Integritet
Din bils data är dina. Här är exakt hur vi håller det så — i klartext, inga överraskningar med fin stil.
Kortversionen
Det är den del ingen annan Tesla-logger erbjuder. Vi utformade BlackCurrent så att ha dina data och läsa dina data är två olika saker: vi har dem, du har nyckeln. Du har kontroll över nyckeln, så du har kontroll över data — och vi behöver aldrig be dig att bara lita på oss.
Vad detta betyder för dig
- Ett intrång i vår databas ger angriparen chiffertext — oanvändbar utan din lösenfras.
- Vårt eget team ser alltid bara chiffertext i lagringen. Det finns ingen intern ”visa den här användarens körningar”-brytare.
- Om vi någon gång köps upp, eller får en begäran om din historik, kan vi bara vidarebefordra chiffertext. Vi kan inte dekryptera det vi inte har nyckeln till.
- Ingen analys, annonsinriktning eller datahandel på ditt innehåll — arkitekturen tillåter det inte, även om vi ville.
- Vår enda affärsmodell är din prenumeration. Det är överenskommelsen.
Så fungerar det
När du registrerar dig skapar din lösenfras en privat nyckel på vår server. Vi låser den nyckeln med din lösenfras — med en medvetet långsam lösenordsförstärkningsprocess utformad för att göra råstyrka opraktisk — och lagrar bara det låsta blocket. Din lösenfras kastas innan registreringsbegäran returnerar.
När du loggar in härleder vi nyckeln på nytt ett kort ögonblick, låser upp din krypteringsnyckel, låser den igen med en kortlivad sessionshemlighet, lagrar den sessionslåsta versionen i vår cache och glömmer lösenfrasen igen. Varje sida du laddar dekrypterar bara så mycket data som behövs för att rita den sidan, i minnet, och kastar det sedan.
När din Tesla skickar oss ny telemetri kan vi bara skriva — vi förseglar varje parti med din offentliga nyckel så att vi inte kan läsa tillbaka det förrän du loggar in.
Vad vi ser, och vad vi inte ser
| Vi ser (alltid) | Vi ser (bara när du är inloggad) | Vi ser aldrig |
|---|---|---|
| Din e-post och en låst kopia av din krypteringsnyckel | Det dekrypterade innehållet på sidan du laddar just nu | Dina data när du är utloggad |
| Din prenumerationsstatus | Dina körningar, laddningar eller batterihistorik i säkerhetskopior | |
| Din bils identifierare (så att vi vet vart data ska dirigeras) | Exporterade data du laddar ner till din egen enhet | |
| Din offentliga nyckel (kan inte dekryptera något) | Sammanställd statistik över användare | |
| Tidsstämplar, byte-antal, felfrekvenser | Din lösenfras (efter att inloggningen slutförts) |
Vad vi prenumererar på från din Tesla
Teslas Fleet Telemetry låter oss välja en exakt lista över signaler bilen strömmar till oss. Vi väljer brett över signalkategorier som driver befintliga funktioner och dem vi väntar oss att släppa de närmaste 6-12 månaderna. Resonemanget: att lägga till en signal senare kostar månader av historisk ackumulering innan någon funktion byggd på den har data att rita. Den billigare riktningen är ”samla nu, bygg senare”. Varje signal krypteras med din nyckel innan den landar i vår lagring, så bredden i insamlingen ändrar inte vem som kan läsa den (fortfarande bara du).
Hela signallistan — varje kategori vi tar emot, och vad var och en driver
| Kategori | Vad det driver |
|---|---|
| Fordonets tillstånd (vaken / sover / kör / laddar) | Översikten vet om din bil talar; sessionsdetektering (körningar, laddningar) läser från denna auktoritativa signal i stället för att gissa utifrån hastighet eller laddningsnivå |
| Energi och batteri (laddningsnivå, räckviddsuppskattningar, paketspänning / -ström, cellspänningar, modultemperaturer) | Batterihälsovy; räckviddsplanering; spårning av degradering över tid |
| Laddning (tillstånd, ampere, effekt, tillförd energi, tid till fullt, laddgräns, laddarfaser) | Laddlogg med sammanfattningar av kWh / km / kostnad; skilja snabbladdare från hemmaladdning |
| Körning (hastighet, växel, position, riktning, GPS-status, vägmätare, körläge) | Realtidsspårning av körningen; sträcka och snitthastighet per resa; spår på kartan |
| Klimat / termik (temperatur inne / ute, status för batterivärmare, förkonditionering, varning om låg effekt till uppvärmning) | Historik för kupétemperatur; räckviddsjustering i kallt väder; detektering av förkonditionering |
| Däck (tryck x 4 och tidsstämpel för senast sedda tryck x 4) | Logg över däcktryck; detektering av långsam läcka |
| Schemaläggning / planering (schemalagd laddstart / -läge / -väntande, avgångstid, Supercharger-resplanerare) | Bekräfta att dina inställningar stämmer med vad bilen faktiskt gör; historik för resplanering |
| Fordonets metadata (programvaruversion, bilnamn, fordonskonfiguration: modell, utförande, färg, fälgar, regionala flaggor) | Historik för programvaruuppdateringar; korrelera beteendeförändringar med uppdateringar; standardvärden för räckviddsmodellering matchar din bil |
| Farthållarstatus (inställd hastighet, följeavstånd) | Historik för adaptiv farthållare; ”du satte 130 km/h på den här motorvägssträckan”. Ökar inte avslöjningsrisken: din hastighet i någon punkt i rummet täcks redan av körsignalerna ovan |
| Sentry-lägets status | Insikter om strömförbrukning: korskorrelera Sentry-tid med förändring i laddningsnivå för att räkna ut ”din Sentry kostade 0,8 kWh över natten på flygplatsen” |
| Självkörningsstatistik (kilometer totalt, FSD-kilometer sedan nollställning; HW4-bilar på programvara 2025.44.25.5+) | Bara sammanlagda räknare (inte poster per händelse), så de beskriver totalt användande utan att rekonstruera enskilda FSD-episoder |
| Reskontext (destinationsnamn + ankomsttid, kilometer / minuter till ankomst, förväntad laddningsnivå vid ankomst, trafikfördröjning, flaggor för hem / jobb / favorit) | ”Du kom hem 18:42 med 32 % laddningsnivå”; geofence-medvetna funktioner |
| Förlopp för programvaruuppdatering (version, nedladdning i %, installation i %, planerad start) | ”Uppdatering tillgänglig / installerar nu”-indikator; historik över programvaruversioner |
| Drivlinans termik (temperatur i kylfläns / inverter / stator, status för högspänningslås; fram + bak) | Spårning av degradering i drivenheten; korrelera prestandaförlust på varma dagar |
| Powershare / V2X (status, timmar kvar, momentan effekt, typ, stopporsak) | ”Ditt hus drog 4,2 kW från bilen över natten” för användare med Powershare |
| Spelas nu (status, källa, titel, artist, album, station; ingen uppspelningsposition eller volym) | ”Ljudspåret till den här körningen”. Position och volym utelämnas som lågvärdigt och högfrekvent |
| Användarinställningar (24-timmarstid, enheter för laddning / sträcka / temperatur / däcktryck) | Styr hur vi ritar varje tal på översikten. Utan dem måste vi gissa |
Vad vi medvetet inte prenumererar på, och varför
Tesla sänder många fler signaler än vi hämtar. Undantagen nedan är inte godtyckliga — de är ett varumärkeslöfte. Krypteringen skyddar data från oss, men blotta förekomsten av bevisdata på ditt konto inbjuder till tredjeparts domstolsorder i tvister om krock, försäkring eller brottsbekämpning. Då skulle det vara du som tvingades lämna ut din nyckel. Att inte samla in dem kringgår hela samtalet.
| Vad vi inte samlar in | Varför inte |
|---|---|
ADAS / kollisionsvarningar (BlindSpotCollisionWarning, ForwardCollisionWarning, LaneDepartureAvoidance, EmergencyLaneDepartureAvoidance, SpeedLimitWarning, AutomaticEmergencyBrakingOff) |
Mål för försäkrings- och rättstvister |
Pedalpositioner (BrakePedal, BrakePedalPos, PedalPosition) |
Mål för rekonstruktion av kollisionsskuld |
Sätesbeläggning och bilbälten (DriverSeatBelt, PassengerSeatBelt, DriverSeatOccupied) |
Avslöjar vem som var i bilen; mål för civil bevisföring |
Kupéövervakning (DoorState, Locked, FdWindow, FpWindow, RdWindow, RpWindow, SeatHeaterLeft, SeatHeaterRight, SeatHeaterRear*, GuestModeMobileAccessState) |
Fastställer fysisk närvaro och en åtkomsttidslinje som inget annat vi samlar in kan härleda |
Inget av detta är spärrat av Teslas API; vi ber helt enkelt inte om dem. Om en framtida funktion verkligen behöver en av dem förklarar vi varför på den här sidan och släpper ett samtycke per fordon i stället för att slå på det för alla.
Historisk noggrannhet och fallet med ”den tysta bilen”
Teslas telemetri sänder bara en signal när dess värde ändras. En bil parkerad i en månad sänder väldigt lite. För att det att bläddra tillbaka till förra månadens vy av (till exempel) laddningsnivå fortfarande ska visa en graf i stället för ett tomt fält, ber vi Tesla att skicka nyckelsignaler på nytt i en fast takt även när inget ändrats. Omsändningen är hastighetsbegränsad och slår bara in på programvara 2024.44.32 eller senare; äldre programvara fungerar fortfarande, grafen blir bara tunnare i lugna perioder.
Hur molnkryptering passar in
Tre krypteringslager står mellan en utomstående angripare och dina fordonsdata. Varje försvarar mot ett olika hot. Bara ett av dem gör att integritetslöftet håller. Vi vill vara precisa med vilket som är vilket, för att säga ”vi krypterar allt” utan att skilja på vem som har vilken nyckel är det enklaste sättet att vilseleda på.
| Lager | Vad som är krypterat | Vem som har nyckeln | Vad detta försvarar |
|---|---|---|---|
| 1. Infrastruktur | Själva diskarna och lagringen | Vår molnleverantör, automatiskt | Förlorad, stulen eller avvecklad hårdvara. Disken är oläsbar för alla utanför leverantören utan en giltig begäran. |
| 2. Plattform | Granskningsloggar, Teslas behörighetstoken, din sessionslåsta krypteringsnyckel | Molnleverantören, på vårt konto | Intrång i vår kod eller våra operatörsuppgifter. En angripare med våra uppgifter måste fortfarande anropa leverantörens nyckeltjänst för att låsa upp något; de anropen lämnar ett granskningsspår vi kan gå igenom. |
| 3. Dina fordonsdata | Varje körning, laddning, GPS-punkt och battericykel i vår lagring | Du ensam, härledd från din lösenfras | Allt annat. Molnleverantören kan läsa lager 1 och 2 under laglig tvång. Lager 3 kan de inte läsa eftersom nyckeln aldrig når deras hårdvara. |
Vad detta betyder konkret:
- En laglig domstolsorder riktad mot molnleverantören kan tvinga dem att dekryptera lager 1 och 2. De lämnar ut granskningsloggar, Teslas behörighetstoken (som ger den som begär samma insyn i din Tesla som vi har — Teslas realtidskanal, inte din historik) och de krypterade block som lagrar dina fordonsdata. Själva blocken kan de inte dekryptera; det kräver din lösenfras, som leverantören aldrig sett och som vi kastar direkt efter inloggning.
- Ett intrång i vår kod eller våra operatörsuppgifter begränsas av samma arkitektur. Lager 2 går att granska — vi ser vem som låste upp vilken session och när. Lager 3 är oläsbart för oss oavsett om vi är komprometterade, eftersom den upplåsta krypteringsnyckeln bara finns i minnet medan du aktivt använder appen.
- Ett komprometterande av dig (din lösenfras, din enhet) är det enda denna arkitektur inte kan försvara mot. Det är den inneboende kostnaden av att ha nyckeln själv: ingen annan kan tappa bort den, och ingen annan kan återställa den åt dig. Skriv ner den.
Var allt detta bor
All BlackCurrent-infrastruktur körs inom Europeiska unionen, hos en välkänd molnleverantör, i en region styrd av EU:s dataskyddslagstiftning. Dina krypterade data lämnar den aldrig. Vi använder ingen tredjepartsanalys, inga annonsnätverk och inga datamäklare.
De ärliga gränserna
Ingen säkerhetsutformning är absolut, och vi visar dig hellre kanterna än låtsas att de inte finns. Här är de i klartext, var och en med vad vi gör åt den — grovt sorterade efter vem som bör bry sig. De flesta kommer aldrig att röra någon av dem.
1. Medan du är inloggad är din nyckel kort i vårt minne
Din krypteringsnyckel bor i vårt minne under aktiva begäranden. Om våra servrar komprometterades under din session skulle en angripare med åtkomst till det minnet kunna läsa dina data så länge din session hölls öppen. Sträng ände-till-ände-kryptering som Signals skulle utesluta detta; vår gör det inte.
Åtgärder vi har på plats:
- Aggressiva tidsgränser vid inaktivitet (standard: utloggning efter 30 minuters inaktivitet).
- Inga läsbara kopior skrivs någonsin till disk eller loggar — säkerställt av en strukturerad logger med en tillåtlista över säkra fält.
- Produktionsåtkomst granskas; varje gång nyckeltjänsten låser upp en session loggas det anropet och kan granskas.
Är just detta hot din främsta oro, passar ett alternativ med egen server som TeslaMate bättre.
2. En framtida, riktad domstolsorder är det enda vi inte kan konstruera oss bort från
Om en myndighet ålägger oss att avlyssna en viss användares framtida sessioner kan vi tekniskt sett inte vägra. De data vi redan har i vila är oanvändbara för dem (vi kan inte dekryptera dem utan din nyckel), men vi kan inte garantera att en framtida session inte skulle kunna bli föremål för en påtvingad avlyssning. Vi kommer att publicera en transparensrapport.
3. Teslas behörighetstoken hålls med vår nyckel, inte din
Teslas behörighetstoken (det Tesla ger oss för att ta emot dina data å dina vägnar) måste kunna användas medan du är offline — annars kunde vi inte strömma ny telemetri in på ditt konto. Dessa token är krypterade med vår nyckel, inte din. Vi behandlar dem som inloggningsuppgifter till Tesla, inte som dina fordonsdata. Du kan återkalla dem när som helst från ditt Tesla-konto, och vi raderar dem när du avslutar.
4. Ny telemetri är läsbar ett ögonblick när den kommer
När din bil strömmar nya data till vår mottagningsserver finns de i minnet under några hundra millisekunder innan vi förseglar dem med din offentliga nyckel. De skrivs aldrig till disk eller loggar i den formen. Kodbiten som gör denna försegling kommer att publiceras som öppen källkod så att du kan verifiera påståendet.
Vad detta betyder i praktiken
Om vi blir hackade — den stulna databasen, lagringen eller säkerhetskopiorna innehåller bara chiffertext. Angriparen behöver varje enskild användares lösenfras, var för sig, för att läsa något alls.
Om vi får en domstolsorder om din historik — vi lämnar ut chiffertext. Vi kan inte ta fram klartext. Vi berättar för dig att domstolsordern kom, om lagen tillåter det.
Om du vill få ut dina data — funktionen ”Export” bygger en fullständig kopia av dina data inuti din aktiva session och lämnar den till din webbläsare som en fil. Din webbläsare får läsbara data; våra servrar sparar dem aldrig.
Om du tappar bort din lösenfras — dina data är borta för gott. Det är baksidan av att ingen annan kan läsa dem: det finns ingen ”återställ lösenord”-knapp som kunde dekryptera din historik, för en sådan knapp kan inte finnas utan att bryta hela löftet. Välj en lösenfras du kommer ihåg och förvara den i en lösenordshanterare; det är den enda nyckeln till allt.
Verifiering
Vi uppmanar dig att inte lita på vår marknadsföring. Tre saker hjälper dig att verifiera påståendet:
- Kodbiten där läsbara data kort bor (realtidsströmsförseglaren) kommer att publiceras som öppen källkod vid lansering.
- Hela arkitekturdokumentet publiceras tillsammans med koden.
- En tredjeparts säkerhetsgranskning publiceras före allmän tillgänglighet.
Den här sidan är integritetsbeskrivningen i klartext. En separat juridisk integritetspolicy som täcker GDPR-detaljer om personuppgiftsansvarig, information om cookies och regionalt efterlevnadsspråk kommer att publiceras före offentlig lansering. Frågor: hello@blackcurrent.app.