Yksityisyys
Autosi data on sinun. Tässä on tarkalleen miten pidämme sen sellaisena — selkokielellä, ilman pienen präntin yllätyksiä.
Lyhyt versio
Se on osa, jota mikään muu Tesla-loggeri ei tarjoa. Suunnittelimme BlackCurrentin niin, että datasi säilyttäminen ja datasi lukeminen ovat kaksi eri asiaa: me säilytämme sen, sinä pidät avainta. Sinä hallitset avainta, joten sinä hallitset dataa — eikä meidän tarvitse koskaan pyytää sinua vain luottamaan meihin.
Mitä tämä tarkoittaa sinulle
- Tietokantamme murto luovuttaa hyökkääjälle salatekstiä — hyödytöntä ilman tunnuslausettasi.
- Oma tiimimme näkee tallennuksessa aina vain salatekstiä. Sisäistä ”katso tämän käyttäjän ajot” -kytkintä ei ole.
- Jos meidät joskus ostetaan tai meille esitetään pyyntö historiastasi, voimme luovuttaa vain salatekstiä. Emme voi purkaa sitä, mihin meillä ei ole avainta.
- Ei analytiikkaa, mainoskohdennusta tai tietovälitystä sisällölläsi — arkkitehtuuri ei salli sitä, vaikka haluaisimmekin.
- Ainoa liiketoimintamallimme on tilauksesi. Se on sopimus.
Näin se toimii
Kun rekisteröidyt, tunnuslauseesi tuottaa yksityisen avaimen palvelimellamme. Lukitsemme tuon avaimen tunnuslauseellasi — käyttäen tarkoituksellisesti hidasta salasanan vahvistusprosessia, joka on suunniteltu tekemään raa'asta voimasta epäkäytännöllistä — ja tallennamme vain lukitun möykyn. Tunnuslauseesi hävitetään ennen kuin rekisteröitymispyyntö palaa.
Kun kirjaudut sisään, johdamme avaimen hetkeksi uudelleen, avaamme salausavaimesi, lukitsemme sen uudelleen lyhytikäisellä istuntosalaisuudella, tallennamme istunnolla lukitun version välimuistiimme ja unohdamme tunnuslauseen taas. Jokainen lataamasi sivu purkaa vain niin paljon dataa kuin tuon sivun piirtämiseen tarvitaan, muistissa, ja hävittää sen sitten.
Kun Teslasi lähettää meille uutta telemetriaa, voimme vain kirjoittaa — sinetöimme jokaisen erän julkisella avaimellasi niin että me emme voi lukea sitä takaisin ennen kuin kirjaudut sisään.
Mitä näemme, ja mitä emme
| Näemme (aina) | Näemme (vain sisäänkirjautuneena) | Emme koskaan näe |
|---|---|---|
| Sähköpostisi ja lukitun kopion salausavaimestasi | Lataamasi sivun puretun sisällön | Datasi kun olet kirjautuneena ulos |
| Tilauksesi tilan | Ajojasi, latauksiasi tai akkuhistoriaasi varmuuskopioissa | |
| Autosi tunnisteen (jotta tiedämme minne ohjata data) | Viedyn datan, jonka lataat omalle laitteellesi | |
| Julkisen avaimesi (ei voi purkaa mitään) | Käyttäjien väliset analytiikkakoosteet | |
| Aikaleimat, tavumäärät, virhetaajuudet | Tunnuslauseesi (kirjautumisen valmistuttua) |
Mitä tilaamme Teslastasi
Teslan Fleet Telemetry antaa meidän valita tarkan listan signaaleja, jotka auto suoratoistaa meille. Valitsemme laajasti signaalikategorioista, jotka ohjaavat olemassa olevia ominaisuuksia ja niitä, jotka odotamme julkaisevamme seuraavan 6-12 kuukauden aikana. Perustelu: signaalin lisääminen myöhemmin maksaa kuukausia historiallista kertymää ennen kuin millään sen päälle rakennetulla ominaisuudella on dataa piirrettäväksi. Edullisempi suunta on ”kerää nyt, rakenna myöhemmin”. Jokainen signaali on salattu avaimellasi ennen kuin se laskeutuu tallennukseemme, joten keräyksen laajuus ei muuta sitä kuka voi lukea sen (yhä vain sinä).
Täysi signaalilista — jokainen vastaanottamamme kategoria, ja mitä kukin mahdollistaa
| Kategoria | Mitä se mahdollistaa |
|---|---|
| Ajoneuvon tila (hereillä / nukkuu / ajossa / lataa) | Yhteenveto tietää puhuuko autosi; istuntojen tunnistus (ajot, lataukset) lukee tästä auktoritatiivisesta signaalista sen sijaan että arvaisi nopeudesta tai lataustilasta |
| Energia ja akku (lataustaso, toimintamatka-arviot, kennoston jännite / virta, kennojännitteet, moduulilämmöt) | Akun kunnon näkymä; toimintamatkan suunnittelu; pitkän aikavälin heikkenemisen seuranta |
| Lataus (tila, ampeerit, teho, sisään tullut energia, aika täyteen, latausraja, laturin vaiheet) | Latausloki kWh- / km- / kustannusyhteenvedoilla; pikalaturin ja kodin erottelu |
| Ajaminen (nopeus, vaihde, sijainti, suunta, GPS-tila, matkamittari, ajovaihde) | Reaaliaikainen ajon seuranta; matkakohtainen etäisyys ja keskinopeus; karttajäljet |
| Ilmastointi / lämpö (sisä- / ulkolämpötila, akun lämmittimen tila, esilämmitys, vähäteho-lämpövaroitus) | Sisätilan lämpötilahistoria; kylmän sään toimintamatkasäätö; esilämmityksen laukaisun tunnistus |
| Renkaat (paine x 4 ja viimeksi nähdyn paineen aikaleima x 4) | Rengaspaineloki; vähittäisen vuodon tunnistus |
| Ajoitus / suunnittelu (ajoitetun latauksen alku / tila / odottava, lähtöaika, Supercharger-matkasuunnittelija) | Varmista että asetuksesi vastaavat sitä mitä auto todella tekee; matkasuunnittelun historia |
| Ajoneuvon metatiedot (laiteohjelmistoversio, ajoneuvon nimi, ajoneuvon kokoonpano: malli, varustetaso, väri, vanteet, alueliput) | Laiteohjelmistopäivitysten historia; korreloi käyttäytymismuutokset päivityksiin; toimintamatkan mallinnuksen oletukset vastaavat autoasi |
| Vakionopeudensäätimen tila (asetettu nopeus, seurantaetäisyys) | Mukautuvan vakionopeudensäätimen asetushistoria; ”asetit 130 km/h tällä moottoritieosuudella”. Ei lisää paljastusriskiä: nopeutesi missä tahansa pisteessä tilassa on jo katettu yllä olevilla ajosignaaleilla |
| Sentry-tilan tila | Virrankulutusoivallukset: ristiinvertaa Sentry-päälläoloaika lataustason muutokseen laskeaksesi ”Sentry-tilasi kulutti 0,8 kWh yön aikana lentokentällä” |
| Itseajamisen tilastot (elinikäiset mailit, FSD-mailit nollauksen jälkeen; HW4-autot laiteohjelmistolla 2025.44.25.5+) | Vain kootut laskurit (ei tapahtumakohtaisia tietueita), joten ne kuvaavat käytön kokonaismääriä rekonstruoimatta yksittäisiä FSD-jaksoja |
| Matkan konteksti (määränpään nimi + ETA, mailit / minuutit perille, odotettu SoC perillä, liikenneviive, kotona / työssä / suosikissa -liput) | ”Saavuit kotiin klo 18.42, SoC 32 %”; geoaita-tietoiset ominaisuudet |
| Ohjelmistopäivityksen eteneminen (versio, lataus-%, asennus-%, ajoitettu alku) | ”Päivitys saatavilla / asennetaan nyt” -toiminto; laiteohjelmistoversioiden historia |
| Voimansiirron lämpötilat (jäähdytyslevyn / invertterin / staattorin lämmöt, korkeajännitelukituksen tila; edessä + takana) | Voimayksikön heikkenemisen seuranta; korreloi kuuman päivän tehohäviö |
| Powershare / V2X (tila, tunteja jäljellä, hetkellinen teho, tyyppi, pysäytyssyy) | ”Talosi otti autosta 4,2 kW yön aikana” Powershare-käyttäjille |
| Nyt soiva media (tila, lähde, kappale, artisti, albumi, asema; ei toistokohtaa tai äänenvoimakkuutta) | ”Tämän ajon soundtrack”. Toistokohta + äänenvoimakkuus jätetty pois vähäarvoisina ja taajaan päivittyvinä |
| Käyttäjäasetukset (24 tunnin aika, lataus- / matka- / lämpötila- / rengaspaineyksiköt) | Ohjaa miten piirrämme jokaisen numeerisen arvon yhteenvedossa. Ilman näitä joudumme arvaamaan |
Mitä emme tarkoituksella tilaa, ja miksi
Tesla lähettää paljon enemmän signaaleja kuin me poimimme. Alla olevat poissulkemiset eivät ole sattumanvaraisia — ne ovat brändilupaus. Salaus suojaa datan meiltä, mutta jo pelkkä todisteellisen datan olemassaolo tililläsi houkuttelee kolmannen osapuolen haasteita kolari-, vakuutus- tai lainvalvontakiistoissa. Siinä vaiheessa juuri sinut velvoitettaisiin luovuttamaan avaimesi. Sitä keräämättä kierrämme koko keskustelun.
| Mitä emme kerää | Miksi emme |
|---|---|
ADAS / törmäysvaroitukset (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Vakuutus- ja oikeudenkäyntiselvityksen kohde |
Polkimien asennot (BrakePedal, BrakePedalPos, PedalPosition) |
Kolarin syyllisyyden rekonstruoinnin kohde |
Istuinten käyttö ja turvavyöt (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Tunnistaa kuka autossa oli; siviilioikeudellisen selvityksen kohde |
Sisätilan valvonta (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Vahvistaa fyysisen läsnäolon ja pääsyn aikajanan, jota mikään muu keräämämme ei voi johtaa |
Mikään näistä ei ole Teslan APIn estämä; me yksinkertaisesti emme pyydä niitä. Jos jokin tuleva ominaisuus aidosti tarvitsee jonkin niistä, selitämme miksi tällä sivulla ja toimitamme ajoneuvokohtaisen suostumusvalinnan sen sijaan että kytkisimme sen päälle kaikille.
Historiallinen tarkkuus ja ”hiljaisen auton” tilanne
Teslan telemetria lähettää signaalin vain kun sen arvo muuttuu. Kuukauden pysäköitynä ollut auto lähettää hyvin vähän. Jotta varmistamme että viime kuukauden näkymän (vaikkapa) lataustason takaisin selaaminen näyttää yhä kaavion eikä tyhjää aluetta, pyydämme Teslaa lähettämään keskeiset signaalit uudelleen kiinteällä tahdilla silloinkin kun mikään ei muuttunut. Uudelleenlähetys on tahtirajoitettu ja käynnistyy vain laiteohjelmistolla 2024.44.32 tai uudempi; vanhempi laiteohjelmisto toimii silti, kaavio vain harvenee hiljaisina jaksoina.
Miten pilvisalaus sopii kuvaan
Ulkopuolisen hyökkääjän ja ajoneuvodatasi välissä on kolme salauskerrosta. Kukin puolustaa eri uhkaa vastaan. Vain yksi niistä pitää yksityisyyslupauksen voimassa. Haluamme olla täsmällisiä siitä, kumpi on kumpi, koska ”salaamme kaiken” -sanominen erottelematta kuka pitää mitäkin avainta on helppo tapa johtaa harhaan.
| Kerros | Mitä on salattu | Kuka pitää avainta | Mitä tämä puolustaa |
|---|---|---|---|
| 1. Infrastruktuuri | Taustalla olevat levyt ja tallennus | Pilvipalveluntarjoajamme, automaattisesti | Hukattu, varastettu tai käytöstä poistettu laitteisto. Levy on lukukelvoton kenellekään palveluntarjoajan ulkopuolella ilman kelvollista pyyntöä. |
| 2. Alusta | Tarkastuslokit, Teslan käyttöoikeustunnukset, istunnolla lukittu salausavaimesi | Pilvipalveluntarjoaja, tilillämme | Sovelluskoodimme tai operaattoritunnustemme vaarantuminen. Hyökkääjän, jolla on tunnuksemme, täytyy silti kutsua palveluntarjoajan avainpalvelua avatakseen mitään; nuo kutsut jättävät tarkastusmerkinnän, jonka voimme tarkistaa. |
| 3. Ajoneuvodatasi | Jokainen ajo, lataus, GPS-piste ja akun kierto tallennuksessamme | Vain sinä, johdettuna tunnuslauseestasi | Kaikki muu. Pilvipalveluntarjoaja voi lukea kerrokset 1 ja 2 laillisen pakon alla. He eivät voi lukea kerrosta 3, koska avain ei koskaan saavuta heidän laitteistoaan. |
Mitä tämä konkreettisesti tarkoittaa:
- Pilvipalveluntarjoajalle toimitettu laillinen määräys voi pakottaa heidät purkamaan salauksen kerroksilla 1 ja 2. He luovuttavat tarkastuslokit, Teslan käyttöoikeustunnukset (antaen pyytäjälle saman näkymän Teslaasi kuin meillä on — Teslan reaaliaikaisen kanavan, ei historiallista dataasi) ja salatekstimöykyt jotka tallentavat ajoneuvodatasi. He eivät voi purkaa möykkyjä itse; siihen tarvitaan tunnuslauseesi, jota palveluntarjoaja ei ole koskaan nähnyt ja jonka me hävitämme heti kirjautumisen jälkeen.
- Koodimme tai operaattoritunnustemme vaarantuminen on saman arkkitehtuurin rajaama. Kerros 2 on tarkastettavissa — voimme nähdä kuka avasi minkä istunnon ja milloin. Kerros 3 on meille lukukelvoton riippumatta siitä olemmeko vaarantuneet, koska avattu salausavain on olemassa vain muistissa silloin kun käytät sovellusta aktiivisesti.
- Sinun vaarantumisesi (tunnuslauseesi, laitteesi) on se yksi asia, jota tämä arkkitehtuuri ei voi puolustaa. Se on avaimen itse pitämisen luontainen hinta: kukaan muu ei voi hukata sitä, eikä kukaan muu voi palauttaa sitä puolestasi. Kirjoita se ylös.
Missä tämä kaikki sijaitsee
Kaikki BlackCurrentin infrastruktuuri toimii Euroopan unionin sisällä, tunnetulla pilvipalveluntarjoajalla, EU:n tietosuojalainsäädännön hallitsemalla alueella. Salattu datasi ei koskaan poistu sieltä. Emme käytä kolmannen osapuolen analytiikkaa, mainosverkkoja emmekä tietovälittäjiä.
Rehelliset rajat
Mikään tietoturvasuunnittelu ei ole täydellinen, ja näytämme mieluummin reunat kuin teeskentelemme ettei niitä ole. Tässä ne ovat selkokielellä, kukin sen kanssa mitä teemme sille — suunnilleen siinä järjestyksessä, kenen pitäisi välittää. Useimmat eivät koskaan kosketa yhtäkään niistä.
1. Kun olet kirjautuneena sisään, avaimesi on hetken muistissamme
Salausavaimesi sijaitsee muistissamme aktiivisten pyyntöjen aikana. Jos palvelimemme vaarantuisivat istuntosi aikana, hyökkääjä jolla on pääsy tuohon muistiin voisi lukea dataasi niin kauan kuin istuntosi pysyy avoinna. Tiukka päästä päähän -salaus kuten Signalin sulkisi tämän pois; meidän ei sulje.
Käytössä olevat lieventävät toimet:
- Aggressiiviset käyttämättömän istunnon aikakatkaisut (oletus: uloskirjautuminen 30 minuutin käyttämättömyyden jälkeen).
- Selkokielisiä, luettavia kopioita ei koskaan kirjoiteta levylle tai lokeihin — valvottuna jäsennellyllä lokittajalla, jolla on turvallisten kenttien sallittujen lista.
- Tuotantopääsyä tarkastetaan; joka kerta kun avainpalvelu avaa istunnon, tuo kutsu kirjataan ja on tarkistettavissa.
Jos juuri tämä uhka on ensisijainen huolesi, omalla palvelimella toimiva vaihtoehto kuten TeslaMate sopii paremmin.
2. Tuleva, kohdistettu tuomioistuimen määräys on se yksi asia, jota emme voi suunnitella pois
Jos hallitus määrää meidät sieppaamaan tietyn käyttäjän tulevat istunnot, emme voi teknisesti kieltäytyä. Levossa jo olemassa oleva data on heille hyödytöntä (emme voi purkaa sen salausta ilman avaintasi), mutta emme voi taata, ettei tuleva istunto voisi joutua pakotetun sieppauksen kohteeksi. Julkaisemme avoimuusraportin.
3. Teslan käyttöoikeustunnukset säilytetään meidän avaimellamme, ei sinun
Teslan käyttöoikeustunnusten (mitä Tesla antaa meille vastaanottaaksemme dataasi puolestasi) täytyy olla käytettävissä silloin kun olet offline-tilassa — muuten emme voisi suoratoistaa uutta telemetriaa tilillesi. Nämä tunnukset on salattu meidän avaimellamme, ei sinun. Käsittelemme niitä Teslan tunnistetietoina, emme ajoneuvodatanasi. Voit perua ne milloin tahansa Tesla-tililtäsi, ja poistamme ne kun peruutat.
4. Uusi telemetria on luettavissa hetken sen saapuessa
Kun autosi suoratoistaa uutta dataa vastaanottopalvelimellemme, tuo data on olemassa muistissa muutaman sadan millisekunnin ajan ennen kuin sinetöimme sen julkisella avaimellasi. Sitä ei koskaan kirjoiteta levylle tai lokeihin siinä muodossa. Tämän sinetöinnin tekevä koodin osa julkaistaan avoimena lähdekoodina, jotta voit todentaa väitteen.
Mitä tämä tarkoittaa käytännössä
Jos meidät hakkeroidaan — varastettu tietokanta, tallennus tai varmuuskopiot sisältävät vain salatekstiä. Hyökkääjä tarvitsee jokaisen käyttäjän tunnuslauseen erikseen lukeakseen mitään.
Jos saamme haasteen historiallisesta datastasi — luovutamme salatekstiä. Emme voi tuottaa selkokielistä tekstiä. Kerromme sinulle haasteesta, jos se on laillisesti sallittua.
Jos haluat tietosi ulos — ”Vienti”-toiminto rakentaa täyden kopion datastasi live-istuntosi sisällä ja luovuttaa sen selaimellesi tiedostona. Selaimesi vastaanottaa selkokielistä, luettavaa dataa; palvelimemme eivät koskaan tallenna sitä pysyvästi.
Jos hukkaat tunnuslauseesi — data on lopullisesti mennyttä. Se on kääntöpuoli sille, ettei kukaan muu voi lukea sitä: ei ole ”nollaa salasana” -painiketta, joka voisi purkaa historiasi, koska sellaista painiketta ei voi olla rikkomatta koko lupausta. Valitse tunnuslause, jonka muistat, ja säilytä se salasanojen hallintaohjelmassa; se on se yksi avain kaikkeen.
Todentaminen
Kannustamme sinua olemaan luottamatta markkinointiimme. Kolme asiaa auttaa sinua todentamaan väitteen:
- Koodin osa, jossa selkokielinen, luettava data hetken sijaitsee (live-virran sinetöijä), julkaistaan avoimena lähdekoodina lanseerauksessa.
- Täysi arkkitehtuuridokumentti julkaistaan koodin rinnalla.
- Kolmannen osapuolen tietoturva-auditointi julkaistaan ennen yleistä saatavuutta.
Tämä sivu on selkokielinen yksityisyyskuvaus. Erillinen oikeudellinen tietosuojaseloste, joka kattaa GDPR:n rekisterinpitäjätiedot, evästetiedot ja alueellisen säädöskielen, julkaistaan ennen julkista lanseerausta. Kysymykset: hello@blackcurrent.app.