Mode de coacció: Destrucció d'emergència de la caixa

Q: Què passa si dibuixo el patró de coacció per accident?

La destrucció s'inicia immediatament i no es pot revertir. Per això Vaultaire requereix que el patró de coacció sigui un patró deliberat i específic en la graella 5x5: repetir-lo per accident és molt improbable. Tot i així, és responsabilitat teva triar un patró de coacció que no dibuixaràs per accident. No facis servir mai un patró similar a un dels teus patrons de caixa habituals.

Q: Puc restaurar les caixes des d'una còpia de seguretat d'iCloud després d'activar el mode de coacció?

Si tenies les còpies de seguretat xifrades d'iCloud activades abans d'activar el mode de coacció, aquestes còpies de seguretat encara contenen les dades xifrades de la caixa i els paràmetres de derivació de claus. Restaurar des d'una còpia de seguretat creada abans de l'esdeveniment de coacció restaurarà les teves caixes. Però si la còpia de seguretat se sincronitza després d'activar el mode de coacció, reflectirà l'estat destruït.

Q: Sap un analista forense que s'ha activat el mode de coacció?

No. Després d'activar el mode de coacció, el dispositiu mostra una sola caixa amb contingut normal. No hi ha cap registre ni metadades que indiquin que existien o s'han destruït altres caixes. Els blocs xifrats orfes al disc són indistingibles dels artefactes normals del sistema de fitxers.

Q: La caixa de coacció es destrueix?

No. La caixa de coacció es manté intacta i plenament funcional. S'obre normalment, mostra el seu contingut i continua funcionant com una caixa normal després de l'esdeveniment. Això és necessari: si la caixa que acabes de "desblocar" desaparegués, la persona que et coacciona sabria que ha passat alguna cosa.

Q: Puc tenir diverses caixes de coacció?

No. Designes exactament una caixa com a caixa de coacció. Aquesta restricció és deliberada: diversos disparadors de coacció augmentarien el risc d'activació accidental i complicarien el model mental. Una caixa, un patró, un resultat.

Q: El mode de coacció és legal?

Vaultaire proporciona eines per a la seguretat de les dades. Com i quan fas servir aquestes eines és decisió i responsabilitat teva. Destruir les teves pròpies dades és generalment legal en la majoria de jurisdiccions, però les lleis varien, especialment pel que fa a la destrucció d'evidències durant procediments judicials. Si tens dubtes sobre la teva situació concreta, consulta un advocat. Vaultaire no proporciona assessorament jurídic.

Et forcen a desblocar el telèfon. Algú mira. Dibuixes el patró en la graella i la caixa s'obre. Sembla normal. Però en segon pla, cada altra caixa del teu dispositiu s'acaba de destruir de manera permanent. Les claus de xifrat han desaparegut. Les dades ara són soroll aleatori. I ningú ha vist res.

El mode de coacció a Vaultaire et permet marcar una caixa com a disparador de coacció. Dibuixar el patró d'aquesta caixa l'obre normalment, però al mateix temps destrueix les sals criptogràfiques de totes les altres caixes del dispositiu, fent les seves dades permanentment inaccessibles.

Què és el mode de coacció?

El mode de coacció és la darrera línia de defensa. És una funció que esperes no haver de necessitar mai, dissenyada per al moment en què tot ha fallat: quan algú és dalt teu, exigint accés als teus fitxers privats i no tens altra opció que complir.

Funciona així: marques una caixa com a caixa de coacció. L'omplis amb contingut versemblant: unes quantes fotos innocents, alguns documents banals. Després li assignes un patró, igual que a qualsevol altra caixa. Per fora és indistingible d'una caixa normal.

La diferència és el que passa quan dibuixes aquest patró. Un patró normal de caixa desxifra els fitxers que hi ha dins i res més. El patró de coacció fa el mateix: obre la caixa de coacció i mostra el seu contingut a la pantalla. Però al mateix temps, en silenci, en segon pla, inicia la destrucció criptogràfica de totes les altres caixes del teu dispositiu.

No apareix cap diàleg de confirmació. No sona cap avís. Cap indicador de càrrega suggereix que passa alguna cosa inusual. La persona que et vigila veu que la caixa s'obre. Veu les fotos. Veu exactament el que esperava. El que no veu és que cada altre fragment de dades xifrades del teu dispositiu s'acaba de tornar permanentment irrecuperable.

Opció nuclear

El mode de coacció no és una funció de privadesa. És una funció de supervivència. Existeix perquè hi ha situacions en les quals el cost que algú accedeixi a les teves dades supera el cost de perdre-les permanentment. Quan dibuixes el patró de coacció, fas aquest intercanvi de manera deliberada, en silenci i irreversiblement.

Com funciona per sota

Pas 1: Dibuixes el patró de coacció

Quan dibuixes el patró assignat a la teva caixa de coacció, Vaultaire el reconeix com a disparador de coacció. L'aplicació inicia dues operacions alhora: comença a desxifrar i mostrar el contingut de la caixa de coacció (el senyal), i llança la seqüència de destrucció per a totes les altres caixes.

Pas 2: Les claus de xifrat s'esborren

Cada caixa a Vaultaire té la seva pròpia clau única derivada del seu propi patró únic. Cada caixa també emmagatzema la sal i les metadades necessàries per al procés de derivació de claus. El mode de coacció no destrueix només els fitxers xifrats. Destrueix la sal criptogràfica i els paràmetres de derivació de claus de cada caixa fora de la caixa de coacció.

Sense la sal, ni dibuixar el patró correctament pot tornar a derivar la clau. L'enllaç matemàtic entre el teu patró i la clau de xifrat es trenca de manera permanent.

Pas 3: Les dades xifrades es converteixen en soroll

Els propis fitxers xifrats poden existir al disc una estona, però ara son indistingibles de dades aleatòries. Sense la clau de desxifrat correcta, que no es pot derivar perquè la sal ha desaparegut, el contingut és matemàticament irrecuperable.

Pas 4: La caixa de coacció s'obre normalment

Mentre tot això passa, la caixa de coacció s'obre a la pantalla exactament com ho faria qualsevol altra caixa. La persona que et coacciona veu les fotos carregant-se, els fitxers apareixent, una caixa d'aspecte normal. No hi ha cap evidència visual que hagi passat res més. Tota la seqüència de destrucció passa en segon pla, normalment en menys d'un segon.

<1s

Temps per destruir totes les claus

Indicadors visuals

Possibilitat de recuperació

Per què ningú ho sap

Tot el sentit del mode de coacció és ser invisible. Si un atacant pogués detectar la destrucció, podria aturar-la, revertir-la o castigar-te per activar-la. Vaultaire està dissenyat perquè no hi hagi cap diferència observable entre obrir la caixa de coacció i obrir qualsevol altra caixa.

Sense diàleg de confirmació

La majoria d'accions destructives al programari venen amb un avís: “Estàs segur?” El mode de coacció no en té cap. Un diàleg de confirmació seria una delació. En el moment que dibuixes el patró, l'acció s'executa.

Sense diferència de temps

La caixa de coacció s'obre tan ràpidament com qualsevol altra caixa. La destrucció de les claus de les altres caixes passa de manera asíncrona, en paral·lel al desxifrat del contingut de la caixa de coacció. Un observador amb un cronòmetre no notaria cap retard.

Sense evidències restants

Després d'activar el mode de coacció, l'aplicació no mostra cap registre de l'esdeveniment. No hi ha entrada de registre, cap notificació de “caixes esborrades”, cap canvi a la interfície de l'aplicació. La propera vegada que s'obre l'aplicació, es comporta com si la caixa de coacció fos l'única caixa que ha existit mai.

Què es destrueix

El mode de coacció no fa un esborrat teatral on els fitxers es mouen a una paperera. Fa un esborrat criptogràfic que fa la recuperació físicament impossible.

La sal criptogràfica

Cada caixa té una sal única generada aleatòriament usada en la derivació de claus. Quan el mode de coacció destrueix la sal, trenca permanentment la connexió entre el teu patró dibuixat i la clau de xifrat. Fins i tot si recordessis el patró de cada altra caixa, la funció de derivació de claus sense la sal original produiria una clau diferent i incorrecta.

Els paràmetres de derivació de claus

A més de la sal, cada caixa emmagatzema els paràmetres necessaris per a la derivació de claus: comptadors d'iteració, identificadors d'algoritme i vectors d'inicialització. Tot s'esborra. Sense ells, reconstruir la clau de xifrat no és simplement difícil: és matemàticament indefinit.

Realitat forense

Un investigador forense que analitzi el dispositiu després d'activar el mode de coacció trobarà una caixa amb dades normals i uns quants blocs xifrats orfes al disc. No hi ha manera de determinar si aquests blocs provenen de caixes esborrades, de la memòria cau de l'aplicació o del moviment normal del sistema de fitxers.

Quan usar el mode de coacció

Passos fronterers

En molts països, els agents fronterers poden legalment exigir-te que desbloquis el dispositiu i el lliuris per a inspecció. Dibuixar el patró de coacció abans de lliurar el telèfon garanteix que no hi hagi res a trobar: només una caixa amb unes quantes fotos de vacances.

Coacció física

Si algú et força a desblocar el telèfon sota amenaça, necessites una manera de complir sense donar el que volen. El mode de coacció et permet dibuixar un patró que sembla cooperació.

Confiscació del dispositiu

Si tens raons per creure que et confiscaran el dispositiu, pots activar el mode de coacció de manera preventiva. Quan el dispositiu arribi a un analista forense, no hi haurà res a analitzar.

Configurar la caixa de coacció

Configurar el mode de coacció triga uns dos minuts. Fer-ho bé i de manera convincent requereix una mica més de reflexió.

Designa la caixa

Als ajustos de Vaultaire marques una caixa com a caixa de coacció. Aquesta caixa s'obrirà quan es dibuixi el patró de coacció, de manera que ha de contenir contingut que sembli real i satisfaci les expectatives d'un observador. Una caixa buida és sospitosa. Una caixa amb unes quantes fotos personals d'aspecte normal és ideal.

Omple-la amb contingut versemblant

Posa a la caixa de coacció contingut que algú esperaria en una caixa privada: unes quantes fotos personals, potser l'escaneig d'un document, alguns fitxers que semblin prou privats per blocar-los però innocents per passar una inspecció.

Tria un patró natural

El patró de coacció ha de ser alguna cosa que puguis dibuixar sota pressió, ràpidament, sense vacil·lar. Practica'l fins que el tinguis a la memòria muscular. Simple i ràpid és millor: 5-7 punts, una forma que la mà pugui seguir sense pensar.

Prova'l

Abans que el necessitis, prova el mode de coacció en un entorn segur. Crea caixes de prova, marca la caixa de coacció i activa'l. Verifica que les altres caixes han desaparegut. Verifica que la caixa de coacció s'ha obert normalment. Després ho configures de debò.

No hi ha reversió

Cal dir-ho clarament: una vegada que el mode de coacció s'activa, la destrucció és permanent. No hi ha recuperació. Les claus de xifrat han desaparegut. Les sals han desaparegut. Les dades són soroll aleatori. Aquest és el propòsit de la funció. Si la destrucció fos reversible, no seria destrucció: seria ocultació. I l'ocultació és alguna cosa que un adversari suficientment motivat pot revertir.

Preguntes freqüents

Què passa si dibuixo el patró de coacció per accident?

La destrucció s'inicia immediatament i no es pot revertir. Per això Vaultaire requereix que el patró de coacció sigui un patró deliberat i específic en la graella 5×5: repetir-lo per accident és molt improbable. Tot i així, és responsabilitat teva triar un patró de coacció que no dibuixaràs per accident. No facis servir mai un patró similar a un dels teus patrons de caixa habituals.

Puc restaurar les caixes des d'una còpia de seguretat d'iCloud després d'activar el mode de coacció?

Si tenies les còpies de seguretat xifrades d'iCloud activades abans d'activar el mode de coacció, aquestes còpies encara contenen les dades xifrades de la caixa i els paràmetres de derivació de claus. Restaurar des d'una còpia creada abans de l'esdeveniment de coacció restaurarà les teves caixes. Però si la còpia se sincronitza després d'activar el mode de coacció, reflectirà l'estat destruït.

Sap un analista forense que s'ha activat el mode de coacció?

No. Després d'activar el mode de coacció, el dispositiu mostra una sola caixa amb contingut normal. No hi ha cap registre ni metadades que indiquin que existien o s'han destruït altres caixes. Els blocs xifrats orfes al disc són indistingibles dels artefactes normals del sistema de fitxers.

La caixa de coacció es destrueix?

No. La caixa de coacció es manté intacta i plenament funcional. S'obre normalment, mostra el seu contingut i continua funcionant com una caixa normal després de l'esdeveniment. Això és necessari: si la caixa que acabes de “desblocar” desaparegués, la persona que et coacciona sabria que ha passat alguna cosa.

Puc tenir diverses caixes de coacció?

No. Designes exactament una caixa com a caixa de coacció. Aquesta restricció és deliberada: diversos disparadors de coacció augmentarien el risc d'activació accidental i complicarien el model mental. Una caixa, un patró, un resultat.

El mode de coacció és legal?

Vaultaire proporciona eines per a la seguretat de les dades. Com i quan fas servir aquestes eines és decisió i responsabilitat teva. Destruir les teves pròpies dades és generalment legal en la majoria de jurisdiccions, però les lleis varien, especialment pel que fa a la destrucció d'evidències durant procediments judicials. Si tens dubtes sobre la teva situació concreta, consulta un advocat. Vaultaire no proporciona assessorament jurídic.

Prepara't per al pitjor

Configura el mode de coacció ara, mentre tens temps. Quan el necessitis, no hi haurà temps per configurar-lo.

Descarregar Vaultaire gratuïtament