A forged or altered decision document.Ein gefälschtes oder verändertes Entscheidungs-Dokument.وثيقةُ قرارٍ مزوَّرةٌ أو مُحرَّفة.
Trust & SecurityVertrauen & Sicherheitالثقة والأمان
Written for your compliance officer.
How keys are held, where data lives, what we defend against, and how to report a flaw. No magic words — only primitives and policy.
Für Ihren Compliance-Officer.
Wie Schlüssel gehalten werden, wo Daten leben, wogegen wir uns verteidigen und wie man eine Schwachstelle meldet. Keine Zauberworte — nur Primitive und Policy.
مكتوبٌ لِـمسؤول الامتثال عندكم.
كيف تُحفَظ المفاتيح، وأين تُقيم البيانات، وما الذي ندفعه عنّا، وكيف يُبلَّغ عن خلل. لا كلماتٍ سحريّة — بل أدواتٌ تعموية وسياسةٌ واضحة.
Cryptographic guaranteesKryptografische Garantienالضمانات التعموية
SignatureSignaturالتوقيع
Every Key-of-Decision is signed with the issuing key over a canonicalised payload. Change one byte and verification fails.Jeder Key-of-Decision wird mit dem ausstellenden Schlüssel über einen kanonisierten Payload signiert. Ein Byte geändert — Prüfung schlägt fehl.يُوقَّع كلُّ مفتاحِ قرارٍ بالمفتاح المُصدِر على حمولةٍ مُقنَّنة. غيِّر بايتاً واحداً، يَفشل التحقّق.
Ed25519 · RFC 8032 · JCS (RFC 8785) canonicalisation · detached JWS (RFC 7515)
AnchoringVerankerungالإرساء
Envelope hashes are folded into an append-only Merkle log. Inclusion proofs are published; the root is checkpointed externally.Umschlag-Hashes werden in ein Append-only-Merkle-Log gefaltet. Inklusionsbeweise werden publiziert; die Wurzel wird extern fixiert.تُطوى بَصماتُ المظاريف في سجلِّ ميركل قابلٍ للإضافة فقط. وتُنشَر إثباتاتُ الإدراج؛ ويُرسى الجذرُ خارجيّاً.
SHA-256 Merkle tree · monotonic log · external root checkpoint
Key custodySchlüsselverwahrungحفظُ المفاتيح
Signing keys are generated and held in a hardware-backed boundary. At the Sovereign tier, the key is generated in — and never leaves — your jurisdiction.Signaturschlüssel werden in einer hardwaregestützten Grenze erzeugt und gehalten. In der Stufe Souverän wird der Schlüssel in Ihrer Jurisdiktion erzeugt — und verlässt sie nie.تُولَّد مفاتيحُ التوقيع وتُحفَظ ضمن حدٍّ مدعومٍ بالعتاد. وفي الطبقة السياديّة، يُولَّد المفتاحُ داخل ولايتكم — ولا يُغادرها أبداً.
HSM / KMS-backed · DID-resolved public key · documented rotation
Re-derivationRe-Ableitungإعادةُ الاشتقاق
Verification is stateless and open. Any party reconstructs the proof with standard libraries — no account, no SDK, no call home.Verifikation ist zustandslos und offen. Jede Partei rekonstruiert den Beweis mit Standardbibliotheken — kein Konto, kein SDK, kein Call-home.التحقّق عديمُ الحالة ومفتوح. يُعيد أيُّ طرفٍ بناءَ البرهان بمكتباتٍ معياريّة — دون حساب، ولا SDK، ولا اتّصالٍ بنا.
open /verify endpoint · client-side proof · see /verify
Data residency · sovereign by defaultDatenresidenz · souverän per Defaultإقامةُ البيانات · سياديٌّ افتراضاً
Stays in your jurisdictionBleibt in Ihrer Jurisdiktionيبقى في ولايتكم
● Counterparty raw dataGegenpartei-Rohdatenبيانات الطرف النظير الخام
● Evaluator inputsEvaluator-Eingabenمُدخَلات المُقيِّمات
● The signing key (Sovereign tier)Der Signaturschlüssel (Stufe Souverän)مفتاح التوقيع (الطبقة السياديّة)
→
ONLY ROOT
ONLY ROOT
Travels (if you allow)Reist (wenn Sie zustimmen)يُسافر (إن سمحتم)
● The Merkle root (a hash)Die Merkle-Wurzel (ein Hash)جذر ميركل (بَصمة)
○ No raw dataKeine Rohdatenلا بيانات خام
○ No personal identifiersKeine Personenkennungenلا مُعرِّفات شخصيّة
Region-bound deployment is a contractual clause and a deployment topology — sovereignty by clause and by code. GDPR Art. 5 (data minimisation) and residency-by-clause apply.Region-gebundene Bereitstellung ist eine Vertragsklausel und eine Deployment-Topologie — Souveränität per Klausel und per Code. DSGVO Art. 5 (Datenminimierung) und Residenz-per-Klausel gelten.النشرُ المُقيَّد إقليميّاً بندٌ تعاقديّ و طوبولوجيا نشرٍ معاً — سيادةٌ بالنصّ وبالشِّيفرة. وتنطبق المادّة 5 من GDPR (تقليل البيانات) والإقامةُ بالبند.
Threat model · what we defend againstBedrohungsmodell · wogegen wir uns verteidigenنموذجُ التهديد · ما الذي ندفعه
ThreatBedrohungالتهديد
DefenceVerteidigungالدفاع
Ed25519 signature over a canonical payload. Any change breaks verification, publicly and immediately.Ed25519-Signatur über einen kanonischen Payload. Jede Änderung bricht die Prüfung, öffentlich und sofort.توقيعُ Ed25519 على حمولةٍ قانونيّة. أيُّ تغييرٍ يَكسر التحقّق، علناً وفوراً.
Back-dating or quietly replacing a record.Rückdatieren oder stilles Ersetzen eines Eintrags.تأريخٌ رجعيٌّ أو استبدالٌ صامتٌ لسجلّ.
Append-only Merkle log with an externally checkpointed root. History cannot be rewritten without detection.Append-only-Merkle-Log mit extern fixierter Wurzel. Geschichte kann nicht unbemerkt umgeschrieben werden.سجلُّ ميركل قابلٌ للإضافة فقط بجذرٍ مُرسىً خارجيّاً. لا يُعاد كتابةُ التاريخ دون أن يُكتَشف.
Us being offline or disappearing.Wir offline oder verschwunden.أن نكون غيرَ متّصلين أو أن نختفي.
Verification is stateless. The artefact + public key + root are enough — re-derivable without us.Verifikation ist zustandslos. Artefakt + öffentlicher Schlüssel + Wurzel genügen — ohne uns nachvollziehbar.التحقّق عديمُ الحالة. الأَثَر + المفتاح العامّ + الجذر تكفي — قابلةٌ لإعادة الاشتقاق دوننا.
Data leaving its jurisdiction.Daten verlassen ihre Jurisdiktion.خروجُ البيانات من ولايتها.
Region-bound deployment; only the Merkle root travels. Raw data never crosses the boundary by default.Region-gebundene Bereitstellung; nur die Merkle-Wurzel reist. Rohdaten überschreiten die Grenze per Default nie.نشرٌ مُقيَّدٌ إقليميّاً؛ الجذرُ وحده يُسافر. ولا تَعبُر البياناتُ الخام الحدَّ افتراضاً.
A non-deterministic, unexplainable verdict.Ein nicht-deterministisches, unerklärliches Urteil.حُكمٌ غيرُ حتميٍّ لا يُفسَّر.
Pure deterministic evaluators with pinned rule versions. Same input, same output — no AI, no probabilistic ranking.Rein deterministische Evaluatoren mit fixierten Regelversionen. Gleiche Eingabe, gleiche Ausgabe — keine KI.مُقيِّماتٌ حتميّةٌ صِرفة بإصداراتِ قواعدَ مُثبَّتة. المُدخَلُ نفسُه يُنتِج المُخرَجَ نفسَه — لا ذكاءَ صناعيّ.
Security posture · current stateSicherheitslage · aktueller Standالوضع الأمنيّ · الحالة الراهنة
Open standardsOffene Standardsمعايير مفتوحة
Ed25519 · JCS · JWS · Merkle
Public proofÖffentlicher Beweisبرهانٌ علنيّ
/verify is live/verify ist live/verify حيّ
Formal auditFormales Auditتدقيقٌ رسميّ
Planned on incorporationGeplant bei Gründungمُخطَّطٌ عند التأسيس
Key policySchlüssel-Policyسياسةُ المفاتيح
Published on incorporationBei Gründung veröffentlichtتُنشَر عند التأسيس
We state posture honestly: cryptographic primitives are in place and the public surface is live today; a formal third-party audit and the full key-management policy are committed for incorporation and will appear, dated, on the Provenance log.Wir benennen die Lage ehrlich: kryptografische Primitive sind vorhanden und die öffentliche Fläche ist heute live; ein formales Drittaudit und die vollständige Schlüsselverwaltungs-Policy sind für die Gründung zugesagt und erscheinen datiert im Provenienz-Log.نُصرِّح بالوضع بأمانة: الأدواتُ التعموية قائمة والسطحُ العلنيُّ حيٌّ اليوم؛ أمّا التدقيقُ الرسميُّ من طرفٍ ثالثٍ وسياسةُ إدارة المفاتيح الكاملة فمُلتزَمان عند التأسيس، وسيَظهران مُؤرَّخَين في سِجِلّ الإصدارات.
Responsible disclosureVerantwortungsvolle Offenlegungالإفصاح المسؤول
Found a flaw? Tell the architect.Eine Schwachstelle gefunden? Sagen Sie es dem Architekten.وجدتَ خللاً؟ أخبِر المعماريّ.
We welcome good-faith security research. Report privately first; allow reasonable time to remediate before public disclosure. We will acknowledge, keep you informed, and credit you if you wish — every reply is signed.Wir begrüßen Sicherheitsforschung in gutem Glauben. Melden Sie zuerst privat; geben Sie angemessene Zeit zur Behebung vor der Veröffentlichung. Wir bestätigen, halten Sie informiert und nennen Sie auf Wunsch — jede Antwort ist signiert.نُرحِّب بأبحاث الأمان حَسَنةِ النيّة. أبلِغ سرّاً أوّلاً؛ وامنح وقتاً معقولاً للمعالجة قبل الإفصاح العلنيّ. سنُقِرُّ بالاستلام، ونُبقيك على اطّلاع، ونَنسب إليك الفضل إن شئت — وكلُّ ردٍّ موقَّع.
office@bostraion.com · subject:Betreff:الموضوع: “Security · Disclosure” · PGP on requestauf Anfrageعند الطلب