Bezpieczeństwo i dane

Zaufane hosty (known_hosts)

Przy pierwszym połączeniu DR-Terminal pobiera klucz publiczny hosta (fingerprint SHA-256) i zapisuje go w bazie zaufanych hostów po Twoim potwierdzeniu. Kolejne połączenia porównują odcisk — jeżeli się zmieni, zobaczysz wyraźny alert.

Listą zarządzasz w Ustawienia → Bezpieczeństwo → Zaufane hosty — możesz usunąć wpis, zobaczyć algorytm (Ed25519, RSA, ECDSA…), datę pierwszego poznania.

Przechowywanie haseł i kluczy

Hasła, klucze prywatne i passphrase'y nigdy nie są serializowane do plików JSON z konfiguracją połączeń. Trafiają do platformowego bezpiecznego magazynu:

• Android — EncryptedSharedPreferences, chronione przez sprzętowy Keystore.
• iOS — Keychain (dostępne po biometrii jeśli włączona).
• Desktop — plik szyfrowany AES-256-GCM, klucz wyprowadzony z profilu użytkownika.

Szyfrowany backup konfiguracji

Ustawienia → Konfiguracja → Eksport backupu tworzy plik .drterminal zabezpieczony hasłem. Zawiera: połączenia, grupy, trusted hosts, klucze, ustawienia. Import backupu wczytuje tę samą paczkę — przydatne do przeprowadzki między maszynami.

Format: JSON szyfrowany AES-256-GCM, nagłówek z metadanymi (wersja, data). Hasło nigdy nie trafia do pliku — jest używane do wyprowadzenia klucza (PBKDF2).

Import ~/.ssh/config

Na Desktopie możesz zaimportować hosty z istniejącego pliku OpenSSH (~/.ssh/config). Importer parsuje wpisy Host, HostName, User, Port, IdentityFile, ProxyJump i dodaje je jako zapisane połączenia. Klucze wskazane w IdentityFile są wczytywane z dysku do SecureStorage.

Poziom logowania

W Ustawienia → Terminal → Poziom logów do pliku wybierasz, co trafia do pliku ~/.dr-terminal/logs/ (Desktop) / odpowiednika na mobile. Domyślnie ERROR — minimum szumu. Dla diagnostyki przełącz na DEBUG albo TRACE.