Политика конфиденциальности Privacy Policy
Ничего, что вас идентифицирует. HomeChat требует только имя пользователя на ваш выбор. Номер телефона, email, дата рождения и любые другие персональные данные не запрашиваются и не собираются.
Nothing that identifies you. HomeChat only requires a username of your choosing. Phone number, email, date of birth, and any other personal data are neither requested nor collected.
Все сообщения шифруются на вашем устройстве до отправки с использованием протокола Signal (Double Ratchet + X3DH). Сервер никогда не имеет доступа к содержимому ваших сообщений, звонков или медиафайлов. Ключи шифрования никогда не покидают ваше устройство. На сервере сообщения хранятся в зашифрованном виде. Сервер видит только техническую информацию. Содержимое сообщений, вложения и любые данные переписки недоступны серверу — они остаются зашифрованными и могут быть расшифрованы только на устройствах участников диалога. На вашем устройстве сообщения хранятся в локальной базе данных в зашифрованном виде. Расшифровка происходит только в момент, когда вы открываете чат. Текстовые сообщения сохраняются на вашем устройстве навсегда, пока вы не удалите чат или аккаунт. Они не удаляются автоматически.
All messages are encrypted on your device before sending, using the Signal protocol (Double Ratchet + X3DH). The server never has access to the content of your messages, calls, or media files. Encryption keys never leave your device. On the server, messages are stored in encrypted form. The server sees only technical information. The content of messages, attachments, and any conversation data are inaccessible to the server — they remain encrypted and can only be decrypted on the devices of the conversation participants. On your device, messages are stored in a local encrypted database. Decryption happens only when you open the chat. Text messages are stored on your device permanently, until you delete the chat or your account. They are never automatically deleted.
Фото, видео, аудио, голосовые сообщения, документы и стикеры шифруются отдельным случайным ключом (AES-256-GCM) непосредственно на устройстве до отправки. Сервер получает только непрозрачный зашифрованный blob со случайным идентификатором — ни содержимое, ни ключ расшифровки ему недоступны. Ключ, вектор инициализации и хэш целостности файла передаются получателю исключительно внутри E2E-зашифрованного сообщения Double Ratchet. Расшифровать медиафайл без доступа к устройствам участников переписки невозможно. Автоматическое удаление медиафайлов: С сервера — все медиафайлы автоматически и безвозвратно удаляются через 7 дней после отправки, независимо от того, были ли они скачаны. Из чата на устройстве — если вы не скачали файл на устройство в течение 7 дней, он также удаляется из чата и становится недоступным. Как сохранить файл навсегда: нажмите кнопку сохранения в чате, пока файл ещё доступен. После этого файл сохраняется в локальном хранилище вашего устройства, остаётся в чате навсегда и не удаляется автоматически. Зелёная галочка на файле подтверждает, что он сохранён.
Photos, videos, audio, voice messages, documents, and stickers are each encrypted with a separate random key (AES-256-GCM) on the device before being sent. The server receives only an opaque encrypted blob with a random identifier — neither the content nor the decryption key is accessible to it. The key, initialisation vector, and integrity hash are delivered to the recipient exclusively inside an E2E-encrypted Double Ratchet message. Decrypting a media file without access to the participants' devices is impossible. Automatic media file deletion: From the server — all media files are automatically and permanently deleted 7 days after being sent, regardless of whether they were downloaded. From the chat on your device — if you haven't downloaded a file to your device within 7 days, it is also removed from the chat and becomes unavailable. How to keep a file forever: tap the save button in the chat while the file is still available. The file will then be saved to your device's local storage, remain in the chat permanently, and will not be automatically deleted. A green checkmark on the file confirms that it has been saved.
Реакции (emoji-отклики на сообщения) — функция, недоступная в секретных чатах Telegram — реализованы в HomeChat и шифруются по тому же механизму, что и текстовые сообщения: AES-256-GCM с одноразовым ключом из цепочки Double Ratchet. Сервер видит только зашифрованный blob — ни emoji, ни ID сообщения, на которое поставлена реакция, ни действие (добавление или удаление) серверу недоступны.
Emoji reactions to messages — a feature unavailable in Telegram's secret chats — are supported in HomeChat and encrypted using the same mechanism as text messages: AES-256-GCM with a one-time key derived from the Double Ratchet chain. The server sees only an encrypted blob — the emoji itself, the ID of the message being reacted to, and the action (add or remove) are all inaccessible to it.
Звонки защищены двойным шифрованием. Сигналы установки соединения (offer, answer, ICE-кандидаты) шифруются AES-GCM с ключом, производным от Double Ratchet — сервер не может видеть IP-адреса, SDP или тип сигнала. Аудио- и видеопоток защищён DTLS/SRTP. Разговор не записывается. В большинстве случаев соединение устанавливается напрямую между устройствами (P2P). Если прямое соединение невозможно из-за сетевых ограничений — трафик проходит через два независимых резервных TURN-сервера, каждый с собственным уникальным секретом. Компрометация одного сервера не затрагивает другой. TURN-серверы видят только зашифрованный DTLS/SRTP поток и не могут его расшифровать — ключи сессии известны только устройствам участников звонка. Доступ к каждому серверу защищён одноразовыми HMAC-SHA1 токенами с временем жизни 1 час — перехваченные credentials невозможно использовать повторно. Инфраструктура разнесена: звонки обслуживаются отдельными TURN-серверами, медиафайлы и сообщения — основным сервером, по разным каналам (медиа через HTTPS, сообщения через WSS). Даже при полной компрометации сервера расшифровать перехваченные звонки невозможно.
Calls are protected by double encryption. Connection setup signals (offer, answer, ICE candidates) are encrypted with AES-GCM using a key derived from the Double Ratchet — the server cannot see IP addresses, SDP, or signal type. The audio and video stream is protected by DTLS/SRTP. Conversations are never recorded. In most cases a direct peer-to-peer connection is established between devices. If a direct connection is not possible due to network restrictions, traffic is relayed through two independent fallback TURN servers, each with its own unique secret. Compromise of one server does not affect the other. The TURN servers see only the encrypted DTLS/SRTP stream and cannot decrypt it — the session keys are known only to the call participants' devices. Access to each server is protected by one-time HMAC-SHA1 tokens with a 1-hour lifetime — intercepted credentials cannot be reused. The infrastructure is separated: calls are handled by dedicated TURN servers, while media files and messages are handled by the main server over distinct channels — media via HTTPS, messages via WSS. Even with full server compromise, decrypting intercepted calls is impossible.
Push-токены и VoIP-токены хранятся на сервере исключительно для доставки уведомлений. Они удаляются немедленно при удалении аккаунта.
Push tokens and VoIP tokens are stored on the server solely for delivering notifications. They are deleted immediately when an account is removed.
Многие мессенджеры отображают текст сообщения в push-уведомлении — он сохраняется в системном хранилище iOS и может быть извлечён без взлома самого приложения. HomeChat не раскрывает содержимое сообщений в уведомлениях. Push содержит только имя отправителя и строку «🔒 Зашифрованное сообщение» — без текста, без медиа, без каких-либо данных переписки.
Many messaging apps display message text in push notifications — this text is stored in the iOS system and can be extracted without breaking the app itself. HomeChat does not expose message content in notifications. A push contains only the sender's name and the string "🔒 Encrypted message" — no text, no media, no conversation data of any kind.
Все приватные криптографические ключи хранятся исключительно в системном хранилище iOS Keychain с атрибутом ThisDeviceOnly — они физически не могут быть перенесены на другое устройство, извлечены при резервном копировании iCloud или получены через iTunes Backup. Это означает, что даже при наличии полного доступа к резервной копии телефона прочитать вашу переписку невозможно. Локальная база сообщений, файлы криптографических сессий и кэш медиафайлов также исключены из iCloud Backup — они существуют только на вашем устройстве.
All private cryptographic keys are stored exclusively in the iOS system Keychain with the ThisDeviceOnly attribute — they physically cannot be transferred to another device, extracted via iCloud Backup, or obtained through iTunes Backup. This means that even with full access to a phone backup, reading your messages is impossible. The local message database, cryptographic session files, and media cache are also excluded from iCloud Backup — they exist only on your device.
HomeChat использует три независимых уровня защиты от replay-атак — попыток повторно доставить перехваченное сообщение. Первый уровень — сам протокол Double Ratchet: каждый ключ шифрования одноразовый и уничтожается сразу после использования. Физически невозможно расшифровать перехваченное сообщение повторно. Второй уровень — клиентская дедупликация: приложение запоминает идентификаторы уже обработанных сообщений и отклоняет любые дубликаты ещё до попытки расшифровки. Третий уровень — серверная проверка: сервер хранит в Redis идентификаторы доставленных сообщений и отклоняет повторные попытки доставки с тем же ID.
HomeChat uses three independent layers of protection against replay attacks — attempts to re-deliver an intercepted message. The first layer is the Double Ratchet protocol itself: every encryption key is one-time-use and destroyed immediately after use. It is physically impossible to decrypt an intercepted message a second time. The second layer is client-side deduplication: the app remembers the identifiers of already-processed messages and rejects any duplicates before even attempting decryption. The third layer is server-side verification: the server stores delivered message identifiers in Redis and rejects repeated delivery attempts with the same ID.
Сначала удалите аккаунт — потом приложение. Если вы удалите HomeChat через меню iOS без предварительного удаления аккаунта — ваши контакты не получат уведомление. Они узнают об этом только при следующей попытке написать или позвонить вам: сообщение не будет доставлено, звонок не пройдёт. Чтобы контакты узнали сразу: откройте профиль в приложении и нажмите «Удалить аккаунт» — и только потом удаляйте приложение. Это техническое ограничение iOS — при удалении приложения система не запускает никакой код, поэтому уведомить контакты автоматически невозможно.
Delete your account first — then delete the app. If you delete HomeChat through the iOS menu without first deleting your account, your contacts will not be notified. They will only find out the next time they try to message or call you: the message won't be delivered, the call won't go through. To notify your contacts immediately: open your profile in the app and tap "Delete Account" — and only then delete the app. This is a technical iOS limitation — when an app is deleted, the system runs no code at all, so automatically notifying contacts is not possible.
Если вы удалите приложение, HomeChat автоматически обнаружит переустановку при следующем запуске. Сервер уведомит ваши контакты об удалении аккаунта, все локальные данные и ключи шифрования будут безвозвратно очищены. Вход по старому идентификатору станет невозможным — потребуется новая регистрация. История переписки не синхронизируется между устройствами и не восстанавливается при переустановке. Это сознательное архитектурное решение: ключи шифрования не покидают устройство, поэтому перенос истории технически невозможен без компрометации модели безопасности.
If you delete the app, HomeChat will automatically detect the reinstallation on the next launch. The server will notify your contacts of the account deletion, and all local data and encryption keys will be permanently wiped. Signing in with the old identifier becomes impossible — a new registration is required. Message history is not synchronised between devices and is not restored upon reinstallation. This is a deliberate architectural decision: since encryption keys never leave the device, transferring history is technically impossible without compromising the security model.
При удалении аккаунта все данные уничтожаются безвозвратно — на сервере и на устройстве. Это включает сообщения, медиафайлы, ключи шифрования, данные сессий и токены уведомлений. Действие необратимо.
When an account is deleted, all data is permanently destroyed — on the server and on the device. This includes messages, media files, encryption keys, session data, and notification tokens. The action is irreversible.
Мы не продаём, не передаём и не раскрываем никакие данные третьим лицам. В приложении нет рекламы, аналитики и трекинга.
We do not sell, share, or disclose any data to third parties. The app contains no advertising, analytics, or tracking of any kind.
HomeChat использует четыре независимых слоя защиты. Double Ratchet + X3DH (протокол Signal): каждое сообщение шифруется уникальным ключом, который удаляется сразу после использования. Компрометация одного сообщения не раскрывает остальные — это называется forward secrecy. AAD-аутентификация: метаданные каждого сообщения (версия протокола, порядковый номер и DH ключ обмена) криптографически привязаны к его содержимому. Подмена любого из этих полей в транзите немедленно обнаруживается — это исключает возможность сбить состояние Double Ratchet у получателя. Certificate Pinning: приложение принимает TLS-соединение только с сервером, чей ключ заранее известен. Даже доверенный центр сертификации не может выдать поддельный сертификат незаметно. Отпечаток безопасности (Safety Number): уникальный код, который можно сверить с собеседником вне приложения. Найти его можно в каждом чате в разделе информации о чате. Если коды совпадают — никто, включая сервер, не подменял ключи шифрования. IP-адреса: сервер технически видит IP-адрес для установки соединения, но не сохраняет его, не записывает в логи и не связывает с вашим аккаунтом или перепиской. Сервер видит только зашифрованные данные и метаданные соединения. Содержимое сообщений недоступно никому кроме участников переписки. Защита от несанкционированного доступа: все операции с сообщениями (доставка, прочтение, статусы) проверяются на уровне сервера — пользователь не может взаимодействовать с данными диалога, в котором не является участником.
HomeChat uses four independent layers of protection. Double Ratchet + X3DH (Signal protocol): every message is encrypted with a unique key that is deleted immediately after use. Compromising one message does not expose any others — this is known as forward secrecy. AAD authentication: the metadata of each message (protocol version, sequence number, and DH ratchet key) is cryptographically bound to its content. Any tampering with these fields in transit is detected immediately — this prevents an attacker from desynchronising the Double Ratchet state at the recipient's end. Certificate Pinning: the app only accepts a TLS connection from a server whose key is known in advance. Even a trusted certificate authority cannot issue a fraudulent certificate without detection. Safety Number: a unique fingerprint that can be verified with your contact out of band. It can be found in every chat under the chat info screen. If the codes match, no one — including the server — has substituted encryption keys. IP addresses: the server technically sees your IP address to establish a connection, but does not store it, does not log it, and does not associate it with your account or conversations. The server sees only encrypted data and connection metadata. Message content is inaccessible to anyone except the conversation participants. Authorisation enforcement: all message operations (delivery, read receipts, status updates) are verified at the server level — a user cannot interact with data from a conversation they are not part of.
По вопросам, связанным с настоящей политикой, обращайтесь к разработчику: tunnelletter@gmail.com
For questions related to this policy, please contact the developer: tunnelletter@gmail.com
Аудит безопасности июнь 2026. Результаты: 32 из 32 пунктов выполнено, 0 критических проблем.
Security audit June 2026. Results: 32 out of 32 items passed, 0 critical issues.