Glaubhafte Abstreitbarkeit: Jedes Muster öffnet einen anderen Tresor

Glaubhafte Abstreitbarkeit in Vaultaire bedeutet: Jedes auf dem 5×5-Raster gezeichnete Muster öffnet einen anderen Tresor mit einem anderen Verschlüsselungs-Schlüssel. Es gibt kein Master-Verzeichnis, keine Tresor-Zählung und keinen Weg zu beweisen, dass weitere Tresore auf dem Gerät existieren.

Was glaubhafte Abstreitbarkeit wirklich bedeutet

In der Sicherheitstechnik bedeutet glaubhafte Abstreitbarkeit, dass du glaubwürdig leugnen kannst, dass etwas existiert. Nicht nur verstecken. Nicht nur schwer auffindbar machen. Du kannst jemandem ins Gesicht schauen — einem Grenzbeamten, einem gewalttätigen Partner, einem Dieb, der dein Handy hat — und wahrheitsgemäß sagen “das ist alles”, und es gibt keinen technischen Beweis, der dir widerspricht.

Die meisten Tresor-Apps geben dir einen Tresor hinter einem Passwort. Zwingt dich jemand, ihn zu öffnen, ist alles sichtbar. Manche Apps bieten einen “Köder-Modus”, wo ein zweites Passwort einen Fake-Bildschirm zeigt. Aber diese Implementierungen sind kosmetisch. Ein forensischer Gutachter kann die App-Daten untersuchen, Konfigurationsflags sehen, bemerken, dass die Größe der verschlüsselten Daten nicht zu den sichtbaren Dateien passt, oder Metadaten finden, die eine versteckte Ebene verraten.

Vaultaire geht einen fundamental anderen Weg. Jedes Muster, das du auf dem 5×5-Raster zeichnest, leitet einen anderen Verschlüsselungs-Schlüssel ab. Jeder Schlüssel entschlüsselt einen anderen verschlüsselten Datenblock. Es gibt kein Master-Verzeichnis, kein Register der Tresore, keine Konfigurationsdatei, die auflistet, wie viele Tresore existieren. Die App selbst weiß es nicht. Sie kann es nicht wissen. Sie nimmt einfach das gezeichnete Muster, leitet einen Schlüssel ab, versucht Daten mit diesem Schlüssel zu entschlüsseln und zeigt dir, was sie findet.

Findet sie einen Tresor, siehst du deine Dateien. Findet sie nichts, bietet sie an, einen neuen Tresor mit diesem Muster anzulegen. Zeichnet jemand ein anderes Muster, bekommt er einen anderen Schlüssel und ein anderes Ergebnis. Es gibt keine “Falsches Muster”-Fehlermeldung. Es gibt keinen Hinweis, dass andere Tresore existieren. Es gibt nur den Tresor vor dir — und vollständige, mathematisch erzwungene Stille über alles andere.

Wie es technisch funktioniert

Die technische Grundlage von Vaultaires glaubhafter Abstreitbarkeit ist überraschend elegant. Sie beruht auf einer Eigenschaft der Verschlüsselung, die die meisten Tresor-Apps komplett ignorieren: Verschiedene Schlüssel erzeugen verschiedene Ausgaben aus denselben verschlüsselten Daten, und es gibt keinen Weg, eine “richtige” Entschlüsselung von einer “falschen” zu unterscheiden, ohne den Klartext zu untersuchen.

Verschiedene Muster, verschiedene Schlüssel

Wenn du ein Muster auf dem 5×5-Raster zeichnest, wird die Sequenz der verbundenen Punkte in eine Schlüsselableitungs-Funktion (PBKDF2) zusammen mit einem kryptografischen Salt eingespeist. Daraus entsteht ein einzigartiger 256-Bit AES-Verschlüsselungs-Schlüssel. Ein anderes Muster — selbst eines, das sich um einen einzigen Punkt unterscheidet — erzeugt einen komplett anderen Schlüssel. Nicht einen leicht anderen Schlüssel. Einen komplett anderen. Ändere einen Punkt in deinem Muster, und jedes einzelne Bit des abgeleiteten Schlüssels ändert sich unvorhersehbar.

Jeder Schlüssel entschlüsselt seinen eigenen Datenblock

Vaultaire speichert verschlüsselte Daten als opake Blobs. Wenn du ein Muster zeichnest, leitet die App einen Schlüssel ab und versucht, die Daten zu entschlüsseln. Passt der Schlüssel zu einem existierenden Tresor, gelingt die authentifizierte Entschlüsselung (AES-256-GCM), der Authentifizierungs-Tag verifiziert sich, und deine Dateien erscheinen. Passt der Schlüssel nicht, schlägt die Entschlüsselung entweder still fehl oder erzeugt sinnlose Ausgabe. In beiden Fällen zeigt die App keinen Fehler. Sie fragt einfach, ob du einen neuen Tresor mit diesem Muster anlegen möchtest.

Kein Master-Verzeichnis

Das ist die kritische Designentscheidung, die Vaultaire von Apps trennt, die lediglich einen “Köder-Modus” anbieten. Es gibt keine Datenbanktabelle mit Tresor-IDs. Keine Konfigurationsdatei, die zählt, wie viele Tresore existieren. Keine Metadatenstruktur, die die Existenz zusätzlicher verschlüsselter Container verraten könnte. Die verschlüsselten Blobs auf der Festplatte sind nicht voneinander und nicht von Zufallsdaten zu unterscheiden. Selbst Vaultaire kann nicht aufzählen, wie viele Tresore ein Nutzer erstellt hat.

Beide Tresore sind gleichermaßen real. Beide werden mit demselben Algorithmus verschlüsselt. Beide erzeugen dieselbe Art verschlüsselter Ausgabe. Es gibt kein Flag, keinen Marker, keine Metadaten, die einen als “echt” und den anderen als “Köder” kennzeichnen. Für die Mathematik sind sie identisch.

Die Köder-Tresor-Strategie

Glaubhafte Abstreitbarkeit funktioniert nur, wenn du etwas vorzeigen kannst. Ein leerer Tresor ist verdächtig. Ein Tresor, der offensichtlich nichts Schützenswertes enthält, ist verdächtig. Der stärkste Schutz ist ein Tresor, der genau so aussieht, wie jemand es erwarten würde.

Deinen Köder einrichten

Wähle ein zweites Muster — eines, das du schnell und natürlich unter Druck zeichnen kannst. Erstelle einen Tresor mit diesem Muster. Fülle ihn mit Inhalten, die für jemanden Sinn ergeben, der eine Tresor-App nutzt: vielleicht ein paar persönliche Fotos, die du lieber privat halten würdest, aber die nicht sensibel sind, ein paar Finanzdokumente, einige Notizen. Der Inhalt sollte glaubwürdig und leicht peinlich sein — gerade genug, dass jemand, der dein Handy durchsucht, denkt, er hätte gefunden, was du versteckst.

Glaubwürdig machen

Ein guter Köder-Tresor hat ein paar Eigenschaften. Er sollte eine vernünftige Anzahl Dateien enthalten — nicht zu wenige (verdächtig leer) und nicht zu viele (warum würdest du so viel banalen Inhalt schützen?). Die Dateien sollten aktuell genug sein, um aktive Nutzung zu suggerieren. Und idealerweise liefert der Inhalt einen plausiblen Grund, warum du überhaupt eine Tresor-App installiert hast.

Jemand, der deinen Köder-Tresor findet und persönliche Fotos, Steuerdokumente und private Notizen sieht, wird wahrscheinlich schließen, dass er alles gefunden hat. Er hat keinen Grund, zusätzliche Tresore zu vermuten, weil die App selbst keinen Hinweis gibt.

Unter Druck

Wirst du jemals unter Zwang aufgefordert, dein Gerät zu entsperren, zeichnest du das Köder-Muster. Der Tresor öffnet sich. Die Dateien erscheinen. Gib das Handy raus. Es gibt nichts zu finden, nichts zu untersuchen, kein verstecktes Menü zu entdecken. Die Person mit deinem Handy sieht eine Tresor-App mit einem geöffneten Tresor. Geschichte vorbei.

Dein echter Tresor — der mit den Dateien, auf die es wirklich ankommt — bleibt unsichtbar. Nicht hinter einem Menü versteckt. Nicht durch eine zweite Authentifizierungsebene geschützt. Er manifestiert sich schlicht nicht, bis das richtige Muster gezeichnet wird. Und niemand kann dich zwingen, ein Muster zu zeichnen, von dem er nicht weiß, dass es existiert.

Warum es mathematisch beweisbar ist

Das ist keine Marketing-Behauptung. Die Sicherheit von Vaultaires glaubhafter Abstreitbarkeit wurzelt in gut verstandenen Eigenschaften moderner Kryptografie. Deshalb kann keine forensische Analyse, egal wie ausgeklügelt, beweisen, dass zusätzliche Tresore existieren.

Verschlüsselte Daten sehen aus wie Zufallsrauschen

AES-256-GCM-Verschlüsselung erzeugt Ausgaben, die rechnerisch nicht von Zufallsdaten zu unterscheiden sind. Das ist keine grobe Annäherung — es ist eine formale Eigenschaft der Chiffre. Gegeben ein Block verschlüsselter Daten kann kein Algorithmus bestimmen, ob es sinnvoller verschlüsselter Inhalt oder tatsächlich zufällige Bytes sind. Das bedeutet, dass verschlüsselte Tresor-Daten auf der Festplatte ohne den richtigen Schlüssel nicht als “Tresor-Daten” identifiziert werden können.

Kein Tresor-Register

Es gibt keine Datei, Datenbank oder Datenstruktur, die aufzeichnet, wie viele Tresore existieren oder welchen Mustern sie entsprechen. Ein forensischer Gutachter kann sehen, dass Vaultaire installiert ist und verschlüsselte Daten existieren. Er kann nicht bestimmen, wie viele Tresore diese Daten repräsentieren. Es könnte einer sein. Es könnten zehn sein. Die Daten selbst beantworten die Frage nicht.

Kein unterscheidendes Orakel

In der Kryptografie ist ein “Orakel” alles, was Fragen über verschlüsselte Daten beantwortet. Die meisten Passwort-Systeme enthalten ein Orakel: Du gibst ein Passwort ein, und das System sagt dir, ob es richtig war. Vaultaire hat kein solches Orakel. Jedes Muster erzeugt einen Schlüssel. Jeder Schlüssel versucht eine Entschlüsselung. Es gibt keine “Zugang verweigert”-Antwort, die bestätigen oder leugnen würde, ob ein gegebenes Muster einem existierenden Tresor entspricht. Ein Angreifer, der zufällige Muster probiert, kann nicht einmal erkennen, ob er “wärmer wird.”

Das informationstheoretische Argument

Formal ausgedrückt: Gegeben die beobachtbaren Daten auf der Festplatte (verschlüsselte Blobs) und eine gültige Entschlüsselung (der Köder-Tresor), gewinnt ein Gegner null Information darüber, ob weitere gültige Entschlüsselungen existieren. Das gilt selbst bei unbegrenzter Rechenleistung. Es ist keine Frage von mehr oder längerer Berechnung. Die Information ist schlicht nicht vorhanden.

Wer glaubhafte Abstreitbarkeit braucht

Du denkst vielleicht, glaubhafte Abstreitbarkeit sei nur für Spione und Whistleblower. In Wirklichkeit stehen Millionen gewöhnlicher Menschen vor Situationen, in denen die Fähigkeit, Information unter Zwang zu schützen, kein Luxus ist — sondern eine Notwendigkeit.

Journalisten und ihre Quellen

Investigativjournalisten tragen oft sensibles Material bei sich: Quellenidentitäten, durchgesickerte Dokumente, Interviewaufnahmen. In vielen Ländern werden Journalisten routinemäßig festgehalten und ihre Geräte an Grenzen, Checkpoints oder bei Razzien durchsucht. Ein Köder-Tresor mit harmlosen Notizen und veröffentlichten Fotos bietet Deckung, während der echte Tresor Quellen schützt, deren Leben von Anonymität abhängen kann.

Aktivisten und Organisatoren

Politische Aktivisten, Gewerkschaftsorganisatoren und Menschenrechtsarbeiter operieren in Umgebungen, in denen ihre Handys Überwachungsziele sind. Mitgliederlisten, strategische Kommunikation und Dokumentation von Missbrauch müssen nicht nur vor Diebstahl, sondern auch vor erzwungener Offenlegung geschützt werden. Glaubhafte Abstreitbarkeit bedeutet: Ein beschlagnahmtes Handy enthüllt nichts, das nicht erklärt werden kann.

Menschen in Missbrauchssituationen

Opfer häuslicher Gewalt müssen oft Beweise dokumentieren — Fotos von Verletzungen, Aufnahmen von Drohungen, Kommunikation mit Rechtsanwälten oder Frauenhäusern — während sie mit jemandem leben, der ihr Gerät überwacht. Verlangt ein Missbraucher, den Tresor zu sehen, zeigt ein Köder-Tresor nichts Alarmierendes. Der Beweise-Tresor bleibt unsichtbar und bewahrt sowohl die Dokumentation als auch die Sicherheit der Person.

Reisende an Grenzen

In immer mehr Ländern können Grenzbeamte verlangen, dass Reisende ihre Geräte entsperren und zur Inspektion übergeben. Verweigerung kann Einreiseverbot, Festnahme oder Schlimmeres bedeuten. Mit Vaultaire kannst du vollständig und ehrlich kooperieren — du öffnest deinen Tresor, der Beamte inspiziert ihn, und deine privaten Daten in anderen Tresoren bleiben komplett unauffindbar.

Jeder, der Privatsphäre schätzt

Du musst nicht in Gefahr sein, um Privatsphäre zu verdienen. Vielleicht führst du ein privates Tagebuch. Vielleicht hast du medizinische Informationen, auf die niemand zufällig stoßen soll. Vielleicht glaubst du einfach, dass nicht jedes Stück deines digitalen Lebens für jeden zugänglich sein sollte, der dein Handy in die Hand nimmt. Glaubhafte Abstreitbarkeit ist die stärkste Form von Privatsphäre, weil sie nicht nur Zugang verhindert — sie verhindert, dass die Frage überhaupt gestellt wird.

Wie sich das von anderen Tresor-Apps unterscheidet

Die meisten Tresor-Apps auf dem Markt behandeln Sicherheit als Zugangskontroll-Problem: Setze ein Passwort, und das Passwort schützt den Zugang zu deinen Dateien. Manche bieten eine “Fake-PIN” oder einen “Köder-Modus”. Aber die Implementierungen sind oberflächlich, und ein sachkundiger Gutachter durchschaut sie sofort.

Das Ein-Tresor-Problem

Die große Mehrheit der Tresor-Apps — Private Photo Vault, Keepsafe, Calculator# — hat einen einzigen Tresor hinter einem einzigen Passwort. Wirst du gezwungen, ihn zu öffnen, ist alles sichtbar. Keine zweite Ebene, keine alternative Ansicht, kein Weg, einige Dateien zu zeigen und andere zu verbergen. Deine einzige Option ist die Verweigerung des Entsperrens, was in vielen Situationen keine Option ist.

Kosmetische Köder-Modi

Eine Handvoll Apps bietet eine “Fake-Passwort”-Funktion, bei der die Eingabe eines zweiten Codes einen eingeschränkten oder leeren Tresor zeigt. Das klingt clever, bis du die Implementierung betrachtest. Diese Apps speichern typischerweise ein Flag in ihrer Konfiguration, das anzeigt, dass ein Köder-Modus existiert. Ein forensisches Werkzeug — oder auch nur eine mäßig technische Person — kann das App-Datenverzeichnis inspizieren, das Flag finden und wissen, dass es einen versteckten Modus gibt. Der Köder-Modus ist Sicherheitstheater.

Vaultaires Ansatz ist architektonisch anders

Vaultaire schraubt glaubhafte Abstreitbarkeit nicht auf eine traditionelle Tresor-Architektur. Sie ist ins Fundament eingebaut. Die Muster-zu-Schlüssel-Ableitung, das Fehlen eines Tresor-Registers, die Nutzung authentifizierter Verschlüsselung, die nichts über andere Schlüssel verrät — das sind keine Funktionen, die an- oder abgeschaltet werden können. Es sind Eigenschaften des Verschlüsselungsverfahrens selbst. Es gibt kein Flag zu finden, weil es kein Flag gibt. Es gibt keinen Köder-Modus, weil jeder Tresor real ist.

Das ist der Unterschied zwischen einem System, das versucht, Tresore zu verstecken, und einem System, in dem das Konzept des “Versteckens” nicht zutrifft. Vaultaire versteckt deine Tresore nicht. Es macht sie kryptografisch inexistent für jeden ohne das richtige Muster.