Režim nátlaku: Nouzové zničení trezoru

Režim nátlaku ve Vaultaire vám umožní označit trezor jako spouštěč nátlaku. Nakreslení vzoru tohoto trezoru ho normálně otevře, ale zároveň zničí kryptografické soli pro každý další trezor na zařízení, čímž jejich data trvale znepřístupní.

Co je režim nátlaku?

Režim nátlaku je poslední obranná linie. Je to funkce, o které doufáte, že ji nikdy nebudete potřebovat, navržená pro okamžik, kdy vše ostatní selhalo: kdy někdo stojí nad vámi, požaduje přístup k vašim soukromým souborům a vy nemáte jinou možnost než vyhovět.

Funguje takto: označíte jeden trezor jako trezor nátlaku. Naplníte ho věrohodně vypadajícím obsahem: několik nevinných fotek, nějaké banální dokumenty. Pak mu přiřadíte vzor, stejně jako každému jinému trezoru. Zvenku je nerozeznatelný od normálního trezoru.

Rozdíl tkví v tom, co se stane, když nakreslíte tento vzor. Normální vzor trezoru dešifruje soubory uvnitř a nic jiného. Vzor nátlaku to také udělá: otevře trezor nátlaku a zobrazí jeho obsah na obrazovce. Zároveň však tiše, na pozadí, spustí kryptografické zničení každého dalšího trezoru na vašem zařízení.

Neobjeví se žádný potvrzovací dialog. Nezazní žádný zvuk varování. Žádný načítací spinner nenaznačuje, že se děje něco neobvyklého. Osoba, která vás sleduje, vidí otevírající se trezor. Vidí fotografie. Vidí přesně to, co očekávala. Co nevidí, je to, že každý další kus zašifrovaných dat na vašem zařízení se právě stal trvale neobnovitelným.

Jak to funguje pod pokličkou

Porozumění mechanismu je důležité, protože bezpečnost režimu nátlaku závisí na tom, zda jeho implementace je skutečně destruktivní, nikoli jen kosmeticky skrytá.

Krok 1: Nakreslíte vzor nátlaku

Když nakreslíte vzor přiřazený vašemu trezoru nátlaku, Vaultaire ho rozpozná jako spouštěč nátlaku. Aplikace zahájí dvě operace současně: začne dešifrovat a zobrazovat obsah trezoru nátlaku (návnada) a spustí sekvenci zničení pro každý další trezor.

Krok 2: Šifrovací klíče jsou smazány

Každý trezor ve Vaultaire je šifrován vlastním jedinečným klíčem odvozeným z vlastního jedinečného vzoru. Tyto klíče nejsou uloženy v otevřeném textu: jsou při každém použití znovu odvozeny ze vzoru. Každý trezor však také uchovává sůl a metadata potřebná pro proces odvozování klíčů. Režim nátlaku nezničí pouze zašifrované soubory. Zničí kryptografickou sůl a parametry odvozování klíčů pro každý trezor mimo trezor nátlaku.

Bez soli ani správné nakreslení vzoru nemůže klíč znovu odvodit. Matematické spojení mezi vaším vzorem a šifrovacím klíčem je trvale přerušeno.

Krok 3: Zašifrovaná data se stávají šumem

Samotné zašifrované soubory mohou na disku chvíli ještě existovat, ale jsou nyní nerozeznatelné od náhodných dat. Bez správného dešifrovacího klíče, který nelze odvodit, protože sůl zmizela, je obsah matematicky neobnovitelný. Žádný forenzní nástroj, žádná vládní agentura, žádné množství výpočetního výkonu nemůže původní data rekonstruovat.

Krok 4: Trezor nátlaku se otevře normálně

Zatímco se toto vše děje, trezor nátlaku se na obrazovce otevírá přesně tak, jak by se otevřel každý jiný trezor. Osoba, která vás nutí, vidí načítající se fotografie, zobrazující se soubory, normálně vypadající trezor. Neexistuje žádný vizuální důkaz, že se cokoliv jiného stalo. Celá sekvence zničení probíhá na pozadí, obvykle za méně než sekundu.

Proč to nikdo nepozná

Celý smysl režimu nátlaku spočívá v tom, že je neviditelný. Pokud by útočník mohl detekovat zničení, mohl by ho zastavit, zvrátit nebo vás potrestat za jeho spuštění. Vaultaire je navržen tak, aby mezi otevřením trezoru nátlaku a otevřením běžného trezoru neexistoval žádný pozorovatelný rozdíl.

Žádný potvrzovací dialog

Většina destruktivních akcí v softwaru přichází s varováním: "Jste si jistý?" Režim nátlaku takové varování nemá. Potvrzovací dialog by byl prozrazením. V okamžiku, kdy nakreslíte vzor, je akce provedena. Nemůžete ho spustit náhodně, pokud náhodně nenakreslíte specifický, složitý vzor na mřížce 5×5, což se nestane náhodou.

Žádný rozdíl v načasování

Trezor nátlaku se otevírá stejně rychle jako každý jiný trezor. Zničení klíčů ostatních trezorů probíhá asynchronně, paralelně s dešifrováním obsahu trezoru nátlaku. Pozorovatel se stopkami by nezaznamenal žádné zpoždění.

Žádné zbývající důkazy

Po spuštění režimu nátlaku aplikace nevykazuje žádný záznam o události. Neexistuje žádná položka protokolu, žádné oznámení "trezory smazány", žádná změna v rozhraní aplikace. Při příštím otevření aplikace se chová, jako by trezor nátlaku byl jediným trezorem, který kdy existoval. Protože funkčně vzato je.

Co se zničí

Přesnost je zde důležitá. Režim nátlaku neprovádí divadelní smazání, kde jsou soubory přesunuty do koše. Provádí kryptografické vymazání, které činí obnovu fyzicky nemožnou.

Kryptografická sůl

Každý trezor má jedinečnou, náhodně generovanou sůl použitou při odvozování klíčů. Sůl je kritická složka, která propojuje váš nakreslený vzor s konkrétním šifrovacím klíčem. Když režim nátlaku sůl zničí, trvale přeruší toto spojení. I kdybyste si pamatovali vzor každého dalšího trezoru, funkce odvozování klíčů bez původní soli vytvoří jiný, nesprávný klíč.

Parametry odvozování klíčů

Kromě soli každý trezor uchovává parametry potřebné pro odvozování klíčů: počty iterací, identifikátory algoritmů a inicializační vektory. Vše je smazáno. Bez nich není rekonstrukce šifrovacího klíče jen obtížná: je matematicky nedefinovaná.

Zašifrovaná data

Zašifrované bloby na disku se stávají osiřelými. Jsou to sekvence bajtů, které bez správného klíče jsou nerozeznatelné od dat generovaných generátorem náhodných čísel. Forenzní analýza disku najde zašifrovaná data bez odpovídajícího klíčového materiálu, bez soli a bez metadat. Vypadá přesně jako sektory disku, které byly jednou použity a pak uvolněny, což je přesně to, čím jsou.

Kdy použít režim nátlaku

Režim nátlaku je navržen pro situace, kdy čelíte fyzickému nátlaku nebo právnímu donucení a rozhodli jste se, že zničení dat je přijatelnější než jeho zveřejnění. Jde o osobní rozhodnutí se závažnými důsledky a Vaultaire vám dává nástroj, aniž by rozhodnutí přebíral.

Hraniční přechody

V mnoha zemích mohou hraniční agenti ze zákona požadovat, abyste odemkli zařízení a předali ho ke kontrole. Pokud odmítnete, může dojít k zadržení, odepření vstupu nebo zabavení zařízení. Nakreslení vzoru nátlaku před předáním telefonu zaručí, že není co najít: jen jeden trezor s nějakými prázdninovými fotografiemi.

Fyzický nátlak

Pokud vás někdo nutí odemknout telefon pod hrozbou, potřebujete způsob, jak vyhovět, aniž byste skutečně dali, co chtějí. Režim nátlaku vám umožní nakreslit vzor, který vypadá jako spolupráce. Nátlakář vidí otevírající se trezor. Nevidí současné zničení všeho ostatního.

Zabavení zařízení

Pokud máte důvod se domnívat, že vaše zařízení bude zabaveno, ať už vládou, zaměstnavatelem nebo kýmkoliv jiným, můžete preventivně spustit režim nátlaku. V době, kdy se zařízení dostane k forenznímu analytikovi, nebude co analyzovat.

Ochrana novinářů a zdrojů

Novináři pracující v nepřátelském prostředí, aktivisté působící pod dohledem a kdokoliv, jehož data by mohla ohrozit je samotné nebo ostatní. Režim nátlaku proměňuje okamžik zranitelnosti v okamžik ochrany.

Nastavení trezoru nátlaku

Konfigurace režimu nátlaku trvá přibližně dvě minuty. Udělat to dobře a přesvědčivě vyžaduje trochu více přemýšlení.

Určete trezor

V nastavení Vaultaire označíte jeden trezor jako trezor nátlaku. Tento trezor se otevře při nakreslení vzoru nátlaku, takže musí obsahovat obsah, který vypadá skutečně a splní očekávání pozorovatele. Prázdný trezor je podezřelý. Trezor s zjevně falešným obsahem je podezřelý. Trezor s hrstkou normálně vypadajících osobních fotek je ideální.

Naplňte ho věrohodným obsahem

Vložte do trezoru nátlaku obsah, který by někdo očekával v soukromém trezoru: několik osobních fotek, možná sken dokumentu, nějaké soubory, které vypadají dostatečně soukromě pro uzamčení, ale nevinně pro obstání při kontrole. Cílem není oklamat forenzní vyšetřování, ale uspokojit osobu stojící před vámi v daný okamžik.

Zvolte přirozený vzor

Vzor nátlaku by měl být něco, co dokážete nakreslit pod stresem, rychle, bez váhání. Pokud zaváháte nebo ho nakreslíte špatně, otevřete nesprávný trezor nebo žádný. Procvičte ho, dokud ho nebudete mít ve svalové paměti. Není čas na složitý vzor s 12 body. Jednoduchý a rychlý je lepší: 5 až 7 bodů, tvar, který vaše ruka dokáže sledovat bez přemýšlení.

Otestujte ho

Než ho budete potřebovat, otestujte režim nátlaku v bezpečném prostředí. Vytvořte testovací trezory, označte trezor nátlaku a spusťte ho. Ověřte, že ostatní trezory zmizely. Ověřte, že se trezor nátlaku otevřel normálně. Pak vše nastavte naostro.

Nelze vrátit

Toto je třeba říci jasně: jakmile se režim nátlaku spustí, zničení je trvalé. Neexistuje obnova. Neexistuje záchranná síť "Ups, nakreslil jsem špatný vzor". Neexistuje záložní klíč uložený někde na serveru. Neexistuje způsob, jak podpora Vaultaire vaše data obnoví.

Šifrovací klíče jsou pryč. Soli jsou pryč. Data jsou náhodný šum. To je smyslem funkce. Pokud by zničení bylo vratné, nebylo by to zničení: bylo by to skrývání. A skrývání je něco, co dostatečně motivovaný protivník může vrátit.

Režim nátlaku je navržen pro lidi, kteří tomuto kompromisu rozumějí a předem se rozhodli, že raději přijdou o data natrvalo, než aby k nim umožnili přístup někomu jinému. Pokud si nejste jisti, že byste tento kompromis přijali, nezapínejte režim nátlaku. Pokud jste si jisti, je to nejsilnější ochrana, kterou Vaultaire nabízí.

Nevratnost není chybou. Je to celý smysl. Destruktivní akce, kterou lze vrátit, není destruktivní: je divadelní. Režim nátlaku není divadlo. Je to záruka.