← Tutte le guide

Prompt privati: cifratura e calcolo confidenziale

Ogni prompt di Halo è cifrato end-to-end. La modalità confidenziale lo sigilla in un enclave hardware che l'operatore non può leggere, con attestazione locale verificabile.

Halo protegge i tuoi prompt con due livelli. La cifratura end-to-end li nasconde al relay ed è attiva per impostazione predefinita. La modalità confidenziale va oltre: li nasconde perfino all’operatore cifrandoli verso un enclave hardware — con una prova che puoi verificare tu stesso.

Halo è in alpha sulla mainnet di Base con USDC reale.

Cifratura end-to-end (attiva per impostazione predefinita)

Non devi attivarla — ogni volta che l’operatore la supporta (tutti gli operatori in alpha lo fanno), la tua richiesta viene cifrata end-to-end verso quell’operatore e il relay inoltra solo testo cifrato. Ogni risposta porta un badge:

  • 🔒 E2E · fingerprint — cifrato. Fai clic per vedere i dettagli del canale (algoritmo, l’impronta della chiave dell’operatore) e un avvertimento onesto: è cieco per il relay, non per l’operatore — l’operatore decifra comunque il tuo prompt per eseguire il modello.
  • relay-visible — un badge di avviso mostrato se una risposta non è stata cifrata.
ChannelRelay-blind, end-to-end to the operator Algorithmx25519-aes256gcm
Operator key fingerprint
793B-EC2C-4494
SHA-256 (pubkey)
793bec2c4494cfeca9bd088c691dbb1f990fd03640ace654867403ff75d62678
X25519 pubkey
a82082be32ad1b6b269acccac44245bea39a4c47218058fa58bb5b48448a6053

Relay-blind, not operator-blind. The Halo relay can't read this — it only tunnels ciphertext. The operator that runs your inference does decrypt and see the prompt. This proves nobody in the middle read or altered it, not that nobody read it.

The reply decrypting (its AES-GCM tag verified) is what makes this proof and not a label — only the holder of the key above could have produced it. The key is session-scoped and rotates when the operator restarts.

Illustration — the E2E encryption report

Se ti serve privacy totalmente verificabile, attiva la modalità confidenziale.

Modalità confidenziale (cieca per l’operatore, attestata dall’hardware)

La modalità confidenziale cifra il tuo prompt direttamente verso un TEE hardware (enclave di NEAR AI Cloud) che l’operatore non può leggere — inoltra solo testo cifrato sigillato, e la risposta viene firmata dentro l’enclave.

Come attivarla:

  • È una pillola Confidential (icona a scudo) nel compositore, disattivata per impostazione predefinita e abilitata per singola richiesta.
  • L’interruttore appare solo quando è davvero disponibile — il modello selezionato ha un operatore confidenziale (TEE) online e stai usando il saldo del vault. I modelli che possono girare in modalità confidenziale mostrano uno scudo nel selettore di modelli.

Mentre la richiesta viene eseguita, una checklist mostra il sigillo verso l’enclave: operatore TEE fissato → enclave attestato (Intel TDX / H200) → prompt cifrato verso l’enclave → in esecuzione dentro l’enclave → risposta verificata.

Verificare la prova

Dopo una risposta confidenziale, il badge dice Confidential · verified. Fai clic per aprire la prova, che ha due parti:

  1. Verifica della firma (automatica). Halo controlla che la risposta sia stata firmata esattamente dall’enclave indicato in un report di attestazione ottenuto in modo indipendente — mostrato come “Reply signer matches attestation.” Questo viene eseguito su ogni risposta confidenziale.
  2. Attestazione dell’hardware (opzionale, su richiesta). Premi Verify hardware attestation per eseguire una verifica completa senza necessità di fiducia direttamente nel tuo browser: conferma la prova Intel TDX e l’evidenza NVIDIA H200 e che sono vincolate a questo firmatario. Le pillole passano a “verified” quando la verifica passa (il verificatore impiega un paio di secondi per caricarsi).
Confidential — verified

Your prompt was encrypted to a hardware enclave the operator can't read. The reply was signed inside that enclave, and your browser verified the signature recovers to the same signer named in the enclave's independently-fetched, public attestation — so the operator could only relay ciphertext, never read or forge it.

Hardware attestation
Intel TDX verified NVIDIA H200 verified Bound to this signer
Fully verified — the enclave's quote chains to Intel's root and binds this signer; the relay could not have forged it.
Signature check
Reply signer matches attestation
Confidential provider (whose attested enclave this is)
NEAR AI Cloud
Model
deepseek-ai/DeepSeek-V4-Flash
Attested enclave signer
0xc5f6bf2f1bc666569157ec1bb4066cdaf48d026c
Enclave public key (your prompt was sealed to this)
34ba223c3175c4debee8cd12d72f55869b6cf1ccc5ff578e940a23c7bf9dcf3abd6530ce8d8624ffd150900fd31bae802eb75367a154a75e39cc87f748b63b84
Operator (relayed ciphertext only — never saw your prompt)
0x5b1e2587f5debdade3579e702e7cc06be9610d14
View raw attestation report ↗ Close
Illustration — the confidential (TEE) proof

Il pannello della prova mostra anche il provider, il modello, il firmatario dell’enclave attestato, la dichiarazione firmata, la chiave pubblica dell’enclave e un link al report di attestazione grezzo.

Quando la verifica non passa

  • Se la configurazione dell’enclave o la decifratura fallisce, la richiesta fallisce in modo sicuro (fail closed) — ricevi un errore, mai un declassamento silenzioso a testo in chiaro.
  • Se la firma di una risposta non coincide con l’attestazione, l’esecuzione viene contrassegnata “Reply signature mismatch — rejected” e il badge resta a not verified. Tratta come non affidabile qualsiasi risposta che non sia contrassegnata come verified — non usarla come se fosse confidenziale.

Correlati