どのドライブを開きますか?
個人用 / 会社用などのドライブを別々に管理できます。それぞれは独立したアカウント (= 別の Master / 別の Recovery / 別の Passkey) です。
詳細設定
Arpass を始める
マスターパスワードを決めてください。このパスワードは端末の外には送られず、 Arpass 運営からも見えません。 忘れるとドライブにアクセスできなくなるので、 忘れないものを選んでください。
🔐 Passkey (指紋・顔認証) は必須です
Arpass のセキュリティはマスターパスワード単独では成立しません。Passkey を第 2 要素として 暗号化に組み込むことで、Arweave 上の暗号文が漏れても解読できないことを数学的に保証します。 普段のログインも生体認証で完了するので、楽で強固になります。
対応端末: iOS 17+ Safari / Android 13+ Chrome / macOS 14+ Safari / 最新の Windows Chrome・Edge。Firefox / Tor / 古い Android は現在非対応です。
登録するとブラウザで鍵ペアが作られ、ドライブ ID が発行されます。新規登録ボーナスとしてクレジット 3 回分が付与されます。
(この端末で既存ドライブを開けるようにする — 元の端末でも引き続き利用可)
(admin から受け取った招待コードを入力。 形式: ARPASS-XXXX-XXXX)
🔑 YubiKey だけで使う (パスワード不要・上級者向け)
🔑 別の端末の YubiKey でこのドライブを開く
📲 端末追加コード (AP1-...) で開く
既存端末 (iPhone/Mac) の設定で表示した AP1-... コードを貼り付けてください。 これにより Android Chrome の picker bug を回避できます。
YubiKey だけで使う
マスターパスワードもリカバリーシークレットも使わず、登録した YubiKey(2 本以上)だけでロック解除するモードです。登録したどれか 1 本の YubiKey があれば開けます。
登録した YubiKey をすべて失うと、保存したデータは永久に取り戻せません(運営も復元できません)。必ず 2 本以上を別々の安全な場所に保管してください。
📲 この端末を追加登録
既存ドライブに この端末からもアクセスできるよう登録します。
マスターパスワードと リカバリーシークレットを入力すると、
この端末専用の Passkey が新しく Secure Enclave に作られ、複数端末から同じドライブを操作できるようになります。
💡 元の端末も引き続き使えます (機種変更で古い端末を処分する場合は、登録後に設定画面から旧端末の Passkey を削除してください)
同期パスキーやセキュリティキー (YubiKey) をお持ちなら、Recovery を入力せず、マスターパスワードとパスキーだけでこの端末を復元できます。
🆘 マスターパスワードも忘れた場合 (Passkey は OS に残っている)
この端末の OS (Keychain / Credential Manager) に このドライブ用の Passkey が残っている場合に限り、
Recovery のみで開錠できます。マスターパスワードは開錠後に新しく設定してください。
※ Passkey も完全に失われている場合は、別の登録済み端末からの復元が必要です。
🎟 リカバリーシークレット
セキュアドライブを作成しました。次のコードを 紙に書くかスクリーンショットで保管してください。
このコードは、新しい端末を追加するときや、Passkey 紛失・パスワード忘却の救済に使います。 このコードはこの画面でしか表示されません。
↑ 別の端末でスキャンして入力欄に流し込めます (43 文字の手打ちが不要)
🔐 Recovery Secret の保存方法を選んでください
🏆 BEST — 紙に印刷
金庫・鍵のかかる引き出しに保管。 マスターパスワードと別の場所に。 最も安全な選択。
🥈 GREAT — YubiKey 専用モードに切替
Recovery Secret 不要、 パスワード不要、 YubiKey をタッチするだけ。 YubiKey とは?
🥉 OK (モバイル用) — Photo に画像で保存
印刷が難しい場合の現実解。 ただし iCloud Photos の Advanced Data Protection が ON、 または Google One Backup の E2E 暗号化が ON な状態が前提です。 (= Apple / Google ですら復号できない状態)
⚠ 保存後、 端末の設定で E2E 暗号化が有効か必ず確認してください。 設定 OFF の状態では Apple/Google 等にアクセス可能性が残ります。
🚫 避けてください
- 通常の Email や チャット (LINE / Slack / Discord) で自分宛に送信
- Dropbox / OneDrive / 通常 Google Drive (= E2E なし) に保存
- マスターパスワードと同じ場所に保管
・このコードは運営側では保管していません (ゼロ知識設計)
・マスターパスワード・Passkey・このコードのうち2つを失うとドライブは復旧不能です
・この画面を閉じた後も、 設定 (⚙) → 「🎟 Recovery を再表示」 から確認できます。 ただし vault unlock 中の操作なので、 紙保管または画像保存はこの画面で済ませることを推奨します。
🔒 ドライブをロック解除
マスターパスワードを入力してください。
🆘 Passkey を失った / パスワードを忘れた場合
ドライブ作成時に保管したリカバリーシークレット(RS1-XXXX-XXXX-…)を使って復旧します。
上は Passkey 紛失 用 (この端末で再開錠)、下は パスワード忘却 用です。
別の端末からこのドライブを使いたい場合は、その端末の登録画面で「📲 この端末を追加登録する」を実行してください。
📲 会社員: 機種追加コードで参加
admin から受け取った機種追加コードを入力して、この端末に会社 vault を接続します。
※ コードは 5 分で expire、 1 回限り。
⏳ admin の承認を待っています
コード送信完了。admin が承認するか、自動承認モードの場合は自動的に Recovery が送信されます…
10:00
No files yet
Click "+ Add file" to upload your first receipt, invoice, or contract.
Files are encrypted client-side and stored permanently on Arweave. Searchable by date, amount, and counterparty (per Japanese 電子帳簿保存法).
🏢 管理画面
会社: —
Company ID: —
📧 社員を招待
以下のボタンで招待コードを生成 → 社員に対面/Slack DM 等でコードだけを伝えてください。URL は phishing リスクがあるため使わない方針。 コードは 24 時間で expire、1 回限り。
招待コード発行完了 (24h 有効):
社員にはコードだけを伝えてください (対面 / Slack DM 等)。社員側は arpass.io を自分で開いて 「📲 会社員: コードで参加」 からコード入力。このコードを知っている人が誰でも社員登録できるため確実に本人だけに渡してください。
👥 登録済社員
(まだ登録された社員はいません)
🔑 K1 配布管理 (v2)
K1 は会社の暗号鍵で、 社員が vault を復号するために必要です。 admin (= あなた) のみが生成・配布・ローテーションできます。
🛡️ ネットワーク制限 (オプション)
このセクションはセキュリティ要件が厳しい組織向けの追加機能です。
何も設定しなければ社員は社内外どこからでも会社 vault を利用可能 (= default 動作)。
IP を設定すると、 その IP からの write/read のみ許可されます (= 自宅・カフェ等からの access が 403 になる)。
空にすると制限なし (default)。 最大 1024 行。 IPv4 は /24 以上、 IPv6 は /64 以上のみ受付。 多拠点企業は各オフィスを別 entry で追加してください。
IPv4 推奨: /32 (固定 IPv4 1 個) または /24 (オフィス NAT pool)。
IPv6 推奨: 必ず /64 を使う (= OS の Privacy Extensions により下位 64 bit が定期的に変動するため、 /128 単独 IPv6 では動かない)。
新規追加する CIDR には admin (あなた) が現在いる必要があります (= 不正な範囲設定の防止)。 既存 CIDR は自由に削除・維持可能。
🕒 監査ログ
自社の admin / 社員 action の 監査履歴を表示します。 各 event は ECIES (admin の公開鍵で暗号化) で server に保管され、 運営は中身を読めません。 admin が pull + 復号して内容を確認。
server 上の retention は 30 日 (= TTL)。 長期保管は今後 admin vault に永続化予定 (= Phase 7.2-E.5)。
(取得してください)
🔄 暗号鍵 (KEK) Rotation
会社の サーバ暗号鍵 (KEK) を新しいものに更新します。 退職社員が手元にコピーしていた可能性のある鍵を一斉に無効化したい時、 または定期的な鍵衛生のために実行。
挙動:
・新しい keypair を生成 (= client 側)、 server に upload + 自分の vault に escrow
・旧版は deprecated 状態に、 指定日数 (default 14 日) は読み出し可
・期間後 旧版は完全失効、 退職社員が dump した古い K1 が無効化される
・現役社員には影響なし (= 次回 saveVault で自動的に新 KEK で wrap される)
🆘 緊急復旧用: 会社共通鍵 (K1) のオフライン export
通常運用ではこのボタンを 絶対に押さないでください。 server に頼らず社員が会社 vault を復号できるようにするための緊急復旧用の経路です。
使い時: Arpass のサービスが完全停止して K1 配布 endpoint が機能しなくなった場合のみ。
動作: 自分の admin vault が保持する会社共通鍵 K1 (= current + 過去全 version) を JSON でダウンロード。 社員に手渡しで配布し、 社員は arpass-emergency-restore.html でこの K1 と自分の 2-of-3 factor を使って server なしで vault を復号する。
注意: K1 単体ではどの vault も開けません (= 各社員の Master / Passkey / Recovery のうち 2 つが別途必要)。 ただし機密情報のため、 必ず信頼できる経路で配布し、 配布前に「Arpass が本当に停止したか」 を確認してください。