Glaubhafte Abstreitbarkeit in Apps: Was sie ist und warum sie wichtig ist
Glaubhafte Abstreitbarkeit bedeutet, dass die Existenz versteckter Daten nicht bewiesen werden kann.
Glaubhafte Abstreitbarkeit in der Verschlüsselung ist die Eigenschaft, die es einem Benutzer ermöglicht, die Existenz bestimmter verschlüsselter Daten glaubwürdig zu leugnen. Der verschlüsselte Speicher scheint nur die Daten zu enthalten, die der Benutzer offenbaren möchte. Ein forensischer Prüfer, eine zwangende Partei oder jemand mit physischem Zugang zum Gerät kann nicht beweisen, dass zusätzliche versteckte Daten existieren. Dies ist kein Verbergungs-Feature. Es ist eine mathematische Eigenschaft des Verschlüsselungsschemas selbst.
Diese Anleitung erklärt, wie glaubhafte Abstreitbarkeit in Apps funktioniert, den Unterschied zwischen echter kryptographischer Abstreitbarkeit und kosmetischen Täuschungsmodi, reale Szenarien, wo sie wichtig ist, und wie man Abstreitbarkeitsansprüche bewertet.
Was glaubhafte Abstreitbarkeit in der Verschlüsselung bedeutet
Im alltäglichen Sprachgebrauch bedeutet glaubhafte Abstreitbarkeit, dass man etwas glaubwürdig leugnen kann. In der Kryptographie bedeutet es, dass die Existenz versteckter Daten nicht bewiesen werden kann, selbst von einem Experten mit unbegrenzter Zeit und forensischen Tools.
Das Konzept entstand bei der Festplattenverschlüsselung. TrueCrypt (und sein Nachfolger VeraCrypt) war Pionier des versteckten Volumes: ein verschlüsseltes Volume innerhalb eines anderen verschlüsselten Volumes. Ein Passwort enthüllt das äußere Volume mit harmlosen Dateien. Ein anderes Passwort enthüllt das innere versteckte Volume mit sensiblen Dateien. Ein forensischer Prüfer kann nicht bestimmen, ob ein verstecktes Volume existiert, weil der ungenutzte Speicherplatz im äußeren Volume mit zufälligen Daten gefüllt ist, die von verschlüsselten Daten nicht zu unterscheiden sind.
Für Apps bedeutet glaubhafte Abstreitbarkeit, dass verschiedene Anmeldedaten (Passwörter, PINs, Muster) verschiedene Datensätze öffnen, und es gibt keine Metadaten, kein Register, kein Konfigurations-Flag oder strukturelles Artefakt, das die Existenz zusätzlicher Datensätze enthüllt.
Echte Abstreitbarkeit vs. kosmetische Täuschungsmodi
Dies ist die kritische Unterscheidung, die die meisten Apps falsch machen.
Kosmetischer Täuschungsmodus (keine echte Abstreitbarkeit)
Viele Safe-Apps bieten eine „Täuschungs-" oder „Fake-PIN"-Funktion. Sie setzen eine sekundäre PIN, die einen separaten Bereich mit anderen Fotos öffnet. Das Problem: Diese Apps speichern typischerweise ein boolesches Flag, einen Datenbankeintrag oder eine Konfigurationsdatei, die anzeigt, dass ein Täuschungsmodus existiert und konfiguriert ist.
Ein forensischer Prüfer, der die App versteht, kann dieses Flag finden. Das Finden eines konfigurierten Täuschungsmodus beweist, dass versteckte Daten existieren. Die Abstreitbarkeit ist kosmetisch — sie funktioniert gegen einen zufälligen Schnüffler, versagt aber unter forensischer Prüfung.
Anzeichen von kosmetischer Abstreitbarkeit:
- Die App hat einen „Täuschungsmodus"-Schalter in den Einstellungen
- Eine Konfigurationsdatei speichert, ob der Täuschungsmodus aktiviert ist
- Eine Datenbanktabelle listet Safe-IDs mit Typindikatoren auf (primär/Täuschung)
- Die Speicherstruktur der App ändert sich, wenn der Täuschungsmodus eingeschaltet ist
- Deinstallieren und Neuinstallieren der App enthüllt unterschiedliches Verhalten, wenn der Täuschungsmodus konfiguriert war
Echte kryptographische Abstreitbarkeit
Echte Abstreitbarkeit ist eine architektonische Eigenschaft, kein Feature-Schalter. Der verschlüsselte Speicher muss so konzipiert sein, dass:
Jede Anmeldeinformation einen gültigen Datensatz öffnet. Es gibt keine „falsches Passwort"-Fehlermeldung für Anmeldedaten, die versteckte Safes öffnen. Jede gültige Muster-/Passwortkombination erzeugt einen Schlüssel, der etwas entschlüsselt.
Kein Safe-Register existiert. Die App kann nicht aufzählen, wie viele Safes vorhanden sind. Es gibt keine Anzahl, keinen Index, keine Liste von Safe-IDs.
Keine Konfigurations-Flags enthüllen versteckte Safes. Es gibt kein Boolesches, keinen Datenbankeintrag, keine Präferenzdatei, die anzeigt, ob zusätzliche Safes existieren.
Speicher ist aufgefüllt. Der gesamte verbrauchte Speicherplatz ändert sich nicht basierend auf der Anzahl der Safes oder Dateien. Ohne Auffüllung könnte ein Prüfer die Anzahl der Safes aus der Gesamtmenge verschlüsselter Daten im Vergleich zum sichtbaren Inhalt schätzen.
Verschlüsselte Daten sind von zufälligem Rauschen nicht zu unterscheiden. Es gibt keine Dateigrenzen, keine Kopfzeilen, keine strukturellen Marker, die enthüllen, wo die Daten eines Safes enden und die eines anderen beginnen.
| Eigenschaft | Kosmetischer Täuschungsmodus | Echte Abstreitbarkeit |
|---|---|---|
| Separate Daten pro Anmeldeinformation | Ja | Ja |
| Kein Safe-Register | Nein (Datenbank verfolgt Safes) | Ja |
| Keine Konfigurations-Flags | Nein (Täuschungsschalter gespeichert) | Ja |
| Speicherauffüllung | Selten | Ja |
| Übersteht forensische Prüfung | Nein | Ja |
| Architektonisch vs. Feature | Feature-Schalter | Architektonische Eigenschaft |
Reale Szenarien, wo dies wichtig ist
Glaubhafte Abstreitbarkeit ist keine theoretische Sorge. Sie befasst sich mit dokumentierten, wiederkehrenden realen Situationen.
Grenzübergänge
In den Vereinigten Staaten kann der Zoll (CBP) rechtlich Gerätezugang an der Grenze erzwingen. Gerichte haben entschieden, dass Grenzbeamte Passwörter für Geräteinspektionen verlangen können. In diesem Szenario kann ein Benutzer mit echter glaubhafter Abstreitbarkeit ein Muster/Passwort angeben, das einen Safe mit harmlosen Inhalten öffnet. Der Prüfer kann nicht beweisen, dass andere Safes existieren.
Häusliche Gewalt und zwanghafte Beziehungen
Jemand in einer missbräuchlichen Beziehung muss möglicherweise Beweise (Fotos von Verletzungen, bedrohliche Nachrichten, rechtliche Dokumente) auf einem Gerät speichern, das der Missbraucher überwacht. Wenn der Missbraucher den Safe sehen möchte, kann der Benutzer einen Safe mit nicht sensiblem Inhalt öffnen. Ohne echte Abstreitbarkeit würde ein „Täuschungsmodus"-Flag in der App-Konfiguration die Existenz versteckter Inhalte enthüllen.
Gerätediebstahl
Ein Dieb mit technischen Fähigkeiten könnte versuchen, Daten von einem gestohlenen Telefon zu extrahieren. Mit echter Abstreitbarkeit enthüllt der verschlüsselte Datenpool nichts über die Anzahl der Safes, ihren Inhalt oder ihren Zweck.
Rechtlicher und journalistischer Schutz
Journalisten, die Quellen schützen, Anwälte, die Kundendateien schützen, und Aktivisten in autoritären Regimen stehen vor Szenarien, in denen Geräteinhalte erzwungen werden können. Echte Abstreitbarkeit bietet eine glaubwürdige Verteidigung gegen Datenbeschlagnahme.
Wie Vaultaire glaubhafte Abstreitbarkeit implementiert
Vaultaire erreicht echte kryptographische glaubhafte Abstreitbarkeit durch architektonisches Design:
Jedes Muster öffnet einen anderen Safe. Das 5x5-Raster erzeugt einen Schlüssel via PBKDF2. Ein anderes Muster erzeugt einen anderen Schlüssel. Es gibt keinen Hauptschlüssel, keine Safe-Liste und keine Möglichkeit für die App, vorhandene Safes aufzuzählen. Das Zeichnen eines Musters, das keinem assoziierten Safe entspricht, öffnet einfach einen leeren Safe-Bereich — es gibt keine „falsches Muster"-Fehlermeldung.
Kein Safe-Register. Die App hat keine Datenbank, die Safes, Safe-Namen oder Safe-Anzahl auflistet. Alle verschlüsselten Daten existieren in einem einzigen undifferenzierten Speicherpool.
Speicherauffüllung. Die Gesamtspeichergröße bleibt unabhängig von der Anzahl der Safes oder Dateien konstant, wodurch Festplattennutzungsanalyse besiegt wird.
Keine Konfigurations-Flags. Es gibt keine Einstellungsdatei, keinen Präferenzeintrag und keinen Datenbankdatensatz, der enthüllt, wie viele Safes existieren.
Notfall-Modus. Benutzer können einen Safe als Notfall-Safe festlegen. Das Zeichnen dieses Musters öffnet den Safe normal und zerstört gleichzeitig und still die kryptographischen Salts aller anderen Safes. Die Zerstörung ist irreversibel, hinterlässt keine forensische Spur und dauert unter einer Sekunde.
Wie man Abstreitbarkeitsansprüche bewertet
Wenn eine App glaubhafte Abstreitbarkeit beansprucht, fragen Sie:
- Gibt es einen „Täuschungsmodus"-Schalter? Wenn ja, ist er kosmetisch. Ein forensischer Prüfer kann den Schalter finden.
- Hat die App eine Safe-Liste oder Datenbank? Wenn ja, ist die Existenz des Safes beweisbar.
- Gibt es eine „falsches Passwort"-Fehlermeldung? Wenn ja, kann die App zwischen gültigen und ungültigen Anmeldedaten unterscheiden.
- Ändert sich der Speicherverbrauch mit der Safe-Anzahl? Wenn ja, kann Festplattenanalyse die Safe-Anzahl schätzen.
- Kann die App Safes aufzählen? Wenn die App Ihnen eine Liste Ihrer Safes zeigen kann, existiert diese Liste auf dem Gerät und ist auffindbar.
Häufig gestellte Fragen
Ist glaubhafte Abstreitbarkeit legal?
Die Verwendung von Verschlüsselung mit glaubhafter Abstreitbarkeit ist in den meisten Demokratien legal. Es gibt kein Gesetz gegen verschlüsselte Daten auf Ihrem Gerät, deren Existenz nicht bewiesen werden kann. In einigen Rechtsordnungen (UK unter RIPA, Australien unter dem Assistance and Access Act) können Behörden die Offenlegung von Verschlüsselungsschlüsseln erzwingen. Die Rechtsfrage, ob die Offenlegung eines Schlüssels für Daten, deren Existenz nicht bewiesen werden kann, durchsetzbar ist, bleibt ein sich entwickelnder Rechtsbereich.
Können forensische Tools glaubhafte Abstreitbarkeit erkennen?
Professionelle forensische Tools (Cellebrite, GrayKey, Magnet AXIOM) können erkennen, dass Vaultaire installiert ist und dass verschlüsselte Daten vorhanden sind. Sie können nicht bestimmen, wie viele Safes vorhanden sind, was sie enthalten oder ob zusätzliche Safes über die enthüllten hinaus existieren. Die verschlüsselten Daten sind von zufälligem Rauschen nicht zu unterscheiden. Dies ist durch Design verifiziert, nicht durch Richtlinie behauptet.
Funktioniert glaubhafte Abstreitbarkeit gegen einen entschlossenen Nationalstaat?
Gegen Kryptoanalyse (Brechen der Verschlüsselung): ja. AES-256 ist durch keine bekannte Nationalstaatsfähigkeit brechbar. Gegen Zwang (Sie zwingen, Muster zu enthüllen): glaubhafte Abstreitbarkeit bedeutet, dass Sie einen Safe enthüllen können und glaubwürdig leugnen, dass andere existieren. Gegen Gerätexploitation (Verwendung eines Zero-Days, um Daten von einem laufenden Gerät zu extrahieren): wenn das Gerät entsperrt ist und der Safe offen ist, befinden sich die entschlüsselten Daten im Speicher.
Was ist der Unterschied zwischen glaubhafter Abstreitbarkeit und versteckten Safes?
Versteckte Safes sind Safes, die in der Benutzeroberfläche der App nicht sichtbar sind. Glaubhafte Abstreitbarkeit ist die Eigenschaft, dass die Existenz versteckter Safes nicht bewiesen werden kann. Eine App kann versteckte Safes ohne glaubhafte Abstreitbarkeit haben (wenn ein Safe-Register oder Konfigurations-Flag sie enthüllt). Vaultaire bietet beides: Safes sind standardmäßig versteckt, und ihre Existenz ist durch Design unbeweisbar.
Kann ich glaubhafte Abstreitbarkeit mit Cloud-Backups verwenden?
In Vaultaire enthalten verschlüsselte iCloud-Backups den gesamten verschlüsselten Speicherpool. Das Backup ist ein einziger verschlüsselter Blob. Es bewahrt glaubhafte Abstreitbarkeit, weil das Backup selbst keine Safe-Level-Struktur enthält — es ist derselbe undifferenzierte verschlüsselte Pool wie im Gerätespeicher.
Fazit
Glaubhafte Abstreitbarkeit in der Verschlüsselung bedeutet, dass die Existenz versteckter Daten nicht bewiesen werden kann, selbst unter forensischer Prüfung. Die meisten Apps, die dieses Feature beanspruchen, bieten kosmetische Täuschungsmodi mit auffindbaaren Konfigurations-Flags. Echte Abstreitbarkeit erfordert kein Safe-Register, keine Konfigurations-Flags, Speicherauffüllung und architektonisch nicht unterscheidbare verschlüsselte Daten.
Vaultaire implementiert echte glaubhafte Abstreitbarkeit als architektonische Eigenschaft: Jedes Muster öffnet einen anderen Safe, es gibt keine Safe-Liste, der Speicher ist aufgefüllt, und keine andere verschlüsselte Safe-App tut dies.