1llum1n4t1s · 1llum1n4t1s · Jun 23, 2026 · Jun 22, 2026 · Jun 22, 2026 · Jun 22, 2026
diff --git a/.github/workflows/mobile-android.yml b/.github/workflows/mobile-android.yml
@@ -0,0 +1,54 @@
+# ぺたりん モバイル: Android ビルド（Capacitor）。
+# web を Vite でビルド → cap add android（毎回生成・android/ は gitignore）→ cap sync → Gradle で debug APK。
+# 署名（release）は未設定＝当面 debug APK を artifact 化。release 署名は keystore を Secrets に入れてから足す。
+name: mobile-android
+
+on:
+  workflow_dispatch: {}
+  push:
+    tags:
+      - "mobile-v*"
+
+jobs:
+  build:
+    runs-on: ubuntu-latest
+    defaults:
+      run:
+        working-directory: mobile
+    steps:
+      - uses: actions/checkout@v4
+
+      - uses: actions/setup-node@v4
+        with:
+          node-version: 22
+
+      - name: Enable corepack (pnpm)
+        run: corepack enable
+
+      - uses: actions/setup-java@v4
+        with:
+          distribution: temurin
+          java-version: "17"
+
+      - name: Install deps
+        run: pnpm install --ignore-workspace --config.dangerouslyAllowAllBuilds=true
+
+      - name: Build web (Vite)
+        run: pnpm build
+
+      - name: Add Android platform
+        run: pnpm exec cap add android
+
+      - name: Capacitor sync
+        run: pnpm exec cap sync android
+
+      - name: Gradle assembleDebug
+        working-directory: mobile/android
+        run: ./gradlew assembleDebug --no-daemon
+
+      - name: Upload APK
+        uses: actions/upload-artifact@v4
+        with:
+          name: petarin-debug-apk
+          path: mobile/android/app/build/outputs/apk/debug/*.apk
+          if-no-files-found: error
diff --git a/infra/cloudflare/relay/.gitignore b/infra/cloudflare/relay/.gitignore
@@ -0,0 +1,6 @@
+node_modules/
+.wrangler/
+.wrangler-state/
+dist/
+*.log
+.dev.vars
diff --git a/infra/cloudflare/relay/README.md b/infra/cloudflare/relay/README.md
@@ -0,0 +1,68 @@
+# petarin-relay
+
+ぺたりんの「クラウド同期モード」用 Cloudflare Workers リレー。**任意・既定 OFF**。
+拡張本体は `chrome.storage.local` が真実の源のまま。relay を使うのはクラウド同期を ON にした人だけ。
+
+## 方式: notify-then-pull（store-and-forward）
+
+vault（同期グループ）ごとに 1 つの `VaultDO`（Durable Object）が次を担う:
+
+1. **暗号文ストアの窓口** — 本体は D1（`petarin-sync`）。
+2. **per-vault の seq 採番** — catchup（差分取り込み）の基準。
+3. **Hibernatable WebSocket の fan-out ハブ** — 変更ピンを他端末へ broadcast。
+
+```
+PC編集 → PUT /push(暗号文を D1 へ) → DO が {t:changed,d,seq} を WS broadcast
+       → 他端末が GET /pull?d=… で該当ドメインだけ取得 → 端末側で復号＋既存マージ
+```
+
+ferry-relay の「2 peer 生パススルー」とは別物（あちらは同時オンライン前提のファイル転送用）。
+
+## プライバシー（E2E）
+
+- サーバーは**暗号文しか受け取らない**。本文は端末側 `vaultKey`（AES-GCM）で暗号化済み。
+- **ドメイン名も端末側で HMAC ハッシュ化**して送るため、サーバーは「どのサイトか」も知らない。
+- 認証は**自己完結ペアリング鍵**: vault は ECDSA P-256 鍵ペアを持ち、QR/コードで端末間に秘密鍵を渡す。
+  公開鍵は初回 first-write-wins で `VaultDO` に登録。以降は**署名で検証**（秘密はサーバーに無い）。
+
+## プロトコル
+
+vaultId はルーティングのみに使い、`SHA-256(vaultId + SALT)` でハッシュ化してから `idFromName`（漏洩時の横入り防止）。
+
+| 経路 | 認証の渡し方 | 内容 |
+| --- | --- | --- |
+| `GET /health` | なし | 疎通確認（"OK"） |
+| `GET /sync?vault=…`（WS upgrade） | クエリ `ts/sig/pubkey` | ハイバネ WS を確立 |
+| `PUT /push` | ヘッダ `X-Vault-*` | body `{d,c,n}` を D1 upsert→seq 採番→broadcast→`{seq}` |
+| `GET /pull?d=…` | ヘッダ `X-Vault-*` | `{d,c,n,seq}`（無ければ 404） |
+| `GET /catchup?since=…` | ヘッダ `X-Vault-*` | `{changes:[{d,seq}], seq}` |
+
+署名対象の正規文字列（端末側と一致させる）: `vaultId\nts\nmethod\npath\nsha256hex(body)`。
+ヘッダ: `X-Vault-Id` / `X-Vault-Ts`(unix ms・±5分) / `X-Vault-Sig`(ECDSA P-256 SHA-256, raw r‖s, base64url) / 初回のみ `X-Vault-Pubkey`(SPKI base64url)。WS はこれらをクエリ `vault/ts/sig/pubkey` で渡す。
+
+## セットアップ / デプロイ
+
+```bash
+pnpm -C infra/cloudflare/relay install
+pnpm -C infra/cloudflare/relay typecheck          # tsc --noEmit
+
+# D1 を作成し、出力 database_id を wrangler.toml に貼る
+pnpm dlx wrangler d1 create petarin-sync
+pnpm -C infra/cloudflare/relay d1:migrate:local   # ローカルにスキーマ適用
+pnpm -C infra/cloudflare/relay dev                # wrangler dev でローカル起動
+
+# 本番化（明示 GO 後）
+openssl rand -hex 32 | pnpm dlx wrangler secret put SALT
+pnpm -C infra/cloudflare/relay d1:migrate:remote
+pnpm -C infra/cloudflare/relay deploy             # Custom Domain は wrangler.toml で確定してから
+```
+
+Workers Paid（$5/月・Ferry / RealTimeTranslator と共有）必須（Durable Objects のため）。
+個人規模なら従量はほぼ枠内（アイドルはハイバネで duration 課金 0）。
+
+## まだ無いもの（B の続き）
+
+- 客側 `RelayTransport`（拡張の `setSyncTransport` に差す。HTTP + E2E 暗復号 + ドメイン HMAC）。
+- ペアリング UI（QR 生成/読取 + コード貼り付け）と manage の同期パネルのモード選択（排他 3 モード）。
+- background.js の WS 接続保持・変更ピン受信→該当ドメインだけ reconcile・前面復帰 catchup。
+- モバイル background 時の即時性（catchup のみ / Web Push 併用）はスマホアプリ設計後に決定。
diff --git a/infra/cloudflare/relay/migrations/0001_init.sql b/infra/cloudflare/relay/migrations/0001_init.sql
@@ -0,0 +1,17 @@
+-- ぺたりん 同期リレーの暗号文ストア(D1: petarin-sync)。
+-- サーバーは暗号文しか持たない: ciphertext/nonce は端末側 vaultKey で AES-GCM 暗号化済み、
+-- domain_hash は端末側で HMAC ハッシュ化済み(サーバーは「どのサイトか」も知らない)。
+-- vault_id はハッシュ化済み DO id 文字列(生 vaultId は保存しない)。
+
+CREATE TABLE IF NOT EXISTS notes (
+  vault_id    TEXT    NOT NULL,           -- ハッシュ化済み vault 識別子(= DO id 文字列)
+  domain_hash TEXT    NOT NULL,           -- HMAC(vaultKey, domain) の hex
+  ciphertext  TEXT    NOT NULL,           -- AES-GCM 暗号文(base64url)
+  nonce       TEXT    NOT NULL,           -- AES-GCM nonce/IV(base64url)
+  seq         INTEGER NOT NULL,           -- per-vault 単調増加(catchup の since 比較に使う)
+  updated_at  INTEGER NOT NULL,           -- サーバー受領時刻(ms)
+  PRIMARY KEY (vault_id, domain_hash)
+);
+
+-- catchup(seq > since)と per-vault 走査用。
+CREATE INDEX IF NOT EXISTS idx_notes_vault_seq ON notes (vault_id, seq);
diff --git a/infra/cloudflare/relay/package.json b/infra/cloudflare/relay/package.json
@@ -0,0 +1,17 @@
+{
+  "name": "petarin-relay",
+  "private": true,
+  "type": "module",
+  "scripts": {
+    "dev": "wrangler dev",
+    "deploy": "wrangler deploy",
+    "typecheck": "tsc --noEmit",
+    "d1:migrate:local": "wrangler d1 migrations apply petarin-sync --local",
+    "d1:migrate:remote": "wrangler d1 migrations apply petarin-sync --remote"
+  },
+  "devDependencies": {
+    "@cloudflare/workers-types": "^4.20260526.1",
+    "typescript": "^5.6.0",
+    "wrangler": "^4.94.0"
+  }
+}