Bezpečnostní architektura: Kompletní technický základ

Bezpečnostní základ Vaultaire používá AES-256-GCM pro šifrování souborů, PBKDF2 s 600 000 iteracemi pro odvozování klíčů, ChaCha20 pro ochranu metadat a Secure Enclave od Apple pro hardwarovou správu klíčů. Každý soubor dostane vlastní inicializační vektor, každý trezor vlastní sůl a klíče jsou z paměti vymazány při zamčení aplikace.

Kryptografický základ

Většina bezpečnostních aplikací si vybere jeden šifrovací algoritmus a tím to skončí. Vaultaire používá šest různých kryptografických mechanismů pracujících souběžně, každý vybrán pro konkrétní model hrozby. Obsah souborů je šifrován jednou šifrou. Metadata jsou šifrována jinou. Klíče jsou odvozovány výpočetně nákladnou funkcí. Hardwarové zabezpečení ukládá výsledek. A architektura nulových znalostí zajišťuje, že ani lidé, kteří Vaultaire vytvořili, nemají přístup k vašim datům.

To není složitost pro vlastní zájem. Každá vrstva řeší jinou útočnou plochu. AES-256-GCM zajišťuje hromadné šifrování souborů, protože je rychlý a hardwarově akcelerovaný na čipech Apple. ChaCha20 chrání metadata, protože má konstantní čas a je odolný vůči útokům prostřednictvím časování mezipaměti. PBKDF2 odvozuje klíče přes stovky tisíc iterací, čímž jsou útoky hrubou silou výpočetně nákladné. Secure Enclave ukládá klíčový materiál, protože ochrana pouze v softwaru nestačí, pokud má někdo fyzický přístup k vašemu zařízení.

Tyto vrstvy společně tvoří architekturu obrany do hloubky. Útočník by musel současně prolomit více nezávislých kryptografických primitiv, scénář pevně usazený v oblasti matematicky nemožného.

AES-256-GCM: Šifrování souborů

Každá fotografie, video a dokument uložené ve Vaultaire jsou zašifrovány pomocí AES-256-GCM, Advanced Encryption Standard s 256bitovým klíčem v Galois/Counter Mode. Jedná se o stejnou šifru, jakou vláda USA používá pro přísně tajné utajované informace. Nejde o marketingové srovnání. Je to doslova stejný algoritmus, stejná délka klíče a stejný provozní mód.

Číslo “256” v AES-256 označuje délku klíče v bitech. 256bitový klíč má 2²⁵⁶ možných hodnot. Pro představu: v pozorovatelném vesmíru je přibližně 10⁸⁰ atomů. Kdyby každý atom byl superpočítač testující miliardu klíčů za sekundu a běžel od Velkého třesku, prozkoumaly by méně než bilióntinu bilióntin procenta prostoru klíčů. AES-256 nebude prolomen hrubou silou. Ne dnes. Ne v tomto století. Ne dříve, než vyhasnou hvězdy.

Proč záleží na režimu GCM

AES je bloková šifra: šifruje data v 128bitových blocích. “Režim” určuje, jak jsou tyto bloky kombinovány. GCM (Galois/Counter Mode) poskytuje dvě věci, které jednodušší režimy jako CBC neposkytují: paralelizované šifrování a vestavěnou autentizaci.

Část autentizace je kritická. GCM generuje kryptografickou značku pro každý zašifrovaný soubor. Tato značka funguje jako pečeť proti manipulaci. Pokud je modifikován jediný bit šifrového textu, ať již zlomyslným aktérem nebo poškozeným sektorem disku, autentizační značka nebude odpovídat a dešifrování selže. Nezísknáte poškozená data. Dostanete jasný signál, že je něco špatně. Tato vlastnost se nazývá autentizované šifrování a zabraňuje celé třídě útoků, kde protivník modifikuje šifrovaná data k manipulaci dešifrovaného výstupu.

PBKDF2: Odvozování klíčů

Váš šifrovací klíč nevzniká z ničeho. Je odvozen z vašeho vzoru (nebo tajné fráze) prostřednictvím funkce pro odvozování klíče, algoritmu speciálně navrženého pro přeměnu vstupu od člověka na kryptografický klíč. Vaultaire používá PBKDF2 (Password-Based Key Derivation Function 2) s HMAC-SHA512, standard doporučený NIST používaný v celém světě ve státních a finančních systémech.

Jak PBKDF2 chrání váš vzor

Základní myšlenka za PBKDF2 je záměrná pomalost. Vezme váš vzor a spustí ho přes stovky tisíc kol kryptografického hashování. Každé kolo trvá nepatrný zlomek sekundy. Pro vás je kreslení vzoru a čekání na dešifrování téměř okamžité. Pro útočníka zkoušejícího vzory hrubou silou se ten zlomek sekundy násobí každým jednotlivým pokusem.

Vaultaire konfiguruje PBKDF2 s vysokým počtem iterací speciálně kalibrovaným pro moderní hardware. Při těchto parametrech každý pokus o odvozování klíče vyžaduje smysluplnou výpočetní práci. Útočník zkoušející miliardu vzorů by potřeboval roky nepřetržitých výpočtů na jeden trezor. A to za předpokladu, že zná sůl, která je jedinečná pro každý trezor a uložena na vašem zařízení.

Každý trezor dostane vlastní kryptograficky náhodnou sůl. To znamená, že dva uživatelé, kteří náhodou nakreslí stejný vzor, vytvoří zcela odlišné šifrovací klíče. Předem vypočtené vyhledávací tabulky (duhové tabulky) jsou nepoužitelné, protože sůl činí odvozování klíče každého trezoru jedinečným. Útočník musí začínat od nuly pro každý trezor, na který cílí.

ChaCha20: Ochrana metadat

Šifrování obsahu souborů nestačí. Názvy souborů, data vytvoření, rozměry miniatur a struktura trezoru jsou metadata, a metadata mohou být stejně odhalující jako samotná data. Soubor s názvem “danove-priznani-2025.pdf” útočníkovi přesně prozradí, co je uvnitř, i když je obsah zašifrován. Časové razítko ukazuje, kdy jste trezor používali. Velikost miniatury prozradí, zda je něco fotografie nebo video.

Vaultaire šifruje veškerá metadata pomocí ChaCha20, proudové šifry navržené Danielem J. Bernsteinem. ChaCha20 se používá vedle AES, nikoli místo něj, z konkrétního důvodu: kryptografická diverzita.

Proč samostatná šifra pro metadata?

Použití stejného algoritmu pro obsah souborů i metadata by znamenalo, že teoretický průlom vůči tomuto algoritmu by najednou odhalil vše. Díky použití AES-256-GCM pro obsah souborů a ChaCha20 pro metadata Vaultaire zajišťuje, že i v krajně nepravděpodobném případě kompromitace jedné šifry zůstane druhá vrstva nedotčena.

ChaCha20 má také praktické výhody pro metadata. Je to čistě softwarová šifra, nespoléhá na hardwarové instrukce AES, což zajišťuje dokonale konstantní výkon bez ohledu na šifrovaná data. Tím se eliminují postranní kanály časování mezipaměti, třída útoků, kde protivník měří dobu šifrování k odvození informací o klíči nebo prostém textu. Pro malá, strukturovaná data jako metadata je tato vlastnost konstantního času zvláště důležitá.

Architektura nulových znalostí

Zde stojí za to položit otázku ohledně jakékoli bezpečnostní aplikace: co se stane, pokud je společnost za ní hacknutá, předvolána k soudu nebo prostě se obrátí?

U většiny aplikací je odpověď nepříjemná. Drží vaše data, vaše klíče nebo oboje. Soudní příkaz je přinutí je předat. Únik dat je odhalí. Nepoctivý zaměstnanec k nim přistoupí. Bezpečnost aplikace je jen tak silná jako provozní bezpečnost společnosti, a historie ukazuje, že společnosti jsou pravidelně prolomeny.

Vaultaire je postaven na architektuře nulových znalostí. To znamená, že společnost, která Vaultaire vyrábí, nikdy nemá přístup k vašim šifrovacím klíčům, vašemu vzoru, vaší tajné frázi ani vašim nezašifrovaným datům. Ne při synchronizaci. Ne při záloze. Nikdy. Kryptografické operace probíhají výhradně na vašem zařízení. Co z vašeho zařízení odchází, pokud vůbec, je již zašifrováno klíči, které vlastníte pouze vy.

Co architektura nulových znalostí v praxi znamená

Pokud orgán vymáhání práva doručí Vaultaire předvolání požadující vaše data, společnost může plně vyhovět a předat přesně nic použitelného. Neexistují žádné klíče k předání. Neexistuje žádné hlavní heslo. Neexistují žádná zadní vrátka. Zašifrované bloby uložené v iCloud jsou matematicky nerozeznatelné od náhodného šumu bez vašeho klíče a váš klíč existuje pouze ve vaší hlavě (jako vzor) a dočasně v Secure Enclave vašeho zařízení (dokud je aplikace otevřena).

To není rozhodnutí o politice. Je to rozhodnutí o architektuře. Vaultaire nemůže přistupovat k vašim datům, bez ohledu na záměr, podnět nebo právní tlak. Systém je navržen tak, aby tato schopnost neexistovala.

Integrace Secure Enclave

Bezpečnost pouze v softwaru má svůj strop. Bez ohledu na to, jak pečlivě aplikace zachází se šifrovacími klíči v paměti, operační systém, jiné aplikace nebo nástroje pro fyzický přístup by teoreticky mohly tuto paměť přečíst. Secure Enclave od Apple odstraňuje tuto zranitelnost tím, že poskytuje hardwarově izolované prostředí pro klíčové operace.

Secure Enclave je dedikovaný koprocesor zabudovaný do každého moderního iPhone. Má vlastní šifrovanou paměť, vlastní proces spouštění a vlastní bezpečnostní hranici. Klíče uložené v Secure Enclave ho nikdy neopustí, ani hlavní procesor je nemůže číst. Místo toho aplikace odesílá data do Secure Enclave, který provádí kryptografické operace interně a vrací pouze výsledek.

Vaultaire používá Secure Enclave pro správu klíčů. Když nakreslíte vzor a funkce pro odvozování klíče vytvoří šifrovací klíč, tento klíč je předán Secure Enclave. Všechny následné operace šifrování a dešifrování jsou delegovány na hardware. Klíč nikdy neexistuje v paměťovém prostoru aplikace ve formě, kterou by mohl extrahovat debugger, jailbreak nástroj nebo forenzní zobrazovací systém.

To znamená, že i kdyby útočník měl root přístup k vašemu iPhone, scénář vyžadující sofistikovaný jailbreak, šifrovací klíče zůstávají nepřístupné. Secure Enclave je samostatný čip s vlastním křemíkem. Kompromitace iOS neznamená kompromitaci enklávu.

Inicializační vektory na soubor

Když zašifrujete dva identické soubory stejným klíčem, naivní implementace by vytvořila identický šifrový text. To je problém. Útočník, který vidí dva identické zašifrované bloby, ví bez dešifrování čehokoli, že dva původní soubory jsou stejné. V trezoru plném fotografií může takový typ analýzy vzorů odhalit informace i přes šifrování.

Vaultaire to eliminuje generováním jedinečného, kryptograficky náhodného inicializačního vektoru (IV) pro každý jednotlivý soubor. IV je kombinován se šifrovacím klíčem při operaci AES-256-GCM, čímž se zajistí, že i byte-pro-byte identické soubory vytvoří zcela odlišný šifrový text. Dvě kopie stejné fotografie, zašifrované stejným klíčem, budou vypadat jako zcela nesouvisející náhodná data.

IV jsou uloženy vedle zašifrovaných souborů, ale nejsou tajné: jejich bezpečnost vychází z jedinečnosti, ne z důvěrnosti. Každý IV je generován pomocí kryptografického generátoru náhodných čísel zařízení, který čerpá entropii ze zdrojů hardwarového šumu. Pravděpodobnost generování stejného IV dvakrát je astronomicky malá: přibližně 1 ku 2⁹⁶ pro 96bitové IV GCM.

Správa paměti: Klíče, které se samy zničí

Běžnou chybou bezpečnostního softwaru je ponechání citlivých dat v paměti déle, než je potřeba. Šifrovací klíče, odvozená hesla a dešifrovaná data mohou v RAM přetrvávat dlouho poté, co je aplikace přestala používat. Forenzní nástroje mohou vypsat paměť zařízení a hledat tyto zbytky, technika známá jako útok studeným spouštěním nebo analýza výpisu paměti.

Vaultaire přistupuje ke správě paměti agresivně. Když aplikaci zavřete nebo trezor uzamknete, okamžitě v pořadí nastane:

• Šifrovací klíče jsou přepsány. Paměťová místa uchovávající klíčový materiál jsou naplněna nulami, pak náhodnými daty, pak znovu nulami. Nejde o prostou dealokaci: paměť je aktivně vymazána, aby se zabránilo obnově.
• Odvozený klíčový materiál je odstraněn. Mezilehlé hodnoty z výpočtu PBKDF2, dočasné buffery a veškerá mezipaměť dešifrovaných dat jsou vynulovány.
• Klíče Secure Enclave jsou zneplatněny. Odkazy na klíče v Secure Enclave jsou označeny ke zničení, čímž se zajistí, že je nelze znovu použít bez opětovného odvození ze vzoru.
• Dešifrované miniatury a náhledy jsou vymazány. Veškerá mezipaměť obrazových dat v paměti je přepsána před úplným zavřením aplikace.

Při příštím otevření Vaultaire začínáte od nuly. Nakreslíte svůj vzor, klíč je čerstvě odvozen a Secure Enclave dostane nový odkaz na klíč. Neexistuje žádný token relace, žádné přihlašovací údaje v mezipaměti a žádná zkratka. Každé spuštění aplikace je kryptograficky nezávislé na předchozím.