Technical Whitepaper Technisches Whitepaper

Abstract: The Doctrine of NescienceAbstract: Die Doktrin der Unkenntnis

SecureMessenger defines a new standard in Infrastructure Neutrality. By utilizing a "Double-Blind" relay architecture, the service provider is physically and mathematically excluded from the data lifecycle. The app utilizes hardware-backed encryption anchoring and scorched-metadata protocols to ensure that even under physical inspection, the vault remains a silent witness. SecureMessenger definiert einen neuen Standard in der Infrastrukturneutralität. Durch eine „Double-Blind“-Relay-Architektur wird der Dienstanbieter physisch und mathematisch aus dem Datenlebenszyklus ausgeschlossen. Die App nutzt hardwaregestützte Verschlüsselungsverankerung und Scorched-Metadata-Protokolle, um sicherzustellen, dass der Tresor selbst bei physischer Inspektion ein stummer Zeuge bleibt.

1. Identity & Entropy LayerIdentitäts- & Entropie-Ebene

• BIP39 Sovereign Seeds: Identity is founded on 256-bit entropy represented as a 12-word recovery phrase. No emails, phone numbers, or PII are collected. BIP39 Souveräne Seeds: Die Identität basiert auf einer 256-Bit-Entropie, die als 12-Wörter-Recovery-Seed dargestellt wird. Es werden keine E-Mails, Telefonnummern oder PII erhoben.
• HMAC-SHA256 Routing IDs: Human usernames are salted with a 512-bit quantum-resistant hash locally on the device. The server only recognizes these 64-character Routing IDs, maintaining a total lack of linkability to a natural person. HMAC-SHA256 Routing-IDs: Benutzernamen werden lokal auf dem Gerät mit einem 512-Bit quantenresistenten Hash gesalzen. Der Server erkennt nur diese 64-stelligen Routing-IDs, wodurch keinerlei Verknüpfbarkeit zu einer natürlichen Person besteht.

2. Cryptographic Ratcheting LayerKryptografische Ratcheting-Ebene

• Signal Double Ratchet: Every message utilizes a unique, rotating AES-256 key. Perfect Forward Secrecy (PFS) ensures that compromise of a single key provides zero access to past or future traffic. Signal Double Ratchet: Jede Nachricht verwendet einen eindeutigen, rotierenden AES-256-Schlüssel. Perfect Forward Secrecy (PFS) stellt sicher, dass die Kompromittierung eines einzelnen Schlüssels keinen Zugriff auf vergangene oder zukünftige Daten ermöglicht.
• Signed PreKey Rotation: Clients automatically rotate identity signatures and PreKey bundles every 48 hours, preventing long-term session analysis. Signed PreKey Rotation: Clients rotieren automatisch alle 48 Stunden Identitätssignaturen und PreKey-Bundles, was langfristige Sitzungsanalysen verhindert.

3. Transport & Relay Layer (Blind Relay)Transport- & Relay-Ebene (Blind Relay)

• Zero IP Protocol: The Ktor-based Netty relay is configured for Instant Metadata Discard. Incoming IP addresses are processed in volatile RAM and immediately overwritten. No connection logs, timestamps, or geolocation metadata are maintained. Zero-IP-Protokoll: Das Ktor-basierte Netty-Relay ist für Instant Metadata Discard konfiguriert. Eingehende IP-Adressen werden im flüchtigen RAM verarbeitet und sofort überschrieben. Es werden keine Verbindungsprotokolle, Zeitstempel oder Geolokalisierungs-Metadaten geführt.
• Stateless WebSocket Relay: The backend acts as a mere conduit. Messages are pushed to active sessions via RAM-to-RAM delivery. Undelivered messages are subject to a 24-hour hardware-level TTL purge. Zustandsloses WebSocket-Relay: Das Backend agiert als reiner technischer Durchleiter. Nachrichten werden über RAM-zu-RAM-Zustellung an aktive Sitzungen gepusht. Nicht zugestellte Nachrichten unterliegen einer 24-Stunden-TTL-Löschung auf Hardware-Ebene.

4. The Handshake Protocol (v10.7)Das Handshake-Protokoll (v10.7)

• Temporary Invite Codes: Trust is established via short-lived (24h) 6-digit codes. This eliminates the need to exchange permanent hashes over insecure channels. Temporäre Einladungscodes: Vertrauen wird über kurzlebige (24h) 6-stellige Codes aufgebaut. Dies erübrigt den Austausch permanenter Hashes über unsichere Kanäle.
• Active Consent Gate: Presence metadata (Dots/Avatars) is cryptographically locked until a connection request is actively accepted. "Discovery Probing" is mathematically impossible. Aktives Konsens-Gate: Präsenz-Metadaten (Dots/Avatare) sind kryptografisch gesperrt, bis eine Verbindungsanfrage aktiv akzeptiert wird. „Discovery Probing“ ist mathematisch unmöglich.

5. Forensic Media PipelineForensische Medien-Pipeline

• Scorched Metadata Standard: Filenames, media keys, and types are encrypted inside the Signal envelope. The storage provider (Cloudinary) only sees opaque AES-256-GCM binary blobs with zero context. Scorched Metadata Standard: Dateinamen, Media-Keys und Typen werden innerhalb des Signal-Umschlags verschlüsselt. Der Speicheranbieter (Cloudinary) sieht nur undurchsichtige AES-256-GCM-Binär-Blobs ohne jeglichen Kontext.
• Secure RAM Sandbox: Decrypted media is rendered via internal players directly into secure RAM buffers. Media never touches the OS gallery or persistent flash storage in plaintext. Secure RAM Sandbox: Entschlüsselte Medien werden über interne Player direkt in sichere RAM-Puffer gerendert. Medien gelangen niemals im Klartext in die OS-Galerie oder den persistenten Flash-Speicher.

6. Forensic Hardening & RecoveryForensische Härtung & Wiederherstellung

• Active Decay (Entropy Overwrite): Records are not "deleted"—they are shredded. The app overwrites database entries with high-entropy random bytes before physical deletion to defeat forensic NAND recovery. Active Decay (Entropie-Überschreibung): Datensätze werden nicht „gelöscht“ – sie werden geschreddert. Die App überschreibt Datenbankeinträge vor der physischen Löschung mit Zufalls-Entropie, um forensische NAND-Wiederherstellungen zu vereiteln.
• Panic PIN & 503 Alibi: A user-defined secondary PIN triggers a total local forensic wipe. Post-wipe, the app simulates a generic "503 Service Unavailable" error to provide a plausible technical alibi during duress. Panic-PIN & 503-Alibi: Eine nutzerdefinierte sekundäre PIN löst eine vollständige lokale forensische Löschung aus. Nach dem Wipe simuliert die App einen generischen „503 Service Unavailable“-Fehler, um bei Zwang ein plausibles technisches Alibi zu bieten.