Način prisile: Hitno uništenje trezora
Prisiljeni ste otključati telefon. Netko gleda. Nacrtate uzorak na mreži i trezor se otvara. Izgleda normalno. Ali u pozadini, svaki drugi trezor na vašem uređaju upravo je trajno uništen. Ključevi šifriranja su nestali. Podaci su sada nasumičan šum. I nitko ništa nije vidio.
Način prisile u Vaultaireu omogućuje vam označiti trezor kao okidač prisile. Crtanje uzorka tog trezora otvara ga normalno, ali istovremeno uništava kriptografske soli za svaki drugi trezor na uređaju, čineći njihove podatke trajno nedostupnima.
Što je način prisile?
Način prisile je posljednja linija obrane. Značajka koju se nadamo da nikad nećete trebati, dizajnirana za trenutak kada je sve ostalo propalo: kada netko stoji nad vama, zahtijeva pristup vašim privatnim datotekama i nemate drugog izbora nego udovoljiti.
Funkcionira ovako: označite jedan trezor kao trezor prisile. Napunite ga uvjerljivim sadržajem: nekoliko nevinih fotografija, neki banalni dokumenti. Zatim mu dodijelite uzorak, kao i svakom drugom trezoru. Izvana je nerazlučiv od normalnog trezora.
Razlika je u tome što se dogodi kada nacrtate taj uzorak. Normalni trezorski uzorak dešifrira datoteke unutra i ništa više. Uzorak prisile to također čini: otvara trezor prisile i prikazuje sadržaj na zaslonu. Istovremeno, tiho, u pozadini, pokreće kriptografsko uništenje svakog drugog trezora na vašem uređaju.
Ne pojavljuje se nikakav dijaloški okvir za potvrdu. Ne čuje se nikakav zvuk upozorenja. Nikakav pokazivač učitavanja ne sugerira da se nešto neobično događa. Osoba koja vas prati vidi trezor kako se otvara. Vidi fotografije. Vidi točno ono što je očekivala. Ono što ne vidi jest da je svaki drugi komad šifriranih podataka na vašem uređaju upravo postao trajno neobnovljiv.
Način prisile nije privatnosna značajka. To je značajka za preživljavanje. Postoji jer postoje situacije gdje troškovi davanja pristupa vašim podacima premašuju troškove njihovog trajnog gubitka. Kada nacrtate uzorak prisile, tu razmjenu vršite namjerno, tiho i neopozivo.
Kako funkcionira ispod haube
Razumijevanje mehanizma je važno jer sigurnost načina prisile ovisi o tome je li implementacija stvarno destruktivna, a ne samo kozmetički skrivena.
Korak 1: Nacrtate uzorak prisile
Kada nacrtate uzorak dodijeljen vašem trezoru prisile, Vaultaire ga prepoznaje kao okidač prisile. Aplikacija pokreće dvije operacije istovremeno: počinje dešifrirati i prikazivati sadržaj trezora prisile (mamac) i pokreće sekvencu uništenja za svaki drugi trezor.
Korak 2: Ključevi šifriranja se brišu
Svaki trezor u Vaultaireu je šifriran vlastitim jedinstvenim ključem izvedenim iz vlastitog jedinstvenog uzorka. Ti ključevi nisu pohranjeni u otvorenom tekstu: nanovo se izvode iz uzorka pri svakom korištenju. Međutim, svaki trezor čuva i sol i metapodatke potrebne za postupak izvođenja ključeva. Način prisile ne uništava samo šifrirane datoteke. Uništava kriptografsku sol i parametre izvođenja ključeva za svaki trezor osim trezora prisile.
Bez soli, čak i ispravnim crtanjem uzorka ključ se ne može ponovo izvesti. Matematička veza između vašeg uzorka i ključa šifriranja je trajno prekinuta.
Korak 3: Šifrirani podaci postaju šum
Same šifrirane datoteke mogu još neko vrijeme postojati na disku, ali sada su nerazlučive od nasumičnih podataka. Bez ispravnog ključa za dešifriranje, koji se ne može izvesti jer je sol nestala, sadržaj je matematički neobnovljiv. Nijedan forenzički alat, nijedna vladina agencija, nikakva količina računalne snage ne može rekonstruirati izvorne podatke.
Korak 4: Trezor prisile se otvara normalno
Dok se sve ovo događa, trezor prisile se na zaslonu otvara točno onako kako bi se otvorio svaki drugi trezor. Osoba koja vas prisiljava vidi fotografije kako se učitavaju, datoteke kako se prikazuju, trezor koji izgleda normalno. Ne postoji vizualni dokaz da se bilo što drugo dogodilo. Cijela sekvenca uništenja odvija se u pozadini, obično za manje od sekunde.
Zašto nitko neće primijetiti
Cijeli smisao načina prisile je da je nevidljiv. Ako bi napadač mogao otkriti uništenje, mogao bi ga zaustaviti, poništiti ili vas kazniti za njegovo pokretanje. Vaultaire je dizajniran tako da ne postoji vidljiva razlika između otvaranja trezora prisile i otvaranja normalnog trezora.
Bez dijaloga za potvrdu
Većina destruktivnih radnji u softveru dolazi s upozorenjem: "Jeste li sigurni?" Način prisile nema takvo upozorenje. Dijaloški okvir za potvrdu bio bi odavanje. U trenutku kada nacrtate uzorak, radnja je izvršena. Ne možete ga aktivirati slučajno osim ako slučajno ne nacrtate specifičan, složen uzorak na mreži 5×5, što se ne dogodi slučajno.
Bez razlike u vremenu
Trezor prisile se otvara jednako brzo kao i svaki drugi trezor. Uništavanje ključeva ostalih trezora odvija se asinkrono, paralelno s dešifriranjem sadržaja trezora prisile. Promatrač sa štopericom ne bi primijetio nikakvo kašnjenje.
Bez preostalih dokaza
Nakon aktivacije načina prisile, aplikacija ne pokazuje nikakav zapis o događaju. Ne postoji nikakav unos u dnevnik, nikakva obavijest "trezori izbrisani", nikakva promjena u sučelju aplikacije. Sljedeći put kada se aplikacija otvori, ponaša se kao da je trezor prisile jedini koji je ikad postojao. Jer funkcionalno, jest.
Što se uništava
Preciznost je ovdje važna. Način prisile ne izvodi teatralno brisanje gdje se datoteke premještaju u koš. Izvodi kriptografsko brisanje koje čini oporavak fizički nemogućim.
Kriptografska sol
Svaki trezor ima jedinstvenu, nasumično generiranu sol korištenu pri izvođenju ključeva. Sol je kritična komponenta koja povezuje vaš nacrtani uzorak s određenim ključem šifriranja. Kada način prisile uništi sol, trajno prekida tu vezu. Čak i ako se sjećate uzorka svakog drugog trezora, funkcija izvođenja ključeva bez izvorne soli stvorit će drugačiji, pogrešan ključ.
Parametri izvođenja ključeva
Osim soli, svaki trezor čuva parametre potrebne za izvođenje ključeva: brojeve iteracija, identifikatore algoritama i inicijalizacijske vektore. Sve se briše. Bez njih, rekonstrukcija ključa šifriranja nije samo teška: matematički je nedefinirane.
Šifrirani podaci
Šifrirani blokovi na disku postaju napušteni. To su sekvence bajtova koje bez ispravnog ključa su nerazlučive od podataka generiranih generatorom slučajnih brojeva. Forenzička analiza diska pronaći će šifrirane podatke bez odgovarajućeg ključnog materijala, bez soli i bez metapodataka. Izgleda točno kao sektori diska koji su jednom korišteni pa oslobođeni, što je točno ono što su.
Forenzički istražitelj koji analizira uređaj nakon aktivacije načina prisile pronaći će jedan trezor s normalnim podacima i nekoliko napuštenih šifriranih blokova na disku. Ne postoji način za utvrđivanje potječu li ti blokovi iz izbrisanih trezora, predmemorije aplikacije ili normalnog kretanja datotečnog sustava. Istražitelj ne može čak ni dokazati da su drugi trezori ikad postojali.
Kada koristiti način prisile
Način prisile je dizajniran za situacije kada se suočavate s fizičkom prisilom ili pravnom prisilom i odlučili ste da je uništenje podataka prihvatljivije od njihovog otkrivanja. To je osobna odluka s ozbiljnim posljedicama i Vaultaire vam daje alat bez preuzimanja odluke.
Granični prijelazi
U mnogim zemljama granični agenti zakonski mogu zahtijevati da otključate uređaj i predate ga na pregled. Ako odbijete, može doći do zadržavanja, odbijanja ulaska ili oduzimanja uređaja. Crtanje uzorka prisile prije predaje telefona osigurava da nema što pronaći: samo jedan trezor s nekim fotografijama s odmora.
Fizička prisila
Ako vas netko prisiljava da otključate telefon pod prijetnjom, trebate način da udovoljite bez stvarnog davanja onoga što žele. Način prisile vam omogućuje nacrtati uzorak koji izgleda kao suradnja. Osoba koja vas prisiljava vidi trezor kako se otvara. Ne vidi istovremeno uništenje svega ostalog.
Oduzimanje uređaja
Ako imate razloga vjerovati da će vaš uređaj biti oduzet, bilo od strane vlade, poslodavca ili bilo koga drugog, možete preventivno aktivirati način prisile. Kada uređaj dođe do forenzičkog analitičara, neće biti što analizirati.
Zaštita novinara i izvora
Novinari koji rade u neprijateljskom okruženju, aktivisti koji djeluju pod nadzorom i svi čiji bi podaci mogli ugroziti njih same ili druge. Način prisile pretvara trenutak ranjivosti u trenutak zaštite.
Postavljanje trezora prisile
Konfiguriranje načina prisile traje oko dvije minute. Napraviti to dobro i uvjerljivo zahtijeva malo više razmišljanja.
Odredite trezor
U postavkama Vaultairea označavate jedan trezor kao trezor prisile. Taj trezor se otvori kada se nacrta uzorak prisile, pa mora sadržavati sadržaj koji izgleda autentično i koji će zadovoljiti očekivanja promatrača. Prazan trezor je sumnjiv. Trezor s očito lažnim sadržajem je sumnjiv. Trezor s nekoliko normalno izgledajućih osobnih fotografija je idealan.
Napunite ga uvjerljivim sadržajem
Stavite u trezor prisile sadržaj koji bi netko očekivao u privatnom trezoru: nekoliko osobnih fotografija, možda skeniran dokument, neke datoteke koje izgledaju dovoljno privatno za zaključavanje, ali nevino za preživljavanje pregleda. Cilj nije prevariti forenzičku istragu, već zadovoljiti osobu koja stoji pred vama u tom trenutku.
Odaberite prirodan uzorak
Uzorak prisile trebao bi biti nešto što možete nacrtati pod stresom, brzo, bez oklijevanja. Ako oklijevate ili ga nacrtate pogrešno, otvorit ćete pogrešan trezor ili nikakav. Vježbajte ga dok ga nemate u mišićnoj memoriji. Nema vremena za složen uzorak od 12 točaka. Jednostavan i brz je bolji: 5 do 7 točaka, oblik koji vaša ruka može pratiti bez razmišljanja.
Testirajte ga
Prije nego što ga budete trebati, testirajte način prisile u sigurnom okruženju. Stvorite testne trezore, označite trezor prisile i aktivirajte ga. Provjerite da su drugi trezori nestali. Provjerite da se trezor prisile otvorio normalno. Zatim sve postavite iznova.
Nije moguće poništiti
Ovo treba reći jasno: jednom kada se način prisile aktivira, uništenje je trajno. Ne postoji oporavak. Ne postoji sigurnosna mreža "Ups, nacrtao sam pogrešan uzorak". Ne postoji rezervni ključ pohranjen negdje na poslužitelju. Ne postoji način da podrška Vaultairea obnovi vaše podatke.
Ključevi šifriranja su nestali. Soli su nestale. Podaci su nasumičan šum. To je svrha značajke. Kada bi uništenje bilo poništivo, ne bi bilo uništenje: bilo bi skrivanje. A skrivanje je nešto što dovoljno motivirani protivnik može poništiti.
Način prisile je dizajniran za ljude koji razumiju taj kompromis i unaprijed su odlučili da radije trajno izgube podatke nego da dopuste pristup nekome drugome. Ako niste sigurni da biste prihvatili taj kompromis, ne uključujte način prisile. Ako jeste, to je najjača zaštita koju Vaultaire nudi.
Nepovratnost nije greška. To je cijela svrha. Destruktivna radnja koja se može poništiti nije destruktivna: ona je teatralna. Način prisile nije teatar. To je jamstvo.
Često postavljana pitanja
Što se dogodi ako slučajno nacrtam uzorak prisile?
Uništenje se pokreće odmah i ne može se poništiti. Zato Vaultaire zahtijeva da uzorak prisile bude namjeran i specifičan uzorak na mreži 5×5: slučajno ponavljanje je izuzetno malo vjerojatno. Ipak, vaša je odgovornost odabrati uzorak prisile koji nećete slučajno nacrtati. Nikad ne koristite uzorak sličan jednom od vaših uobičajenih trezorskih uzoraka.
Mogu li obnoviti trezore iz iCloud backupa nakon aktivacije načina prisile?
Ako ste imali aktivirane šifrirane iCloud backupe prije aktivacije načina prisile, ti backupi još uvijek sadrže šifrirane podatke trezora i parametre za izvođenje ključeva. Obnova iz backupa napravljenog prije događaja prisile obnovit će vaše trezore. Međutim, ako se backup sinkronizira nakon aktivacije načina prisile, odgovarati će uništenom stanju. Ako računate na potrebu korištenja načina prisile, osigurajte da vaša strategija backupa to uzima u obzir.
Može li forenzički analitičar otkriti da je aktiviran način prisile?
Ne. Nakon aktivacije načina prisile, uređaj prikazuje samo jedan trezor s normalnim sadržajem. Ne postoji nikakav zapis ni metapodaci koji bi naznačili da su drugi trezori postojali ili bili uništeni. Napušteni šifrirani blokovi na disku su nerazlučivi od uobičajenih artefakata datotečnog sustava. Forenzički analitičar ne bi imao nikakve dokaze koji bi sugerirali da je način prisile ikad bio aktiviran.
Je li trezor prisile sam po sebi uništen?
Ne. Trezor prisile ostaje netaknut i u potpunosti funkcionalan. Otvara se normalno, prikazuje sadržaj i nastavlja raditi kao normalan trezor nakon događaja. To je neophodno: ako bi trezor koji ste upravo "otključali" nestao, osoba koja vas prisiljava bi znala da se nešto dogodilo. Trezor prisile opstaje kako bi održao privid normalnog rada.
Mogu li imati više trezora prisile?
Ne. Određujete točno jedan trezor kao trezor prisile. Ovo ograničenje je namjerno: više okidača prisile povećalo bi rizik slučajne aktivacije i zakompliciralo mentalni model. Jedan trezor, jedan uzorak, jedan rezultat.
Je li način prisile zakonit?
Vaultaire pruža alate za sigurnost podataka. Kako i kada koristite te alate vaša je odluka i vaša odgovornost. Uništavanje vlastitih podataka generalno je zakonito u većini jurisdikcija, ali zakoni se razlikuju, posebno u pogledu uništavanja dokaza tijekom sudskih postupaka. Posavjetujte se s pravnikom ako imate pitanja o vašoj konkretnoj situaciji. Vaultaire ne pruža pravne savjete.
Pripremite se za najgore
Postavite način prisile sada, dok imate vremena. Kada ga budete trebali, neće biti vremena za konfiguriranje.
Preuzmi Vaultaire besplatno