Aplikace trezor fotografií: co to je, jak funguje a co hledat
Aplikace trezoru fotografií se pohybují od nešifrovaných skrývačů složek po trezory AES-256 s nulovou znalostí.
Aplikace trezor fotografií je mobilní aplikace určená k ukládání fotografií a videí v soukromém, chráněném prostoru odděleném od výchozí fotoknihovny zařízení. Úroveň ochrany se velmi liší: některé aplikace trezoru fotografií jednoduše skrývají soubory za PIN obrazovkou bez šifrování, zatímco jiné používají šifrování AES-256-GCM, kde jsou soubory matematicky nečitelné bez správných přihlašovacích údajů.
Pojem „aplikace trezor fotografií" pokrývá spektrum od základních skrývačů složek po trezory s nulovou znalostí. Pochopení toho, kde aplikace na tomto spektru leží, určuje, zda jsou vaše fotografie skutečně chráněny nebo jen mimo náhodný pohled.
Tato příručka definuje, co je aplikace trezor fotografií, vysvětluje, jak fungují různé typy, a poskytuje konkrétní kritéria, která byste měli zkontrolovat před svěřením soukromých souborů.
Co je aplikace trezor fotografií?
Aplikace trezor fotografií je software, který vytváří samostatnou, přístupem řízenou oblast úložiště pro fotografie a videa na mobilním zařízení. Minimálně poskytuje bariéru mezi standardní fotoknihovnou zařízení a soukromými soubory. Maximálně poskytuje kryptografickou ochranu ekvivalentní té, kterou vládní subjekty používají pro utajované informace.
Kategorie zahrnuje tři odlišné typy:
Typ 1: Skrývače složek
Skrývače složek přesouvají fotografie z kamerového svitku do skryté složky v úložišti aplikace. Přístup je řízen PIN, heslem nebo biometrickým ověřením. Soubory samotné jsou uloženy v původním formátu (JPEG, PNG, HEIC) bez šifrování.
Před čím chrání: Někdo, kdo náhodně prochází aplikaci Fotky.
Před čím nechrání: Kdokoli s přístupem k souborovému systému. Připojení telefonu k počítači, extrakce zálohy nebo použití forenzních nástrojů odhalí soubory bez nutnosti znát PIN.
Příklady: Mnoho bezplatných trezorových aplikací v App Storu a Google Play patří do této kategorie. Jsou nejstahovanějším a nejméně bezpečným typem.
Typ 2: Šifrované úložiště s klíči na straně serveru
Tyto aplikace šifrují fotografie před uložením, ale šifrovacími klíči spravuje servery společnosti. Aplikace může používat silné šifrování (AES-256), ale správa klíčů znamená, že společnost může teoreticky dešifrovat vaše soubory. Pokud dostane právní příkaz, může ho splnit. Pokud dojde k úniku, klíče jsou kompromitovány spolu s daty.
Před čím chrání: Náhodný přístup, krádež zařízení (pokud je zařízení zamčeno), základní forenzní zkoumání.
Před čím nechrání: Samotná společnost aplikace, právní donucení namířené na společnost, úniky na straně serveru.
Příklady: Některé prémiové trezorové aplikace a cloudové úložiště s funkcemi trezoru.
Typ 3: Trezory šifrované s nulovou znalostí
Trezory s nulovou znalostí odvozují šifrovací klíče lokálně z přihlašovacích údajů uživatele (heslo, vzor, biometrie). Klíče nikdy neopouštějí zařízení a nikdy nejsou přenášeny na servery vývojáře. Vývojář matematicky nemůže přistupovat k uloženým souborům, a to ani pod právním donucením. Není co předat, protože schopnost dešifrovat neexistuje mimo zařízení uživatele.
Před čím chrání: Vše výše, plus vynucený přístup od vývojáře, úniky ze serverů a hrozby zevnitř.
Před čím nechrání: Uživatel zapomene přihlašovací údaje bez obnovovacího mechanismu.
Příklady: Vaultaire (AES-256-GCM s derivací klíče PBKDF2, architektura nulové znalosti) a malý počet dalších aplikací s ověřenými implementacemi nulové znalosti.
Spektrum trezoru fotografií: od skrytého po šifrované
| Funkce | Skrývač složek | Šifrovaný (klíče serveru) | Trezor s nulovou znalostí |
|---|---|---|---|
| Soubory šifrované v klidovém stavu | Ne | Ano | Ano |
| Standard šifrování | Žádný | Různé (často nespecifikované) | AES-256-GCM nebo ekvivalent |
| Kdo drží klíče | N/A (bez šifrování) | Společnost | Pouze uživatel |
| Přežije forenzní zkoumání | Ne | Částečně | Ano |
| Vývojář může přistupovat k souborům | Ano (bez šifrování) | Ano (drží klíče) | Ne (matematicky nemožné) |
| Přežije únik společnosti | Ne | Ne (klíče kompromitovány) | Ano (žádné klíče k odcizení) |
| Obnova při ztrátě přihlašovacích údajů | Obvykle e-mailem | E-mailem nebo na serveru | Pouze obnovovací fráze (bez zadních vrát) |
| Typický sběr dat | Rozsáhlý (reklamy, sledování) | Střední | Minimální nebo žádný |
Toto spektrum je nejdůležitější věcí, kterou je třeba pochopit o aplikacích trezoru fotografií. App Store tyto typy nerozlišuje. Skrývač složek s miliony stažení sedí vedle trezoru s nulovou znalostí a oba se nazývají „aplikace trezor fotografií."
Jak fungují aplikace trezoru fotografií: technická vrstva
Import a úložiště
Když přidáte fotografii do trezorové aplikace, aplikace zkopíruje (nebo přesune) soubor z kamerového svitku do svého vlastního úložného prostoru. Na iOS má každá aplikace sandboxovaný adresář, ke kterému jiné aplikace nemají přímý přístup. Na Androidu závisí úroveň izolace na verzi OS a implementaci aplikace.
Klíčová otázka je, co se stane se souborem po importu. Ve skrývači složek soubor sedí v adresáři aplikace v původním formátu. V šifrovaném trezoru je soubor transformován šifrou (jako AES-256-GCM) na šifrovaná data před zápisem do úložiště.
Ověřování
Aplikace trezoru fotografií používají různé metody ověřování:
| Metoda | Úroveň bezpečnosti | Poznámky |
|---|---|---|
| 4-místný PIN | Nízká | 10 000 možných kombinací; prolomitelné hrubou silou |
| 6-místný PIN | Nízká-střední | 1 000 000 kombinací; stále prolomitelné s automatizací |
| Heslo | Střední-vysoká | Záleží výhradně na složitosti hesla |
| Vzor na mřížce 3x3 | Nízká-střední | Přibližně 389 000 možných vzorů (ekvivalent zamykací obrazovky Android) |
| Vzor na mřížce 5x5 | Vysoká | Miliardy možných vzorů propojujících 4+ teček |
| Biometrie (Face ID / Touch ID) | Střední-vysoká | Pohodlná, ale může být vynucena; nejlepší jako druhý faktor |
Rozdíl mezi ověřováním a šifrováním je důležitý. Ověřování určuje, kdo může otevřít aplikaci. Šifrování určuje, zda jsou soubory čitelné bez klíče. Silný PIN na aplikaci, která šifruje soubory, nechrání nic, pokud je souborový systém přistupován přímo.
Derivace klíče
V šifrovaných trezorových aplikacích je přihlašovací údaj uživatele (heslo, vzor atd.) transformován na šifrovací klíč prostřednictvím funkce derivace klíče. Standardní přístup používá algoritmy jako PBKDF2, Argon2 nebo scrypt s vysokým počtem iterací a solí pro každý trezor.
Vaultaire používá PBKDF2 s HMAC-SHA512 a jedinečnou kryptografickou solí pro každý trezor. Počet iterací dělá každou derivaci klíče výpočetně nákladnou, takže testování miliardy vzorů by vyžadovalo roky nepřetržitého výpočtu pro každý trezor.
Krok derivace klíče je to, co transformuje lidsky zapamatovatelný přihlašovací údaj na 256bitový šifrovací klíč vhodný pro AES-256-GCM. Bez tohoto kroku by byl šifrovací klíč tak slabý jako heslo samotné.
Ochrana metadat
Detail, který většina trezorových aplikací přehlíží: i když jsou fotografie šifrované, metadata mohou prozradit informace. Názvy souborů, data vytvoření, rozměry náhledů a struktura trezoru jsou metadata. Pokud jsou tato metadata uložena v prostém textu, odhalují, jaký druh obsahu je uložen, i když samotný obsah je šifrovaný.
Vaultaire šifruje všechna metadata pomocí ChaCha20, odlišné šifry od šifrování souborů (AES-256-GCM). Použití odlišné šifry pro metadata poskytuje kryptografickou diversitu a eliminuje boční kanálové útoky načasování cache.
Co zkontrolovat před důvěřováním aplikaci trezoru fotografií
1. Standard šifrování
Zkontrolujte, zda aplikace specifikuje šifrovací algoritmus. Důvěryhodné aplikace ho explicitně pojmenovávají: AES-256-GCM, AES-256-CBC, ChaCha20-Poly1305. Pokud aplikace říká „šifrování vojenské třídy" nebo „bezpečnost bankovní úrovně" bez pojmenování konkrétní šifry, je to varovný signál. Tyto fráze jsou marketingový jazyk, nikoli technická specifikace.
Podle NIST SP 800-38D je AES-256-GCM doporučený algoritmus autentizovaného šifrování pro vysoce bezpečné aplikace. Poskytuje jak důvěrnost (data jsou nečitelná), tak integritu (manipulace je detekována).
2. Správa klíčů
Kde jsou šifrovací klíče? Tři možnosti:
- Pouze v zařízení (nulová znalost): Vývojář nemůže přistupovat k vašim souborům. Jde o nejsilnější model.
- Na serverech společnosti: Vývojář může dešifrovat vaše soubory. To je běžné u cloudových trezorových aplikací.
- Nelze použít: Aplikace soubory vlastně nešifruje.
Pokud aplikace nabízí obnovení hesla e-mailem, které obnoví přístup k vašim šifrovaným souborům, vývojář drží klíče. Skutečné aplikace s nulovou znalostí nemohou obnovit heslo, protože ho nikdy neměly.
3. Zásady sběru dat
Zkontrolujte štítky výživových hodnot soukromí v App Storu. Ty jsou samo-hlášené vývojáři, ale naznačují rozsah sběru dat. Trezorová aplikace, která shromažďuje identifikátory zařízení, data o využití a reklamní data, monetizuje vaše chování vedle ochrany vašich souborů.
Aplikace s nulovým sběrem dat (žádná analytika, žádná reklama, žádné identifikátory) ukazují, že obchodní model je samotný produkt, nikoli uživatelská data.
4. Mechanismus obnovy
Jak aplikace zpracovává zapomenuté heslo? Odpověď odhaluje bezpečnostní architekturu:
- Obnovovací fráze (sekvence slov): Naznačuje derivaci klíče na straně klienta. Fráze lokálně regeneruje klíč. Žádné zapojení serveru.
- Obnovení e-mailem: Naznačuje správu klíčů na straně serveru. Společnost drží nebo může regenerovat váš klíč.
- Žádná obnova: Naznačuje silný design nulové znalosti, ale nese riziko trvalé ztráty dat.
Vaultaire používá standardní obnovovací fráze BIP-39. Každý trezor generuje jedinečnou sekvenci slov, která může regenerovat stejný šifrovací klíč. Pokud jsou ztraceny vzor i obnovovací fráze, data jsou trvale neobnovitelná. Žádná zadní vrátka neexistují.
5. Stav otevřeného auditu
Byla implementace šifrování nezávisle ověřena? Vlastní tvrzení o šifrování mohou být implementována nesprávně. Mezi běžné chyby patří opakované použití inicializačních vektorů, použití slabé derivace klíče nebo ukládání klíčů na přístupných místech.
Aplikace, které podstoupí nezávislé bezpečnostní audity nebo otevřeně publikují kryptografický kód, poskytují silnější záruky než aplikace, které jen tvrdí bez ověření.
6. Historie platformy a aktualizací
Zkontrolujte, kdy byla aplikace naposledy aktualizována. Trezorové aplikace, které nebyly aktualizovány déle než rok, nemusí podporovat aktuální bezpečnostní funkce OS, mohou mít neopravené zranitelnosti a nemusí správně fungovat po aktualizacích OS.
Aplikace trezoru fotografií vs. vestavěná řešení
Jak iOS, tak Android poskytují vestavěné možnosti pro skrytí fotografií. Jak se porovnávají?
Skryté album iOS
Od iOS 16 Skryté album v aplikaci Fotky vyžaduje Face ID, Touch ID nebo kód pro zobrazení. Je to výrazné zlepšení oproti předchozím verzím, kde bylo Skryté album přístupné komukoli s přístupem k zařízení.
Omezení: Skryté album je řízení přístupu, nikoli šifrování. Apple spravuje klíče. Forenzní zkoumání zařízení může odhalit skryté fotografie. Kdokoli s kódem zařízení má přístup. Neexistuje způsob, jak vytvořit více skrytých prostorů nebo poskytnout věrohodné popření.
Uzamčená složka Android (Google Fotky)
Google Fotky nabízejí Uzamčenou složku, která vyžaduje biometrické nebo PIN zařízení pro přístup. Podobně jako iOS jde o řízení přístupu spíše než o nezávislé šifrování.
Omezení: Google drží klíče pro obsah synchronizovaný s cloudem. Uzamčená složka je UI vrstva nad infrastrukturou Google. Forenzní nástroje mohou přistupovat k obsahu.
Kde trezorové aplikace přidávají hodnotu
Aplikace trezoru třetích stran přidávají hodnotu ve třech specifických oblastech:
- Nezávislé šifrování. Klíče odvozené z přihlašovacích údajů uživatele, nikoli spravované Applem nebo Googlem.
- Věrohodné popření. Schopnost mít více skrytých prostorů, jejichž existenci nelze prokázat.
- Architektura nulové znalosti. Ani výrobce zařízení, ani vývojář aplikace nemůže přistupovat k souborům.
Pro uživatele, jejichž model hrozby přesahuje „udržet fotografie mimo kamerový svitek," poskytuje specializovaná aplikace trezoru fotografií se skutečným šifrováním ochranu, kterou vestavěné funkce nenabízejí.
Často kladené otázky
Co je aplikace trezor fotografií?
Aplikace trezor fotografií je mobilní aplikace, která ukládá fotografie a videa v soukromé, chráněné oblasti oddělené od výchozí fotoknihovny zařízení. Úrovně ochrany se pohybují od jednoduchého skrývání složek (bez šifrování) po šifrované úložiště s nulovou znalostí, kde jsou soubory matematicky nečitelné bez přihlašovacích údajů uživatele. Pojem pokrývá široké spektrum; implementace šifrování určuje skutečnou bezpečnost.
Jsou aplikace trezoru fotografií bezpečné?
Záleží výhradně na typu. Skrývače složek, které ukládají nešifrované soubory za PIN, nejsou bezpečné pro technické zkoumání. Šifrované trezorové aplikace používající AES-256-GCM se správou klíčů s nulovou znalostí jsou bezpečné před forenzní analýzou, krádeží zařízení a úniky serverů. Před svěřením citlivých souborů jakékoli aplikaci zkontrolujte standard šifrování, model správy klíčů a zásady sběru dat.
Šifrují aplikace trezoru fotografií skutečně fotografie?
Ne všechny. Mnoho populárních aplikací trezoru fotografií, zejména ty bezplatné s reklamami, ukládá soubory v původním formátu a spoléhá na PIN jako jedinou ochranu. Aplikace, které skutečně šifrují, používají pojmenované algoritmy (AES-256-GCM, ChaCha20-Poly1305) a odvozují klíče z přihlašovacích údajů uživatele prostřednictvím funkcí jako PBKDF2 nebo Argon2. Pokud aplikace nespecifikuje šifrovací algoritmus, předpokládejte, že nešifruje.
Může Apple nebo Google vidět fotografie v trezorové aplikaci?
Pokud trezorová aplikace používá šifrování s nulovou znalostí s odvozením klíče na straně klienta, ani Apple ani Google nemůže přistupovat k šifrovaným souborům, i když hostují zálohy. Bez klíče uživatele jsou šifrovaná data matematicky k nerozeznání od náhodného šumu. Pokud trezorová aplikace ukládá soubory nešifrované nebo používá klíče spravované serverem, platforma nebo vývojář může mít přístup.
Co se stane, když zapomenu heslo k trezorové aplikaci?
Odpověď závisí na bezpečnostní architektuře. Aplikace se správou klíčů na straně serveru nabízejí obnovení hesla e-mailem, ale mohou také přistupovat k vašim souborům. Trezorové aplikace s nulovou znalostí poskytují obnovovací fráze (sekvence slov), které lokálně regenerují klíč. Pokud jsou ztraceny heslo/vzor i obnovovací fráze v aplikaci s nulovou znalostí, data jsou trvale neobnovitelná. Zadní vrátka neexistují.
Jaký je nejbezpečnější typ aplikace trezoru fotografií?
Trezor s nulovou znalostí šifrovaný pomocí AES-256-GCM nebo ekvivalentu, s derivací klíče PBKDF2/Argon2, inicializačními vektory pro každý soubor, šifrováním metadat a bez úložiště klíčů na straně serveru. Tento typ zajišťuje, že pouze uživatel může dešifrovat soubory, vývojář nemůže přistupovat k datům ani pod právním donucením a uložené soubory přežijí forenzní zkoumání bez kompromisu.
Závěr
„Aplikace trezor fotografií" je kategoriový popis, nikoli záruka bezpečnosti. Rozsah v rámci kategorie sahá od aplikací, které poskytují méně ochrany než vestavěné Skryté album iOS, po aplikace, které poskytují ochranu ekvivalentní ukládání vládních utajovaných dat.
Před svěřením trezorové aplikaci souborům, na kterých záleží, zkontrolujte šest věcí: standard šifrování, správa klíčů, sběr dat, mechanismus obnovy, stav auditu a historii aktualizací. Pokud aplikace nedokáže odpovědět na tyto otázky konkrétně, patří do kategorie skrývačů složek bez ohledu na to, co říká marketing.
Fotografie na vašem telefonu jsou záznamem vašeho života. Ochrana, kterou si zaslouží, by měla být založena na matematice, nikoli na marketingu.
Související průvodci: Nejlepší trezorové aplikace pro fotografie na iPhonu | Jak zamknout fotografie na iPhonu | Co je šifrování s nulovou znalostí? | Zámek galerie vs. šifrovaný trezor