Nødtilstand: Øjeblikkelig sletning af hvælving
Du tvinges til at låse telefonen op. Nogen ser på. Du tegner et mønster på gitteret og hvælvingen åbner. Den ser normal ud. Men i baggrunden er hver anden hvælving på din enhed netop permanent slettet. Krypteringsnøglerne er væk. Data er nu tilfældig støj. Og ingen så noget.
Nødtilstand i Vaultaire lader dig markere en hvælving som nødudløser. At tegne den hvælvings mønster åbner den normalt, men destruerer samtidig kryptografiske salte for hver anden hvælving på enheden, hvilket gør deres data permanent utilgængeligt.
Hvad er nødtilstand?
Nødtilstand er den sidste forsvarslinje. Det er en funktion du håber aldrig at få brug for, designet til det øjeblik hvor alt andet er brudt sammen: når nogen står over dig, kræver adgang til dine private filer og du ikke har andet valg end at efterkomme.
Sådan virker det: du udpeger én hvælving som nød-hvælving. Du fylder den med troværdigt indhold — nogle uskyldige billeder, et par banale dokumenter. Derefter tildeler du den et mønster, ligesom enhver anden hvælving. Udefra er den uadskillelig fra en normal hvælving.
Forskellen ligger i hvad der sker, når du tegner det mønster. Et normalt hvælvingsmønster dekrypterer filerne inden i og intet andet. Nødmønsteret gør det samme: åbner nød-hvælvingen og viser dens indhold på skærmen. Men det starter også stille, i baggrunden, kryptografisk destruktion af hver anden hvælving på din enhed.
Ingen bekræftelsesdialog. Ingen advarselslyd. Ingen indlæsningsspinner der antyder at noget usædvanligt sker. Personen der ser på ser en hvælving åbne sig. Ser fotos. Ser præcis hvad de forventede. Hvad de ikke ser, er at hvert andet stykke krypterede data på din enhed netop er blevet permanent ugenopretteligt.
Nødtilstand er ikke en privatlivsfunktion. Det er en overlevelsesfunction. Den eksisterer fordi der er situationer, hvor omkostningerne ved at nogen får adgang til dine data overstiger omkostningerne ved permanent at miste dem. Når du tegner nødmønsteret, foretager du den udveksling bevidst, stille og uigenkaldeligt.
Sådan virker det under hætten
Forståelse af mekanismen er vigtig, fordi sikkerheden ved nødtilstand afhænger af at implementeringen faktisk er destruktiv, ikke bare kosmetisk skjult.
Trin 1: Du tegner nødmønsteret
Når du tegner det mønster tildelt din nød-hvælving, genkender Vaultaire det som en nødudløser. Appen starter to operationer samtidig: begynder at dekryptere og vise nød-hvælvingens indhold (lokkemaden) og starter destruktionssekvensen for hver anden hvælving.
Trin 2: Krypteringsnøglerne slettes
Hver hvælving i Vaultaire er krypteret med sin egen unikke nøgle afledt af sit eget unikke mønster. Disse nøgler er ikke gemt i klartekst: de afledes igen fra mønsteret ved hver brug. Men hver hvælving gemmer også den salt og de metadata der er nødvendige for nøgleafledningsprocessen. Nødtilstand destruerer ikke blot de krypterede filer. Den destruerer den kryptografiske salt og nøgleafledningsparametrene for hver hvælving undtagen nød-hvælvingen.
Uden salten kan selv korrekt tegning af mønsteret ikke afledde nøglen igen. Den matematiske forbindelse mellem dit mønster og krypteringsnøglen er permanent afskåret.
Trin 3: Krypterede data bliver til støj
De krypterede filer selv kan eksistere kortvarigt på disken, men er nu uadskillelige fra tilfældige data. Uden den rette dekrypteringsnøgle, som ikke kan afleddes fordi salten er væk, er indholdet matematisk ugenopretteligt. Ingen retstekniskværktøj, ingen statslig myndighed, ingen mængde computerkraft kan rekonstruere de originale data.
Trin 4: Nød-hvælvingen åbner normalt
Mens alt dette sker, åbner nød-hvælvingen på skærmen præcis som enhver anden hvælving ville. Personen der tvinger dig ser fotos indlæses, filer vises, en normaludseende hvælving. Der er intet visuelt bevis for at noget andet skete. Hele destruktionssekvensen kører i baggrunden, typisk på under et sekund.
Hvorfor ingen opdager det
Hele pointen med nødtilstand er at den er usynlig. Kunne en angriber registrere destruktionen, kunne de stoppe den, vende den eller straffe dig for at aktivere den. Vaultaire er designet så der ikke er nogen observerbar forskel mellem at åbne nød-hvælvingen og at åbne en normal hvælving.
Ingen bekræftelsesdialog
De fleste destruktive handlinger i software kommer med en advarsel: "Er du sikker?" Nødtilstand har ingen sådan advarsel. En bekræftelsesdialog ville være en afsløring. I det øjeblik du tegner mønsteret, er handlingen udført. Du kan ikke udløse det ved et uheld, medmindre du ved et uheld tegner et specifikt, komplekst mønster på et 5×5-gitter, hvilket ikke sker ved et tilfælde.
Ingen tidsforskel
Nød-hvælvingen åbner lige så hurtigt som enhver anden hvælving. Destruktionen af de andre hvælvingers nøgler kører asynkront, parallelt med dekryptering af nød-hvælvingens indhold. En observatør med et stopur ville ikke registrere nogen forsinkelse.
Ingen resterende beviser
Efter aktivering af nødtilstand viser appen ingen registrering af hændelsen. Ingen log, ingen "hvælvinger slettet"-notifikation, ingen ændring i app-interfacet. Næste gang appen åbnes, opfører den sig som om nød-hvælvingen var den eneste hvælving der nogensinde eksisterede. Fordi det funktionelt er tilfældet.
Hvad der destrueres
Præcision er vigtig her. Nødtilstand udfører ikke en teatralsk sletning, hvor filer flyttes til papirkurven. Den udfører kryptografisk sletning der gør gendannelse fysisk umulig.
Kryptografisk salt
Hver hvælving har en unik, tilfældigt genereret salt brugt i nøgleafledning. Salten er den kritiske komponent der forbinder dit tegnede mønster med den specifikke krypteringsnøgle. Når nødtilstand destruerer salten, afskærer den permanent denne forbindelse. Selv om du huskede mønsteret til hver anden hvælving, ville nøgleafledningsfunktionen uden den originale salt producere en anden, forkert nøgle.
Nøgleafledningsparametre
Ud over salten gemmer hver hvælving de parametre der er nødvendige for nøgleafledning: iterationsantal, algoritmeidentifikatorer og initialiseringsvektorer. Alt slettes. Uden dem er rekonstruktion af krypteringsnøglen ikke bare svær: den er matematisk udefineret.
Krypterede data
De krypterede blokke på disken bliver forældreløse. De er bytesekvenser der uden den rette nøgle er uadskillelige fra data genereret af en tilfældighedsgenerator. Retsteknisk diskanalyse finder krypterede data uden tilsvarende nøglemateriale, ingen salt og ingen metadata. Det ser præcis ud som disksektorer der engang var i brug og derefter frigivet, hvilket er præcis hvad de er.
En retsteknisk analytiker der analyserer en enhed efter nødtilstand finder én hvælving med normale data og nogle forældreløse krypterede blokke på disken. Der er ingen måde at fastslå, om disse blokke stammer fra slettede hvælvinger, app-cache eller normal filsystemsaktivitet. Analytikeren kan ikke engang bevise at der nogensinde eksisterede andre hvælvinger.
Hvornår man bruger nødtilstand
Nødtilstand er designet til situationer, hvor du står over for fysisk tvang eller juridisk pres og har besluttet at destruktion af data er acceptabelt frem for offentliggørelse. Det er en personlig beslutning med alvorlige konsekvenser, og Vaultaire giver dig værktøjet uden at træffe beslutningen for dig.
Grænseovergange
I mange lande kan grænseagenter lovligt kræve at du låser din enhed op og udleverer den til gennemsøgning. Nægter du, kan det resultere i tilbageholdelse, indrejseforbud eller beslaglæggelse af enheden. At tegne nødmønsteret inden du udleverer telefonen sikrer at der ikke er noget at finde: kun én hvælving med nogle feriefotos.
Fysisk tvang
Hvis nogen tvinger dig til at låse telefonen op under trussel, har du brug for en måde at efterkomme på uden faktisk at give hvad de vil have. Nødtilstand lader dig tegne et mønster der ser ud som samarbejde. Tvangspersonen ser en hvælving åbne sig. De ser ikke den samtidige destruktion af alt andet.
Beslaglæggelse af enhed
Har du grund til at tro din enhed vil blive beslaglagt, hvad enten det er af en regering, en arbejdsgiver eller andre, kan du forebyggende aktivere nødtilstand. Når enheden når en retsteknisk analytiker, er der intet at analysere.
Journalister og killebeskyttelse
Journalister der arbejder i fjendtlige miljøer, aktivister under overvågning og alle hvis data kunne bringe dem selv eller andre i fare. Nødtilstand forvandler et sårbarhedsøjeblik til et beskyttelsesøjeblik.
Opsætning af nød-hvælvingen
Konfiguration af nødtilstand tager cirka to minutter. At gøre det godt og troværdigt kræver lidt mere overvejelse.
Udpeg hvælvingen
I Vaultaires indstillinger markerer du én hvælving som nød-hvælving. Den hvælving åbner, når nødmønsteret tegnes, så den skal indeholde indhold der ser ægte ud og opfylder en observers forventninger. En tom hvælving er mistænkelig. En hvælving med åbenlyst falsk indhold er mistænkelig. En hvælving med et par normaludseende personlige fotos er ideel.
Fyld den med troværdigt indhold
Læg indhold i nød-hvælvingen som nogen ville forvente i et privat arkiv: nogle personlige fotos, måske et dokumentscan, nogle filer der ser tilstrækkeligt private ud til at blive låst inde, men uskyldige nok til at bestå kontrol. Målet er ikke at narre en retsteknisk undersøgelse, men at tilfredsstille personen der står foran dig i det øjeblik.
Vælg et naturligt mønster
Nødmønsteret skal være noget du kan tegne under stress, hurtigt, uden tøven. Tøver du eller tegner det forkert, åbner du den forkerte hvælving eller ingen. Øv det til det sidder i muskelhukommelsen. Der er ikke tid til et komplekst 12-punktsmønster. Simpelt og hurtigt er bedre: 5 til 7 punkter, en form din hånd kan følge uden at tænke.
Test det
Inden du får brug for det, test nødtilstand i et sikkert miljø. Opret test-hvælvinger, markér nød-hvælvingen og aktivér den. Bekræft at de andre hvælvinger forsvandt. Bekræft at nød-hvælvingen åbnede normalt. Derefter opsæt det igen med rigtigt indhold.
Kan ikke fortrydes
Dette skal siges klart: når nødtilstand er aktiveret, er destruktionen permanent. Der er ingen gendannelse. Ingen sikkerhedsnet for "ups, jeg tegnede det forkerte mønster". Ingen reservenøgle gemt på en server. Ingen måde Vaultaire-support kan gendanne dine data.
Krypteringsnøglerne er væk. Salterne er væk. Data er tilfældig støj. Det er pointen med funktionen. Var destruktionen reversibel, ville det ikke være destruktion: det ville være skjulen. Og skjulen kan en tilstrækkeligt motiveret modstander vende.
Nødtilstand er designet til folk der forstår denne afvejning og på forhånd har besluttet, at de hellere permanent mister data end giver adgang til dem til nogen anden. Er du ikke sikker på at du ville acceptere den afvejning, aktivér ikke nødtilstand. Er du sikker, er det den stærkeste beskyttelse Vaultaire tilbyder.
Uigenkaldelighed er ikke en fejl. Det er hele pointen. En destruktiv handling der kan fortrydes, er ikke destruktiv: den er teatralsk. Nødtilstand er ikke teater. Det er en garanti.
Ofte stillede spørgsmål
Hvad sker der, hvis jeg utilsigtet tegner nødmønsteret?
Sletningen starter øjeblikkeligt og kan ikke fortrydes. Vaultaire kræver at nødmønsteret er et bevidst og specifikt mønster på 5×5-gitteret: tilfældig gentagelse er meget usandsynlig. Det er dit ansvar at vælge et nødmønster du ikke vil tegne ved et uheld. Brug aldrig et mønster der ligner et af dine normale hvælvingsmønstre.
Kan jeg gendanne hvælvinger fra iCloud-backup efter nødtilstand?
Hvis du havde krypteret iCloud-backup aktiveret inden nødtilstand, indeholder disse backups stadig krypterede hvælvingsdata og nøgleafledningsparametre. Gendannelse fra en backup lavet før hændelsen gendanner dine hvælvinger. Hvis backup synkroniserer efter nødtilstand, vil den afspejle den slettede tilstand. Har du planer om at bruge nødtilstand, skal din backupstrategi tage højde for dette.
Kan en retsteknisk analytiker se at nødtilstand blev aktiveret?
Nej. Efter nødtilstand viser enheden én hvælving med normalt indhold. Der er ingen log eller metadata der antyder at andre hvælvinger eksisterede eller blev slettet. Forældreløse krypterede blokke på disken er uadskillelige fra normale filsystemsartefakter. En retsteknisk analytiker ville ikke have beviser for at nødtilstand nogensinde var aktiveret.
Slettes nød-hvælvingen selv?
Nej. Nød-hvælvingen forbliver intakt og fuldt funktionsdygtig. Den åbner normalt, viser sit indhold og fungerer som en normal hvælving bagefter. Det er afgørende: hvis den hvælving du netop åbnede forsvandt, ville personen der tvinger dig vide at noget skete. Nød-hvælvingen overlever for at bevare tilsyneladende normal drift.
Kan jeg have flere nød-hvælvinger?
Nej. Du udpeger præcis én hvælving som nød-hvælving. Begrænsningen er bevidst: flere nødudløsere ville øge risikoen for utilsigtet aktivering og komplicere den mentale model. Én hvælving, ét mønster, ét resultat.
Er nødtilstand lovlig?
Vaultaire leverer værktøjer til datasikkerhed. Hvordan og hvornår du bruger disse værktøjer er din beslutning og dit ansvar. Sletning af egne data er generelt lovligt i de fleste jurisdiktioner, men lovene varierer, særligt hvad angår bevisødelæggelse under retssager. Kontakt en advokat ved spørgsmål om din specifikke situation. Vaultaire giver ikke juridisk rådgivning.
Forbered dig på det værste
Opsæt nødtilstand nu, mens du har tid. Når du har brug for det, er der ikke tid til at konfigurere det.
Hent Vaultaire gratis