-mail en quelques jours.
- Dignes de confiance dans votre modèle de risque spécifique — pas seulement dignes de confiance en général, mais dans les modes d'échec qui vous inquiètent réellement.
- Diversifiés géographiquement ou socialement — cinq contacts sur le même disque dur défait l'objectif.
Vous pouvez tourner les contacts à tout moment. Retirer un contact invalide son fragment immédiatement ; sa part de la clé est régénérée et re-distribuée.
Ce que les contacts peuvent et ne peuvent pas faire
Ils peuvent : participer à un flux de récupération que vous (ou Life Check) avez initié ; leur appareil déballe leur fragment et contribue à la reconstruction.
Ils ne peuvent pas : lire votre Vault, voir les fragments d'autres contacts, voir le contenu d'aucun élément, ou initier une récupération par eux-mêmes. En dessous du seuil, leur fragment est mathématiquement inutile.