緊急モード:ボールトの緊急破壊
強制的にスマートフォンのロックを解除させられている。誰かが見ている。グリッドにパターンを描くと、ボールトが開く。普通に見える。しかし舞台裏では、デバイス上の他のすべてのボールトが永続的に破壊されたばかりだ。暗号化鍵は消えた。データはランダムなノイズになった。誰も何も見ていない。
VaultaireのDuress Modeでは、ボールトを強制トリガーとして指定できる。そのボールトのパターンを描くと通常通り開くが、同時にデバイス上の他のすべてのボールトの暗号化ソルトを破壊し、データを永続的に復元不可能にする。
緊急モードとは何か
緊急モードは最後の防衛ラインだ。使わずに済むことを願う機能であり、すべてが失敗した瞬間——誰かがあなたの上に立ち、プライベートなファイルへのアクセスを要求し、従う以外に選択肢がない瞬間——のために設計されている。
仕組みはこうだ:一つのボールトを緊急ボールトとして指定する。信憑性のあるコンテンツ——無害な写真、ありきたりのドキュメント——をいくつか入れておく。そして他のボールトと同様にパターンを割り当てる。外からは普通のボールトと見分けがつかない。
違いはそのパターンを描いたときに何が起きるかだ。通常のボールトのパターンはそのボールト内のファイルを復号するだけだ。緊急パターンもそれを行う——緊急ボールトを開き、その内容を画面に表示する。しかし同時に、静かに、バックグラウンドで、デバイス上の他のすべてのボールトの暗号的破壊がトリガーされる。
確認ダイアログは表示されない。警告音は鳴らない。ローディングスピナーも何も異常が起きていることを示唆しない。見ている人間はボールトが開くのを見る。写真を見る。期待通りのものを見る。見えないのは、デバイス上の他のすべての暗号化データが永続的に復元不可能になったという事実だ。
緊急モードはプライバシー機能ではない。生存機能だ。誰かがデータにアクセスするコストが、それを永遠に失うコストを超える状況が存在するからこそ存在する。緊急パターンを描くとき、あなたはその取引を——意図的に、静かに、取り消しなしに——行っている。
内部の仕組み
仕組みを理解することが重要だ。緊急モードのセキュリティは、その実装が真に破壊的であること——単に見た目を隠すだけでないこと——に依存しているからだ。
ステップ1:緊急パターンを描く
緊急ボールトに割り当てたパターンを描くと、Vaultaireはそれを緊急トリガーとして認識する。アプリは2つの操作を同時に開始する:緊急ボールトのコンテンツ(囮)の復号と表示を開始し、他のすべてのボールトの破壊シーケンスを開始する。
ステップ2:暗号化鍵の消去
Vaultaire内の各ボールトは、固有のパターンから導出された固有の鍵で暗号化されている。これらの鍵は平文で保存されておらず、毎回パターンから再生成される。しかし各ボールトは鍵導出プロセスに必要なソルトとメタデータも保存している。緊急モードは暗号化ファイルを削除するだけでなく、緊急ボールト以外のすべてのボールトの暗号化ソルトと鍵導出パラメータを破壊する。
ソルトがなければ、正しいパターンを描いても鍵を再生成できない。パターンと暗号化鍵の間の数学的なリンクは永続的に切断される。
ステップ3:暗号化データがノイズになる
暗号化ファイル自体はディスク上に一時的に残る可能性があるが、今やランダムデータと区別がつかない。ソルトが消えて導出できなくなった正しい復号鍵がなければ、コンテンツは数学的に復元不可能だ。フォレンジックツールも、政府機関も、どれだけの計算能力も元のデータを再構築できない。
ステップ4:緊急ボールトが通常通り開く
これらすべてが起きている間、緊急ボールトは他のボールトと同じように画面上に開く。強制している人間は写真が読み込まれ、ファイルが表示される、普通のボールト体験を見る。他に何かが起きたという視覚的証拠はない。破壊シーケンス全体はバックグラウンドで完了し、通常1秒未満だ。
なぜ誰にもわからないのか
緊急モードの唯一の目的は、見えないことだ。攻撃者が破壊を検出できれば、阻止したり、元に戻したり、トリガーしたことであなたを罰したりできる。Vaultaireは緊急ボールトを開くことと通常のボールトを開くことの間に観察可能な違いが存在しないように設計されている。
確認ダイアログなし
ほとんどのソフトウェアの破壊的な操作には「本当によろしいですか?」という警告が伴う。緊急モードにはそのような警告はない。確認ダイアログは明らかな手がかりになる。パターンを描いた瞬間に操作が行われる。5×5グリッド上の特定の複雑なパターンを偶然描くのでなければ、誤ってトリガーすることはできない——それは偶然に起きることではない。
タイミングの差なし
緊急ボールトは他のボールトと同じ速度で開く。他のボールトの鍵の破壊は、緊急ボールトのコンテンツの復号と並行して非同期で起きる。ストップウォッチを持った観察者も遅延に気づかない。
残留証拠なし
緊急モードがトリガーされた後、アプリはイベントの記録を表示しない。ログエントリも、「ボールトが削除されました」という通知も、アプリのインターフェースの変化もない。次回アプリが開くとき、緊急ボールトだけがこれまでに存在した唯一のボールトであるかのように動作する。機能的には、そうだからだ。
何が破壊されるか
ここでは精度が重要だ。緊急モードはファイルがゴミ箱フォルダーに移動される演劇的な削除を行うのではない。復元を物理的に不可能にする暗号的ワイプを実行する。
暗号化ソルト
すべてのボールトには鍵導出時に使用される固有のランダム生成ソルトがある。ソルトは描いたパターンを特定の暗号化鍵に結びつける重要な要素だ。緊急モードがソルトを破壊すると、その接続は永続的に切断される。他のすべてのボールトのパターンを覚えていても、元のソルトなしでは鍵導出関数は別の——間違った——鍵を生成する。
鍵導出パラメータ
ソルトに加えて、各ボールトは鍵導出に必要なパラメータを保存している:反復回数、アルゴリズム識別子、初期化ベクトル。これらはすべて消去される。これらがなければ、暗号化鍵の再構築は単に難しいだけでなく——数学的に定義されない。
暗号化データ
ディスク上の暗号化ブロブは孤立する。正しい鍵なしでは、乱数ジェネレーターが生成したデータと区別がつかないバイト列だ。ディスクのフォレンジック分析は、対応する鍵素材もソルトもメタデータもない暗号化データを見つける。かつて使用されてから解放されたディスクセクターと完全に同じに見える——それはまさにその通りだ。
緊急モードがトリガーされた後にデバイスを分析するフォレンジック検査官は、通常のデータを含む一つのボールトとディスク上の孤立した暗号化ブロックを見つける。それらのブロックが削除されたボールト、キャッシュされたアプリデータ、または通常のファイルシステムの動作によるものかどうかを判断する方法はない。検査官は追加のボールトが存在したことさえ証明できない。
緊急モードを使う場面
緊急モードは、物理的な強制や法的な強要に直面し、データの破壊がデータの露出よりも望ましいと判断した状況のために設計されている。これは重大な意味を持つ個人的な決断であり、Vaultaireはあなたの代わりに決断せずにツールを提供する。
国境越え
多くの国では、国境の担当者がデバイスのロック解除と検査のための引き渡しを法的に要求できる。拒否すれば、拘留、入国拒否、またはデバイスの没収になる可能性がある。電話を渡す前に緊急パターンを描くことで、見つけるべきものがない状態——いくつかの休日の写真が入った一つのボールトだけ——にできる。
物理的強制
脅迫下でスマートフォンのロック解除を強制されている場合、実際に彼らが求めるものを与えずに従う方法が必要だ。緊急モードでは、協力しているように見えるパターンを描ける。強制者はボールトが開くのを見る。他のすべてが同時に破壊されているのは見えない。
デバイスの押収
政府、雇用主、その他誰かによってデバイスが没収されると思う理由がある場合、先手を打って緊急モードをトリガーできる。デバイスがフォレンジックアナリストに届くころには、分析すべきものが何も残っていない。
ジャーナリストと情報源の保護
敵対的な環境で働くジャーナリスト、監視下で活動する活動家、データが自分自身や他者を危険にさらす可能性のある人々。緊急モードは脆弱な瞬間を保護の瞬間に変える。
緊急ボールトの設定
緊急モードの設定には約2分かかる。うまく——説得力を持たせて——行うには、もう少し考える必要がある。
ボールトを指定する
Vaultaireの設定で、一つのボールトを緊急ボールトとして指定する。このボールトは緊急パターンが描かれたときに開くので、リアルに見え、観察者の期待を満たすコンテンツが必要だ。空のボールトは不審だ。明らかに偽のコンテンツのボールトも不審だ。普通に見える個人写真が数枚入ったボールトが完璧だ。
信憑性のあるコンテンツを入れる
プライベートなボールトに期待されるコンテンツを入れる:個人写真、ドキュメントのスキャン、ロックする理由があるほど個人的だが精査を耐えるほど無害なファイル。目標はフォレンジック調査を欺くことではなく——その瞬間目の前に立っている人物を満足させることだ。
自然なパターンを選ぶ
緊急パターンは、ストレス下でも素早く、躊躇なく描けるものにすべきだ。もたついたり間違えたりすると、間違ったボールトが開くか、まったく開かない。筋肉の記憶になるまで練習する。複雑な12点パターンの時ではない。シンプルで速いものの方がいい——5から7点、手が考えずにたどれる形。
テストする
必要になる前に、安全な環境で緊急モードをテストする。テストボールトをいくつか作り、緊急ボールトを指定してトリガーする。他のボールトが消えたことを確認する。緊急ボールトが正常に開いたことを確認する。それから本番用に設定する。
元に戻す方法はない
はっきり言う必要がある:緊急モードがトリガーされると、破壊は永続的だ。復旧はない。「間違ったパターンを描いてしまった」というセーフティネットはない。サーバーのどこかに保存されたバックアップ鍵もない。Vaultaireのサポートがデータを復元する方法もない。
暗号化鍵は消えた。ソルトは消えた。データはランダムなノイズだ。これが目的だ。破壊が可逆であれば、破壊ではなく隠蔽になる。そして隠蔽は十分に動機を持つ敵対者が元に戻せる。
緊急モードはこのトレードオフを理解し、事前に、自分のデータを永久に失う方が他の誰かにアクセスされるよりも良いと決断した人のために設計されている。そのトレードをするか確信が持てない場合、緊急モードを有効にしないこと。確信があれば、Vaultaireが提供する最も強力な保護だ。
不可逆性は欠陥ではない。それが全体の目的だ。元に戻せる破壊的な行為は破壊的でなく——演劇的だ。緊急モードは演劇ではない。保証だ。
よくある質問
誤って緊急パターンを描いてしまった場合はどうなりますか?
破壊は即座にトリガーされ、元に戻せない。だからこそVaultaireは緊急パターンを5×5グリッド上の意図的な特定パターンとして要求する——偶然の複製は極めてまれだ。とはいえ、間違えて描かないパターンを選ぶのはあなたの責任だ。通常のボールトのパターンと似たものは絶対に使わないこと。
緊急モードをトリガーした後、iCloudバックアップからボールトを復旧できますか?
緊急モードをトリガーする前に暗号化iCloudバックアップが有効だった場合、そのバックアップには暗号化されたボールトデータと鍵導出パラメータが含まれている。緊急イベント前のバックアップから復元すれば、ボールトを回復できる。ただし、緊急モードがトリガーされた後にバックアップが同期すると、バックアップは破壊された状態を反映する。緊急モードが必要になる可能性を予見している場合は、バックアップ戦略でこれを考慮すること。
フォレンジックアナリストは緊急モードがトリガーされたことを判断できますか?
できない。緊急モードがトリガーされた後、デバイスは通常のコンテンツを含む一つのボールトを表示する。他のボールトが存在したまたは破壊されたことを示すログ、記録、メタデータはない。ディスク上の孤立した暗号化ブロックは通常のファイルシステムのアーティファクトと区別がつかない。フォレンジックアナリストは緊急モードが有効だったことはもちろん、トリガーされたことさえ示す証拠を持てない。
緊急ボールト自体は破壊されますか?
されない。緊急ボールトは無傷で完全に機能する。イベント後も通常通り開き、コンテンツを表示し、通常のボールトとして機能し続ける。これは不可欠だ——たった今「ロック解除した」ボールトが消えたら、強制している人間は何かが起きたと知る。緊急ボールトは正常な動作の幻想を維持するために残る。
複数の緊急ボールトを持てますか?
持てない。緊急ボールトとして指定できるのは正確に一つだ。この制約は意図的だ——複数の緊急トリガーがあると誤作動のリスクが高まり、メンタルモデルが複雑になる。一つのボールト、一つのパターン、一つの結果。
緊急モードは合法ですか?
Vaultaireはデータセキュリティのためのツールを提供する。それらのツールをいつどのように使うかはあなたの決断とあなたの責任だ。自分のデータを破壊することは多くの法域で一般的に合法だが、法律は異なる——特に法的手続き中の証拠破壊については。特定の状況について質問があれば、法律の専門家に相談すること。Vaultaireは法的アドバイスを提供しない。