{"id":"c0024","filename":"c0024_gbs_v1_skripta_funkcija_sigurnosti.dok.json","weise3_id":"c0024","tip":"skripta_tehnicka","naziv":"(bez naziva)","kreator":"Ivan Brtan — Konjik d.o.o.","datum":"2026-05-03","snippet":"","status":"AKTUALNO","prev_weise3":"","bunker_l":"#00d4ff","full":{"weise3_id":"c0024","tip":"skripta_tehnicka","naslov":"GBS v1.0 — Skripta funkcija i razina sigurnosti","podnaslov":"Genesis Biometrijski Standard™ — tehnički pregled za evaluatore","autor":"Ivan Brtan — Konjik d.o.o.","datum":"2026-05-03","verzija_standarda":"GBS-v1.0","status":"AKTUALNO","dokument_tip":"white_paper","svrha":"Tehničko-sigurnosni pregled GBS v1.0 za novinare, revizore, partnere i informatičke časopise. Opisuje svaku funkciju, koji problem rješava, i na kojoj razini sigurnosti to čini.","kontekst":{"problem":"Svaki suvremeni sustav prijave oslanja se na centralnog posrednika — Google, Apple, Microsoft. Ako taj posrednik padne, laže, ili te blokira — ostao si bez identiteta. Rješenje koje zamjenjuje centralnog posrednika mora biti: matematički dokazivo, hardware-backed, recover-able, i otvoreno.","riješen_s":"Genesis Biometrijski Standard v1.0 — dvoslojna arhitektura bez centralnog servera.","registry":"Genesis chain (DokArh) — pohranjen na BORG mreži čvorova, vidljiv svima, dostupan offline."},"sloj_1_core_identity":{"naziv":"L1 — Core Identity (Ed25519 passphrase sloj)","mehanizam":"passphrase → PBKDF2(100.000 iteracija, SHA-256) → 32-bajtni seed → Ed25519 keypair","identifikator":"WeisE3 ID = SHA3-256('WEISE3::sadržaj::kreator::ctx::FENIX2026') — 64-znakni hex","gdje_živi":"Isključivo u memoriji browsera. Privatni ključ nikad ne napušta uređaj.","prenosivost":"Potpuna — isti passphrase na bilo kojem uređaju generira isti identitet.","funkcije":[{"f":"F1.1 — Registracija","opis":"Idempotentni POST. Isti passphrase uvijek vraća isti weise3_id. Nema 'zaboravio sam lozinku' problema — passphrase IS identitet.","endpoint":"POST /api/v1/genesis/auth/registracija"},{"f":"F1.2 — Challenge-response autentikacija","opis":"Server šalje 32-bajtni slučajni challenge. Klijent potpisuje Ed25519 privatnim ključem. Server verificira javnim ključem. Replay attack nemoguć — svaki challenge jedinstven, TTL 60s.","endpoint":"POST /api/v1/genesis/auth/challenge + /verify"},{"f":"F1.3 — Trust Tier dodjela","opis":"Sustav automatski dodjeljuje razinu povjerenja ovisno o kriptografskom putu. 'native' (hardware WebCrypto) → 30 dana sesija. 'noble' (pure-JS fallback) → 2 sata. 'untrusted' → 30 min.","tiers":["native=30d","noble=2h","untrusted=30min"]},{"f":"F1.4 — Sesija kao chain zapis (ZAKON 14)","opis":"Svaka uspješna prijava upisuje se u Genesis chain kao dokarh blok tipa 'sesija.genesis'. Revizori i auditori imaju nepromijenjivu povijest svakog logina.","tip_dokarh":"sesija.genesis"}],"sigurnosna_razina":{"algoritam":"Ed25519 (Curve25519, EdDSA)","sigurnost_bita":128,"kljuc_velicina_b":32,"otpornost_na":["brute-force","replay-attack","MITM (TLS+challenge binding)","server-side leak (privatni ključ NIKAD ne putuje)"],"nije_otporno_na":["kompromitacija uređaja (device malware)","passphrase guess (korisnikov izbor fraze)"],"kvantna_prijetnja":"Shorův algoritam može slomiti Ed25519 na kvantnom računalu >4000 qubita. Mitigacija: L2 FenixVault L5.","certifikati":"RFC 8032 (IETF), W3C WebCrypto Level 1"}},"sloj_2_device_credential":{"naziv":"L2 — Device Credential (WebAuthn biometrija)","mehanizam":"WebAuthn Level 2 — platform authenticator (TPM/Secure Enclave/Titan chip). FIDO2 kompatibilno.","identifikator":"device_id = SHA3-256('GENESIS::DEVICE::genesis_id::credential_id')","gdje_živi":"Unutar hardvera uređaja (TPM, Apple Secure Enclave, Android StrongBox). Privatni ključ FIZIČKI ne može izaći iz čipa.","funkcije":[{"f":"F2.1 — Registracija uređaja (L1 required)","opis":"Nakon L1 prijave, korisnik registrira biometrijski uređaj. WebAuthn atestacija verificira da je kredencijal hardware-bound. Pohranjen u Genesis chain — samosuveren registry bez Googlea/Applea.","endpoint":"POST /api/v1/genesis/auth/biom/register/options + /register/complete"},{"f":"F2.2 — Biometrijska prijava (javni endpoint)","opis":"Klijent poziva navigator.credentials.get() — OS traži biometriju (lice/otisak prsta). TPM/SE potpisuje challenge. Server verificira. Cijeli tok: <1s. Bez tipkovnice, bez lozinke.","endpoint":"POST /api/v1/genesis/auth/biom/auth/options + /auth/verify","trajanje_sesije_d":30},{"f":"F2.3 — Recovery Cigla (jedanput)","opis":"Pri registraciji PRVOG uređaja generira se 12 slučajnih Genesis riječi (HR rječnik, 256 izvora, ~88 bita entropije). Prikazuju se JEDANPUT korisniku. U chain se pohranjuje samo SHA3-256 hash. Korisniku: 'Ako izgubite sve uređaje, ove 12 riječi vas vraćaju.'","entropija_bita":88,"buducnost":"Shamir SSS v2.0 — distribucija Recovery Cigle na 5 BORG čvorova (3-of-5 rekonstrukcija)"},{"f":"F2.4 — FenixVault L5 kvantni pečat","opis":"Svaka atestacija uređaja omotava se FVAULT-L5 pečatom. Sprint 0: SHA3-512 HMAC s genesis_id kontekstom. Produkcija: ML-DSA-65 + Kyber-1024 (NIST FIPS 204/203). Pečat je vidljiv u chain entryu i može ga verificirati svaki BORG čvor.","format":"FVAULT-L5::{hex}","standard":"BPZ-9 Level 5"},{"f":"F2.5 — Revokacija uređaja s audit trailom","opis":"Svaki opoziv uređaja upisuje se u Genesis chain kao nepromijenjiiv zapis. Revizori vide tko je, kada i koji uređaj opozvan. DELETE bez traga ne postoji.","endpoint":"DELETE /api/v1/genesis/auth/biom/devices/{device_id}"},{"f":"F2.6 — Self-Sovereign Registry","opis":"Genesis chain IS device registry. Apple iCloud ne zna za tvoje uređaje. Google ne zna. Microsoft ne zna. BORG čvorovi (grosmarkt-online.eu, genesis.limit-connect.com, ...) repliciraju chain entrye. Sustav nastavlja raditi čak i ako padne origin server.","registry_čvorovi":["genesis.limit-connect.com","grosmarkt-online.eu/brsljani","+ N EU čvorova"]}],"sigurnosna_razina":{"algoritam":"WebAuthn Level 2 + TPM 2.0 / Apple Secure Enclave / Android StrongBox","sigurnost_bita":256,"hardware_bound":true,"fizicka_nemogucnost_ekstraktcije_kljuca":true,"otpornost_na":["phishing (origin binding — kredencijal vrijedi SAMO za genesis.limit-connect.com)","replay-attack (challenge jedinstven, TTL 120s)","MITM (origin binding + TLS)","server-side leak (privatni ključ u hardveru — server ga nikad ne vidi)","brute-force (TPM blokira pokušaje, biometrika je lokalna provjera)","credential theft (hardware bound — ne može se kopirati)"],"nije_otporno_na":["fizički pristup uređaju uz prisilu (rubber-hose)","0-day u firmware TPM-a"],"kvantna_prijetnja":"Shorův algoritam NE može napasti EC credential u TPM-u direktno. FenixVault L5 dodaje post-kvantni omotač atestacije.","certifikati":["W3C WebAuthn Level 2 (2021)","FIDO Alliance FIDO2","NIST SP 800-63B (AAL3 kompatibilno)"],"trust_tier":"native — 30 dana sesija, sve operacije dozvoljene"}},"sloj_kvantna_zastita":{"naziv":"FenixVault™ BPZ-9 L5 — Kvantna zaštita","sprint0_implementacija":"SHA3-512 HMAC(genesis_id + payload) — format: FVAULT-L5::{hex}","produkcija_q3_2026":"ML-DSA-65 (CRYSTALS-Dilithium3, NIST FIPS 204) + Kyber-1024 (CRYSTALS-Kyber, NIST FIPS 203)","sigurnost_bita_post_kvantno":192,"otporno_na_shorv_algoritam":true,"vremenski_horizont_sigurnosti_god":50,"pozicija_u_bpz9":"Layer 5 of 9 (L5) — svaki dokument koji izlazi iz sustava","kompatibilnost":"NIST PQC Round 4 finalists (2024 standardizacija)"},"samosuveren_registry":{"naziv":"Self-Sovereign Registry — Genesis chain kao device registry","usporedba":{"PassKey_Apple":"Privatan iCloud sync. Apple može blokirati. Vendor lock-in.","PassKey_Google":"Google Password Manager. Google može blokirati. Vendor lock-in.","GBS_v1":"Genesis chain (DokArh) + BORG mreža. Nitko ne može blokirati. Nema vendor lock-in. CC0 licenca."},"chain_entry_format":{"tip":"webauthn_device_auth","standard":"GBS-v1.0","sadrzaj":["genesis_id","device_id","credential_id","kvantni_pečat","recovery_hash","registrirano"],"vidljivo_svim_borg_cvorovima":true,"nepromijenljivo":true}},"sdk":{"naziv":"GenesisAuth SDK v2.0","licenca":"CC0 — javna domena, koristi bez plaćanja","integracija":"","api_metode":["GenesisAuth.login() — popup flow s L1+L2 integriranim tokom","GenesisAuth.loginDirect(passphrase) — inline L1 prijava","GenesisAuth.biometric.login(genesis_id) — 1-dodir L2 bez passphrasse","GenesisAuth.biometric.registerDevice(session_token) — registracija uređaja + Recovery Cigla","GenesisAuth.biometric.isAvailable() — provjera TPM/SE hardvera","GenesisAuth.biometric.hasDevice(genesis_id) — lokalna provjera registriranog uređaja","GenesisAuth.biometric.revokeDevice(device_id) — opoziv s chain audit trailom"],"browser_support":{"L1_Ed25519_native":"Chrome 113+, Firefox 130+, Edge 113+","L1_Ed25519_fallback":"Chrome 80+, Firefox 60+, Safari 14+, KaiOS (noble/pure-JS)","L2_WebAuthn":"Chrome 67+, Safari 14+, Firefox 60+, Edge 79+"}},"usporedba_s_konkurencijom":[{"sustav":"Google/Apple PassKey","vendor_lockup":true,"hardware_bound":true,"offline_verifikacija":false,"chain_registry":false,"recovery":"cloud backup (vendor-kontrolirano)","post_kvantno":false,"open_source":false,"cijena":"besplatno ali podaci ostaju kod vendora"},{"sustav":"OAuth2 / OpenID Connect","vendor_lockup":true,"hardware_bound":false,"offline_verifikacija":false,"chain_registry":false,"recovery":"email reset (phishable)","post_kvantno":false,"open_source":true,"cijena":"besplatno ali identity ovisi o IdP-u"},{"sustav":"GBS v1.0 (ovaj standard)","vendor_lockup":false,"hardware_bound":true,"offline_verifikacija":true,"chain_registry":"Genesis DokArh — BORG mreža","recovery":"Recovery Cigla (12 HR riječi) — Shamir SSS ready","post_kvantno":"FenixVault L5 — ML-DSA-65 ready","open_source":"CC0 — javna domena","cijena":"besplatno, bez vendor ugovora, bez vendor podataka"}],"ukratko_za_casopis":"GBS v1.0 kombinira Ed25519 kriptografiju (128-bit sigurnost, L1) s hardware-bound WebAuthn (256-bit, L2, TPM/Secure Enclave) bez centralnog servera. Identitet živi u Genesis chainu koji replicira BORG mreža čvorova. Recovery Cigla od 12 hrvatskih riječi zamjenjuje cloud backup. FenixVault L5 dodaje post-kvantni omotač (ML-DSA-65). Sve je CC0 — uzmi i koristi bez plaćanja, ali chain je zajednički.","evaluatori_mogu_provjeriti":["https://genesis.limit-connect.com/auth/popup — živa demo prijava","https://genesis.limit-connect.com/api/v1/genesis/auth/biom/auth/options (POST) — live API","https://github.com/{repo}/genesis-auth.js — SDK izvorni kod","Schema: schema_dokarh/genesis/c0024_gbs_v1_skripta_funkcija_sigurnosti.dok.json"],"_opp_seal":"GBS-V1-SKRIPTA-2026-05-03-KONJIK","_zakon_ref":["ZAKON 1A (FenixVault, WeisE3)","ZAKON 2 (Bršljan pohrana)","ZAKON 3 (Trojna pohrana)","ZAKON 14 (Sesija kao chain)"]}}