FI
English Español Deutsch Français Português 日本語 中文 العربية हिंदी Bahasa Indonesia Italiano 한국어 Nederlands Polski Русский Svenska ไทย Türkçe Tiếng Việt 繁體中文 Українська עברית Čeština Suomi
Hanki sovellus

Uskottava kiistettävyys: Jokainen kuvio avaa eri holvin

Joku vaatii sinua avaamaan holvin. Piirrät kuvion. Holvi aukeaa, täynnä viattomia valokuvia ja ostoslistoja. Mitä he eivät tiedä on, että eri kuvio avaa täysin eri holvin, jossa on kaikki, mitä todella tarvitset suojata. Eikä heillä ole mitään tapaa todistaa sen olemassaoloa.

Uskottava kiistettävyys Vaultairessa tarkoittaa, että jokainen 5×5-ruudukolle piirretty kuvio avaa eri holvin eri salausavaimella. Ei pääindeksiä, ei holvien lukumäärää eikä mitään tapaa todistaa muiden holvien olemassaoloa laitteella.

Mitä uskottava kiistettävyys todella tarkoittaa

Tietoturvassa uskottava kiistettävyys tarkoittaa, että pystyt uskottavasti kiistämään jonkin olemassaolon. Ei vain piilottaa sitä. Ei vain tehdä siitä vaikea löytää. Pystyt katsomaan jotakuta silmiin, rajavirkailijaa, väkivaltaista kumppania, varkaan, joka nappasi puhelimesi, ja totuudenmukaisesti sanomaan “tässä kaikki”, eikä ole teknistä todistetta sitä vastaan.

Useimmissa holvisovelluksissa on yksi holvi yhden salasanan takana. Jos joku pakottaa sinut avaamaan sen, kaikki paljastuu. Jotkut sovellukset tarjoavat “harhautustilan”, jossa toinen salasana näyttää väärän näytön. Nämä toteutukset ovat kuitenkin yleensä kosmeettisia. Rikostekninen tutkija voi tarkastella sovelluksen dataa, nähdä konfigurointimerkit, huomata, ettei salatun datan koko vastaa näkyvissä olevia tiedostoja, tai löytää metatietoja, jotka paljastavat piilotetun kerroksen.

Vaultaire käyttää lähtökohtaisesti erilaista lähestymistapaa. Jokainen 5×5-ruudukolle piirtämäsi kuvio johtaa eri salausavaimen. Jokainen avain purkaa eri salatun blobin salauksen. Ei pääindeksiä, ei holvirekisteriä, ei konfigurointitiedostoa, joka listaisi kuinka monta holvia on olemassa. Sovellus itsekään ei tiedä. Se ei pysty tietämään. Se yksinkertaisesti ottaa piirtämäsi kuvion, johtaa avaimen, yrittää purkaa datan salauksen kyseisellä avaimella ja näyttää löytämänsä.

Jos se löytää holvin, näet tiedostosi. Jos se ei löydä mitään, se tarjoaa uuden holvin luomista kyseisellä kuviolla. Jos joku piirtää eri kuvion, he saavat eri avaimen ja eri tuloksen. Ei “väärä kuvio” -virhettä. Ei vihjettä muiden holvien olemassaolosta. Vain edessäsi oleva holvi ja täydellinen, matemaattisesti pakotettu hiljaisuus kaikesta muusta.

Keskeinen periaate

Perinteiset holvisovellukset ovat kuin talo, jossa on näkyvä kassakaappi. Vaikka kassakaappi on lukittu, kaikki näkevät sen olevan siellä. Vaultaire on kuin talo, jossa jokainen avain luo eri huoneen. Kukaan ei pysty kertomaan, kuinka monta huonetta on olemassa, koska jokainen avain paljastaa vain sen huoneen, jota varten se on tehty. Muut huoneet eivät ole piilossa: ilman oikeaa avainta ne yksinkertaisesti eivät ole olemassa.

Kuinka se toimii taustalla

Vaultairen uskottavan kiistettävyyden tekninen perusta on yllättävän tyylikäs. Se perustuu salauksen ominaisuuteen, jonka useimmat holvisovellukset jättävät täysin huomiotta: eri avaimet tuottavat eri tuloksia samasta salatusta datasta, eikä “oikeaa” salauksenpurkua pysty erottamaan “väärästä” ilman selkotekstin tutkimista.

Eri kuviot, eri avaimet

Kun piirrät kuvion Vaultairen 5×5-ruudukolle, yhdistämäsi pisteiden sekvenssi syötetään avainjohdatusfunktioon (PBKDF2) kryptografisen salt-arvon kanssa. Tämä prosessi tuottaa ainutlaatuisen 256-bittisen AES-salausavaimen. Eri kuvio, jopa yhdellä pisteellä eroava, tuottaa täysin eri avaimen. Ei hieman erilaisen avaimen, vaan täysin erilaisen. Muuta kuviostasi yksi piste, ja jokainen johdetun avaimen bitti muuttuu arvaamattomasti.

Jokainen avain purkaa oman blobinsa

Vaultaire tallentaa salatun datan läpinäkymättöminä blobeina. Kun piirrät kuvion, sovellus johtaa avaimen ja yrittää purkaa datan salauksen. Jos avain vastaa olemassa olevaa holvia, todennettu salauksenпурku (AES-256-GCM) onnistuu, todentamistunniste vahvistuu ja tiedostosi ilmestyvät. Jos avain ei vastaa mitään holvia, salauksenрурku joko epäonnistuu hiljaa tai tuottaa merkityksetöntä tulosta. Kummassakaan tapauksessa sovellus ei näytä virhettä. Se yksinkertaisesti kysyy, haluatko luoda uuden holvin kyseisellä kuviolla.

Ei pääindeksiä

Tämä on kriittinen suunnittelupäätös, joka erottaa Vaultairen sovelluksista, jotka tarjoavat vain “harhautustilan”. Ei tietokantataululua, joka listaisi holvi-ID:t. Ei konfigurointitiedostoa, joka laskisi holvien lukumäärän. Ei metatietorakennetta, joka paljastaisi lisäsalattujen säilöjen olemassaolon. Levyllä olevat salatut blobit ovat erottamattomia toisistaan ja satunnaisesta datasta. Edes Vaultaire itsekään ei pysty luettelemaan käyttäjän luomien holvien määrää.

Uskottavan kiistettävyyden vuo
Kuvio A
Oikea kuviosi
Avain A
Johdettu avain
Holvi A
Yksityiset tiedostosi
Kuvio B
Harhautuskuvio
Avain B
Eri avain
Holvi B
Viattomat tiedostot

Molemmat holvit ovat yhtä todellisia. Molemmat on salattu samalla algoritmilla. Molemmat tuottavat saman tyyppistä salattua tulosta. Ei lippua, merkkiä eikä metatietoa, joka merkitsisi toisen “oikeaksi” ja toisen “harhautukseksi”. Matematiikan näkökulmasta ne ovat identtisiä.

Harhautusholvistrategia

Uskottava kiistettävyys toimii vain, jos sinulla on jotain näytettävää. Tyhjä holvi on epäilyttävä. Holvi, joka selvästi sisältää jotain suojaamisen arvoista, on epäilyttävä. Vahvin puolustus on holvi, joka näyttää täsmälleen siltä kuin jonkun odottaisi löytävän.

Harhautuksen asettaminen

Valitse toinen kuvio, jonka pystyt piirtämään nopeasti ja luontevasti paineen alla. Luo holvi kyseisellä kuviolla. Täytä se sisällöllä, joka on uskottavaa holvisovelluksen käyttäjälle: ehkä joitain henkilökohtaisia valokuvia, joita haluaisit pitää yksityisinä mutta jotka eivät ole arkaluonteisia, muutama taloudellinen asiakirja, joitain muistiinpanoja. Sisällön pitäisi olla uskottavaa ja hieman noloa: juuri sen verran, että puhelintasi etsivä henkilö uskoo löytäneensä sen, mitä piilit.

Vakuuttavaksi tekeminen

Hyvällä harhautusholvilla on muutama ominaisuus. Sen pitäisi sisältää kohtuullinen määrä tiedostoja: ei liian vähän (epäilyttävän tyhjä) eikä liian monta (miksi suojaisit niin paljon tavallista sisältöä?). Tiedostojen tulisi olla riittävän tuoreita viitaten aktiiviseen käyttöön. Ihanteellisesti sisällön pitäisi tarjota uskottava syy sille, miksi asensit holvisovelluksen.

Harhautusholvin löytävä ja siellä henkilökohtaisia valokuvia, verodokumentteja ja yksityisiä muistiinpanoja näkevä henkilö todennäköisesti päättelee löytäneensä kaiken. Heillä ei ole syytä epäillä lisäholvien olemassaoloa, koska sovellus itsekään ei anna mitään vihjettä. Levyllä oleva tallennus näyttää salatut blobit, jotka ovat täysin kyseisen holvin selittämiä: tai tarkemmin sanoen ei ole teknistä keinoa selvittää, ovatko blobit täysin selitettyjä vai ei.

Paineen alla

Jos sinut pakotetaan avaamaan laitteesi, piirrä harhautuskuvio. Holvi avautuu. Tiedostot ilmestyvät. Luovuta puhelin. Ei ole mitään löydettävää, ei tutkittavaa, ei piilovaikkoa löydettäväksi. Puhelintasi pitävä henkilö näkee holvisovelluksen avatulla holvilla. Tarina päättyy.

Oikea holvisi, se jossa on tiedostot, joilla todella on merkitystä, pysyy näkymättömänä. Ei piilotettu valikon taakse. Ei suojattu toisella todentamiskerroksella. Se yksinkertaisesti ei ilmesty, ellei oikeaa kuviota piirretä. Eikä kukaan voi pakottaa sinua piirtämään kuviota, jonka he eivät tiedä olevan olemassa.

Miksi se on matemaattisesti todennettavaa

Tämä ei ole markkinointiväite. Vaultairen uskottavan kiistettävyyden turvallisuus perustuu modernin kryptografian tunnettuihin ominaisuuksiin. Tässä syy, miksi mikään rikostekninen analyysi, kuinka kehittynyt tahansa, ei pysty todistamaan lisäholvien olemassaoloa.

0
Holvimäärän paljastavaa metatietoa
2256
Mahdollisia avaimia per kuvio
100%
Erottamatonta satunnaisesta kohinasta

Salattu data näyttää satunnaiselta kohinalta

AES-256-GCM-salaus tuottaa tuloksen, joka on laskennallisesti erottamatonta satunnaisesta datasta. Tämä ei ole karkea likiarvio, vaan salauksen muodollinen ominaisuus. Annetulla salatun datan lohkolla mikään algoritmi ei pysty selvittämään, onko se merkityksellistä salattua sisältöä vai aidosti satunnaisia tavuja. Tämä tarkoittaa, että levyllä olevaa salatun holvin dataa ei pysty tunnistamaan “holvidataksi” ilman oikeaa avainta.

Ei holvirekisteriä

Ei tiedostoa, tietokantaa eikä tietorakennetta, joka kirjaisi holvien lukumäärän tai niitä vastaavat kuviot. Rikostekninen tutkija näkee, että Vaultaire on asennettu ja jonkin verran salattua dataa on olemassa. He eivät pysty selvittämään, kuinka monta holvia kyseinen data sisältää. Se voi olla yksi. Se voi olla kymmenen. Data itsessään ei vastaa kysymykseen.

Ei erottelevaa oraakkelia

Kryptografiassa “oraakkeli” on mikä tahansa, joka vastaa kysymyksiin salatusta datasta. Useimmissa salasanajärjestelmissä on oraakkeli: syötät salasanan ja järjestelmä kertoo, oliko se oikea. Vaultairella ei ole tällaista oraakkelia. Jokainen kuvio tuottaa avaimen. Jokainen avain yrittää salauksenpurkua. Ei “pääsy evätty” -vastausta, joka vahvistaisi tai kiistäisi, vastaako tietty kuvio olemassa olevaa holvia. Satunnaisia kuvioita kokeileva hyökkääjä ei pysty edes kertomaan, onko hän “lähempänä”.

Informaatioteoreettinen argumentti

Muodollisesti sanottuna: annetulla levyllä havaittavalla datalla (salatut blobit) ja yhdellä kelvollisella salauksenpurkulla (harhautusholvi), vastustaja saa nollatietoa siitä, onko muita kelvollisia salauksenpurkuja olemassa. Tämä pätee, vaikka vastustajalla olisi rajoittamaton laskentateho. Kyse ei ole kovemmasta tai pidemmästä laskemisesta. Tietoa ei yksinkertaisesti ole siellä.

Miksi tällä on oikeudellista merkitystä

Monissa lainkäyttöalueissa sinut voidaan pakottaa luovuttamaan salasana tai avaamaan laite. Mutta sinua ei voi pakottaa paljastamaan jotain, jonka olemassaoloa ei pystytä todistamaan. Jos tuomioistuin tai viranomainen vaatii pääsyä holviin ja annat pääsyn holviin, todistustaakka on heillä osoittaa lisäholvien olemassaolo. Vaultairen kanssa kyseinen todiste on matemaattisesti mahdotonta tuottaa.

Kuka tarvitsee uskottavan kiistettävyyden

Saatat ajatella, että uskottava kiistettävyys on vain vakoojille ja tietovuotajille. Todellisuudessa miljoonat tavalliset ihmiset kohtaavat tilanteita, joissa kyky suojata tietoa pakottamisen alla ei ole ylellisyyttä vaan välttämättömyys.

Toimittajat ja heidän lähteensä

Tutkivilla toimittajilla on usein hallussaan arkaluonteista materiaalia: lähteiden henkilöllisyyksiä, vuodettuja asiakirjoja, haastattelunauhoja. Monissa maissa toimittajia pidätetään säännöllisesti ja heidän laitteensa tarkastetaan rajanylityspaikoilla, tarkastuspisteillä tai ratsioiden aikana. Harhautusholvi, joka sisältää viattomia muistiinpanoja ja julkaistuja valokuvia, tarjoaa suojan, kun oikea holvi suojaa lähteitä, joiden henkeen anonyymiys voi vaikuttaa.

Aktivistit ja järjestäytyjät

Poliittiset aktivistit, ammattiliittojen järjestäytyjät ja ihmisoikeustyöntekijät toimivat ympäristöissä, joissa heidän puhelimensa ovat tarkkailun kohteena. Jäsenlistat, strategiset viestinnät ja väärinkäytösten dokumentointi on suojattava paitsi varkaudelta myös pakotettulta paljastamiselta. Uskottava kiistettävyys tarkoittaa, että takavarikoitu puhelin ei paljasta mitään, mitä ei pystyisi selittämään.

Väkivaltaisissa tilanteissa elävät ihmiset

Lähisuhdeväkivallan uhrit tarvitsevat usein todisteiden dokumentointia: valokuvia vammoista, äänitteitä uhkauksista, yhteydenpitoa oikeudellisen neuvonantajan tai turvakotien kanssa, asuessaan saman katon alla jonkun kanssa, joka valvoo heidän laitettaan. Jos väkivaltainen osapuoli vaatii näkemään holvisovelluksen sisällön, harhautusholvi ei näytä mitään hälyttävää. Todisteholvi pysyy näkymättömänä suojaten sekä dokumentoinnin että henkilön turvallisuuden.

Rajanylittäjät

Yhä useammissa maissa rajavirkailijat voivat vaatia matkustajia avaamaan laitteensa ja luovuttamaan ne tarkastettavaksi. Kieltäytyminen voi tarkoittaa maahantulokieltoa, pidätystä tai pahempaa. Vaultairen kanssa voit noudattaa täysin ja rehellisesti: avaat holvin, virkailija tarkastaa sen, ja yksityinen datasi muissa holveissa pysyy täysin havaitsemattomana.

Kaikki, jotka arvostavat yksityisyyttä

Et tarvitse olla vaarassa ansaitaksesi yksityisyyden. Ehkä pidät yksityistä päiväkirjaa. Ehkä sinulla on lääketieteellistä tietoa, jonka et halua kenenkään näkevän. Ehkä yksinkertaisesti uskot, ettei jokaisen digitaalisen elämäsi osan pitäisi olla saatavilla kaikille, jotka nostavat puhelimesi. Uskottava kiistettävyys on yksityisyyden vahvin muoto, koska se ei vain estä pääsyä, vaan estää jo kysymyksen esittämisen.

Kuinka tämä vertautuu muihin holvisovelluksiin

Useimmat markkinoilla olevat holvisovellukset käsittelevät tietoturvan pääsynhallintaongelmana: aseta salasana ja salasana portittaa pääsyn tiedostoihisi. Jotkut tarjoavat “väärän PIN-koodin” tai “harhautustilan”. Toteutukset ovat kuitenkin pintapuolisia, ja asiantunteva tutkija näkee niiden läpi.

Yhden holvin ongelma

Valtaosalla holvisovelluksista, Private Photo Vault, Keepsafe, Calculator#, on yksi holvi yhden salasanan takana. Jos sinut pakotetaan avaamaan se, kaikki on näkyvissä. Ei toista kerrosta, ei vaihtoehtoista näkymää, ei tapaa näyttää joitain tiedostoja piilottaen muita. Ainoa vaihtoehtosi on kieltäytyä avaamasta, mikä monissa tilanteissa ei ole vaihtoehto lainkaan.

Kosmeettisen harhautuksen tilat

Kourallinen sovelluksia tarjoaa “väärän salasanan” ominaisuuden, jossa toisen koodin syöttäminen näyttää rajatun tai tyhjän holvin. Tämä kuulostaa älykkäältä, kunnes harkitset toteutusta. Nämä sovellukset tallentavat tyypillisesti lipun konfigurointiin osoittaen harhautustilan olemassaolosta. Rikostekninen työkalu tai kohtuullisen tekninen henkilö voi tutkia sovelluksen datahakemistoa, löytää lipun ja tietää, että piilotettu tila on olemassa. Harhautustila on turvallisuusnäytelmää.

Vaultairen lähestymistapa on arkkitehtuurisesti erilainen

Vaultaire ei lisää uskottavaa kiistettävyyttä perinteisen holvi-arkkitehtuurin päälle. Se on rakennettu perustuksiin. Kuviosta avaimeen johtaminen, holvirekisterin puuttuminen, todennetun salauksen käyttö, joka ei paljasta mitään muista avaimista: nämä eivät ole ominaisuuksia, joita voidaan kytkeä päälle tai pois. Ne ovat itse salausjärjestelmän ominaisuuksia. Ei lippua löydettäväksi, koska lippua ei ole. Ei harhautustilaa, koska jokainen holvi on todellinen.

Tämä on ero järjestelmän välillä, joka yrittää piilottaa holveja, ja järjestelmän välillä, johon “piilottamisen” käsite ei edes sovi. Vaultaire ei piilota holvejasi. Se tekee niistä kryptografisesti olemattomia kenelle tahansa ilman oikeaa kuviota.

Usein kysytyt kysymykset

Kuinka monta holvia voin luoda?

Keinotekoista rajaa ei ole. Jokainen piirtämäsi ainutlaatuinen kuvio luo erillisen holvin omalla salausavaimellaan. Sinulla voi olla kaksi holvia tai kaksikymmentä. Koska rekisteriä tai lukumäärää ei ole tallennettu mihinkään, vain sinä tiedät holvien lukumäärän.

Pystyykö rikostekninen tutkija selvittämään kuinka monta holvia minulla on?

Ei. Levyllä oleva salattu data on erottamatonta satunnaisesta kohinasta. Ei metatietoa, indeksiä eikä rakenteellista artefaktia, joka paljastaisi holvien lukumäärän. Rikostekninen tutkija voi vahvistaa, että Vaultaire on asennettu ja salattua dataa on olemassa, mutta ei pysty selvittämään, kuinka monta erillistä holvia data sisältää.

Entä jos joku tietää Vaultairen uskottavasta kiistettävyydestä?

Siinä on suunnittelun kauneus. Vaikka joku tietäisi täsmälleen kuinka järjestelmä toimii, hän ei silti pysty todistamaan lisäholvien olemassaoloa. Turvallisuus ei riipu peittämisestä. Se riippuu matematiikasta. Algoritmin tunteminen ei auta ilman avainta, eikä mikään analyysin määrä pysty paljastamaan, onko lisäavaimia olemassa.

Vaikuttaako useilla holveilla tallennukseen tai suorituskykyyn?

Jokainen holvi kuluttaa tallennustilaa sisältämiensä tiedostojen mukaan. Salauksen ja salauksen purun kuorma on sama riippumatta siitä, onko sinulla yksi vai useita holveja. Sovellus purkaa salauksen vain piirtämäsi kuvion vastaavan holvin osalta, joten suorituskyky ei heikkene muiden holvien olemassaolon vuoksi.

Voiko Vaultaire pakottaa paljastamaan kaikki holvit ohjelmistopäivityksellä?

Ei. Arkkitehtuuri tekee tämän mahdottomaksi jo teoriassakin. Ei ole holviluetteloa paljastettavaksi. Ohjelmistopäivitys ei voisi luoda holvien luetteloa, koska sovelluksella itsellään ei ole kyseistä tietoa. Ainoa tapa löytää holvi on syöttää kuvio, josta sen avain on johdettu. Tämä on salauksen ominaisuus, ei sovelluksen.

Mitä tapahtuu jos luon vahingossa holvin jo käyttämälläni kuviolla?

Jos piirrät kuvion, joka vastaa olemassa olevaa holvia, sovellus avaa kyseisen holvin. Et voi vahingossa luoda kaksoista, koska avainjohdatus on deterministinen: sama kuvio tuottaa aina saman avaimen. Olemassa olevan holvin kuvion piirtäminen yksinkertaisesti avaa sen.

Suojaa se, mikä on tärkeintä

Aseta ensimmäinen harhautusholvisi alle minuutissa. Todellinen turvallisuus tarkoittaa, ettei ole mitään piilotettavaa, vaikka olisikin.

Lataa Vaultaire ilmaiseksi