Apresentando o OOShare: Compartilhamento Seguro de Segredos e Imagens com Criptografia Zero-Knowledge

Toda equipe tem o mesmo segredo sujo: senhas, chaves de API, credenciais e capturas de tela sensíveis são compartilhadas por DMs do Slack, e-mail e mensagens de texto todos os dias. Essas mensagens ficam nos logs de chat para sempre, copiadas em arquivos corporativos, indexadas por buscas, sincronizadas entre dispositivos — um prato cheio para qualquer pessoa que consiga acesso.

Criamos o OOShare (Only Once Share) para resolver isso. Hoje lançamos como ferramenta gratuita e open source em ooshare.io.

O Problema Que Encontrávamos Sempre

Na DHD Tech, trabalhamos com clientes de múltiplas organizações. Isso significa um fluxo constante de credenciais entre equipes: senhas de banco de dados, chaves SSH, tokens de API, acesso a consoles cloud, credenciais de serviços terceiros. Os pontos de transferência são onde a segurança falha.

Eis o que víamos acontecendo — e o que provavelmente está acontecendo na sua empresa agora:

• Mensagens no Slack com senhas — pesquisáveis para sempre por qualquer pessoa no workspace, persistidas em backups, visíveis para admins, sincronizadas em cada dispositivo conectado
• E-mails com credenciais — encaminhados, arquivados, sincronizados com celulares e copiados de formas que ninguém rastreia
• Documentos compartilhados com chaves de API — Google Docs e páginas do Notion que sobrevivem ao projeto para o qual foram criados
• Capturas de tela de senhas e documentos de identidade — paradas no rolo da câmera, sincronizadas com o iCloud, backup no Google Photos, acessíveis de qualquer dispositivo vinculado

O problema raiz é a persistência. Esses canais são projetados para armazenar tudo permanentemente. Ótimo para conversas — péssimo para segredos. E imagens são ainda piores: diferente de uma senha que você pode rotacionar, um passaporte escaneado, prontuário médico ou contrato assinado vazado não pode ser "desvazado".

O Que o OOShare Faz

O OOShare permite criar links criptografados e autodestrutivos para informações sensíveis — texto e imagens no mesmo link. O fluxo é simples:

1. Digite ou cole seu segredo — texto de até 50.000 caracteres
2. Anexe uma imagem (opcional) — JPEG, PNG, GIF ou WebP até 10 MB
3. Defina uma expiração — escolha entre 1, 4, 12, 24, 48 ou 72 horas
4. Receba um link de uso único — compartilhe por qualquer canal
5. O destinatário abre uma vez — texto e imagem são exibidos, depois o link se autodestrói permanentemente

Se o link expirar antes de ser aberto, os dados criptografados são deletados automaticamente. Se alguém tentar o link uma segunda vez, verá "Segredo Não Disponível". Não há arquivo, índice de busca ou backup. O segredo existiu para exatamente uma visualização.

Por Que o Compartilhamento Criptografado de Imagens Importa

A maioria das ferramentas de compartilhamento de segredos lida apenas com texto. Mas algumas das informações mais sensíveis que as pessoas precisam compartilhar vêm como imagens:

• Documentos de identidade — passaportes, carteiras de motorista e RGs contêm seu nome completo, data de nascimento, foto e números de documento. Equipes de RH solicitam durante a integração. Imobiliárias precisam para contratos de aluguel. Uma vez vazados, você não pode mudar o número do passaporte.
• Prontuários médicos e exames — profissionais de saúde compartilham imagens diagnósticas entre especialistas. Protegidos por regulamentações como LGPD e GDPR, ainda são enviados como anexos de e-mail.
• Documentos jurídicos — contratos assinados, acordos e peças judiciais. Advogados compartilham regularmente com clientes e partes contrárias via e-mail.
• Registros financeiros — extratos bancários, documentos fiscais e comprovantes de pagamento contendo números de contas e dados pessoais.
• Capturas de tela de painéis administrativos — screenshots de configuração, logs de erro com dados sensíveis e credenciais de acesso capturadas de dashboards.

Diferente de senhas, imagens comprometidas não podem ser facilmente rotacionadas ou alteradas. Um passaporte escaneado vazado está permanentemente comprometido. O OOShare é a primeira ferramenta gratuita e open source que criptografa imagens com a mesma arquitetura zero-knowledge usada para texto — o servidor nunca vê a imagem original.

Como a Criptografia Funciona

A decisão de design mais importante do OOShare é a criptografia zero-knowledge no lado do cliente. Eis exatamente o que acontece quando você cria um segredo:

1. Seu navegador gera uma chave de criptografia aleatória usando a Web Crypto API
2. Tanto texto quanto imagem são criptografados localmente com AES-256-GCM — o mesmo padrão usado por governos e instituições financeiras no mundo todo
3. Cada segredo recebe sua própria chave única derivada usando HKDF-SHA-256, com o ID do segredo como contexto — comprometer um segredo não revela nada sobre qualquer outro
4. O ID do segredo é vinculado como Dados Autenticados Adicionais (AAD) durante a criptografia, amarrando criptograficamente cada payload ao seu segredo específico. Qualquer tentativa de adulteração causa falha na descriptografia
5. Apenas o texto cifrado é enviado ao servidor e armazenado temporariamente no Redis
6. A chave de descriptografia é colocada no fragmento da URL (a parte após o #). Conforme a RFC 3986, fragmentos de URL nunca são enviados ao servidor em requisições HTTP — a chave nunca sai do navegador do remetente e do destinatário

Quando o destinatário abre o link, o servidor executa uma operação atômica GETDEL no Redis — recupera os dados criptografados e os deleta em uma única operação. O navegador então usa a chave do fragmento da URL para descriptografar tudo localmente.

Isso significa que mesmo que alguém invada o servidor do OOShare, obterá um monte de blobs criptografados sem chaves para descriptografá-los. As chaves só existem no navegador do remetente e do destinatário. Nós não podemos ler seus segredos. Ninguém pode.

Por Que Open Source Importa para Ferramentas de Segurança

Ferramentas de segurança que pedem sua confiança sem mostrar como funcionam têm um problema fundamental de credibilidade. Fizemos o OOShare open source sob a licença MIT (github.com/dhdtech/oos) porque confiança deve ser verificável:

• Audite a criptografia — verifique que AES-256-GCM, HKDF-SHA-256 e a arquitetura zero-knowledge estão implementados corretamente
• Hospede na sua infraestrutura — implante o OOShare com Docker nos seus próprios servidores. A stack é React + Flask + Redis, totalmente containerizada. Mantenha tudo dentro da sua rede para requisitos de residência de dados e conformidade
• Faça fork e personalize — adapte para as políticas específicas da sua organização, regras de expiração ou marca
• Contribua — reporte bugs, sugira funcionalidades, melhore traduções ou envie código. A comunidade torna mais forte

Ferramentas de compartilhamento de segredos com código fechado pedem que você confie no marketing delas. Ferramentas open source pedem que você confie na matemática — e deixam você conferir.

Como o OOShare se Compara

Existem outras ferramentas de compartilhamento de segredos disponíveis. Eis onde o OOShare é diferente:

• vs. OneTimeSecret: O OneTimeSecret criptografa no servidor — seu texto puro viaja pela rede e o servidor o manipula antes da criptografia. O OOShare criptografa no seu navegador antes de qualquer transmissão. Também suporta compartilhamento criptografado de imagens (OneTimeSecret não), usa derivação de chave HKDF com vinculação AAD para isolamento criptográfico, e é totalmente open source com self-hosting via Docker
• vs. Privnote: Mesmas preocupações com criptografia no servidor. Sem suporte a imagens. Código fechado — você não pode verificar o que acontece com seus dados
• vs. Gerenciadores de senha com compartilhamento: Ferramentas como 1Password e LastPass exigem que ambas as partes tenham contas na mesma plataforma e frequentemente requerem planos pagos. O OOShare não exige nada — sem conta, sem assinatura, apenas um link
• vs. Apps de mensagens criptografadas: Signal e WhatsApp são excelentes para conversas, mas as mensagens persistem em ambos dispositivos indefinidamente. Foram projetados para comunicação contínua, não para transferência única de credenciais. O OOShare garante que o segredo existe por exatamente uma visualização

Feito para Todos

O OOShare é completamente gratuito, sem plano premium, sem limites de uso e sem necessidade de conta. Criamos porque precisávamos nós mesmos, e acreditamos que toda equipe merece acesso a ferramentas de segurança adequadas sem processo de compras.

A ferramenta está disponível em seis idiomas — inglês, chinês, espanhol, hindi, árabe e português — com detecção automática a partir das configurações do navegador. Seja você um desenvolvedor compartilhando chaves de API, uma equipe de RH integrando novos funcionários em diferentes países, ou um indivíduo enviando documentos pessoais para um advogado, o OOShare funciona para você.

Especificações principais:

• Criptografia: AES-256-GCM com derivação de chave HKDF-SHA-256 (no navegador)
• Texto: Até 50.000 caracteres por segredo
• Imagens: JPEG, PNG, GIF, WebP até 10 MB — criptografadas com a mesma arquitetura zero-knowledge
• Expiração: 1h, 4h, 12h, 24h, 48h ou 72h
• Idiomas: Inglês, Chinês, Espanhol, Hindi, Árabe, Português
• Self-hosting: Deploy via Docker Compose com React + Flask + Redis
• Licença: MIT — use, faça fork, implante como quiser

Experimente o OOShare Agora

Acesse ooshare.io e crie seu primeiro link criptografado. Sem cadastro, sem configuração — cole seu texto, anexe uma imagem se precisar, escolha a expiração e compartilhe o link.

Quer hospedar ou contribuir? Confira o repositório no GitHub. Quer entender a arquitetura de segurança em profundidade? Visite a página de segurança.

Pare de enviar senhas e capturas de tela sensíveis pelo Slack. Seu eu do futuro — e sua equipe de segurança — agradecerão.