Plausibele Ontkenning: elk patroon opent een andere kluis

Plausibele ontkenning in Vaultaire betekent dat elk patroon dat op het 5×5-raster wordt getekend, een andere kluis opent met een andere coderingssleutel. Er is geen hoofdindex, geen kluistelling en geen manier om te bewijzen dat er andere kluizen op het apparaat bestaan.

Wat Plausibele Ontkenning eigenlijk betekent

In de beveiliging betekent plausibele ontkenning dat je op geloofwaardige wijze kunt ontkennen dat iets bestaat. Niet alleen verbergen. Maak het niet alleen moeilijk om te vinden. Je kunt iemand in de ogen kijken, , een grensagent, een gewelddadige partner, een dief die je telefoon, heeft gepakt en naar waarheid zeggen “dit is alles,” en er is geen technisch bewijs dat je tegenspreekt.

De meeste kluis-apps bieden u één kluis achter één wachtwoord. Als iemand je dwingt om het te openen, wordt alles zichtbaar. Sommige apps bieden een “-lokmiddelmodus” waarin u een tweede wachtwoord kunt instellen dat een nepscherm toont. Maar die implementaties zijn meestal cosmetisch. Een forensisch onderzoeker kan de gegevens van de app’ bekijken, configuratievlaggen bekijken, opmerken dat de grootte van gecodeerde gegevens niet overeenkomt met de zichtbare bestanden, of metagegevens vinden die het bestaan ​​van een verborgen laag verraden.

Vaultaire hanteert een fundamenteel andere aanpak. Elk patroon dat u op het 5×5-raster tekent, leidt tot een andere coderingssleutel. Elke sleutel decodeert een andere gecodeerde blob. Er is geen hoofdindex, geen register van kluizen, geen configuratiebestand dat vermeldt hoeveel kluizen er bestaan. De app zelf weet het niet. Het kan het niet weten. Het neemt eenvoudigweg het patroon dat u tekent, leidt een sleutel af, probeert gegevens met die sleutel te decoderen en laat u zien wat het vindt.

Als er een kluis wordt gevonden, ziet u uw bestanden. Als het niets vindt, biedt het aan een nieuwe kluis te maken. Als iemand een ander patroon tekent, krijgt hij een andere sleutel en een ander resultaat. Er is geen “fout in het patroon”. Er zijn geen aanwijzingen dat er andere kluizen bestaan. Er is alleen de kluis voor je, en volledige, wiskundig afgedwongen stilte over al het andere.

Hoe het werkt Onder de motorkap

De technische basis van de plausibele ontkenning van Vaultaire’ is verrassend elegant. Het is afhankelijk van een encryptie-eigenschap die de meeste kluis-apps volledig negeren: verschillende sleutels produceren verschillende uitvoer van dezelfde gecodeerde gegevens, en er is geen manier om een ​​“correct”-decodering te onderscheiden van een “fout” zonder de leesbare tekst te onderzoeken.

Verschillende patronen, verschillende sleutels

Wanneer u een patroon tekent op het Vaultaire’s 5×5-raster, wordt de reeks punten die u verbindt, samen met een cryptografisch zout ingevoerd in een sleutelafleidingsfunctie (PBKDF2). Dit proces produceert een unieke 256-bit AES-coderingssleutel. Een ander patroon, , zelfs een patroon dat slechts één punt verschilt, , levert een geheel andere sleutel op. Niet een iets andere sleutel. EENvolledigverschillende. Verander één punt in uw patroon en elk afzonderlijk stukje van de afgeleide sleutel verandert op onvoorspelbare wijze.

Elke sleutel decodeert zijn eigen blob

Vaultaire slaat gecodeerde gegevens op als ondoorzichtige blobs. Wanneer u een patroon tekent, leidt de app een sleutel af en probeert de gegevens te ontsleutelen. Als de sleutel overeenkomt met een bestaande kluis, slaagt de geverifieerde decodering (AES-256-GCM), wordt de authenticatietag geverifieerd en worden uw bestanden weergegeven. Als de sleutel met geen enkele kluis overeenkomt, mislukt de decodering stil of produceert deze betekenisloze uitvoer. In beide gevallen geeft de app geen fout weer. Er wordt eenvoudigweg gevraagd of u een nieuwe kluis met dat patroon wilt maken.

Geen hoofdindex

Dit is de cruciale ontwerpbeslissing die Vaultaire onderscheidt van apps die alleen een “-lokmiddelmodus bieden. ” Er is geen databasetabel met kluis-ID's. Er is geen configuratiebestand dat telt hoeveel kluizen er bestaan. Er is geen metadatastructuur die de aanwezigheid van extra gecodeerde containers zou kunnen onthullen. De gecodeerde blobs op de schijf zijn niet van elkaar te onderscheiden en niet van willekeurige gegevens te onderscheiden. Zelfs Vaultaire zelf kan niet opsommen hoeveel kluizen een gebruiker heeft gemaakt.

Beide kluizen zijn even echt. Beide zijn gecodeerd met hetzelfde algoritme. Beide produceren hetzelfde soort gecodeerde uitvoer. Er is geen vlag, geen markering, geen metadata die de ene labelt als “real” en de andere als “decoy.” Wat de wiskunde betreft, zijn ze identiek.

De lokkluisstrategie

Plausibele ontkenning werkt alleen als je iets te bewijzen hebt. Een lege kluis is verdacht. Een kluis die duidelijk niets bevat dat de moeite waard is om te beschermen, is verdacht. De sterkste verdediging is een kluis die precies lijkt op wat iemand zou verwachten te vinden.

Uw aanvalsman instellen

Kies een tweede patroon, , een patroon dat u onder druk snel en natuurlijk kunt tekenen. Maak een kluis met dat patroon. Vul het met inhoud die zinvol is voor iemand die een kluis-app gebruikt: misschien enkele persoonlijke foto's die u liever privé houdt, maar die niet gevoelig zijn, een paar financiële documenten, wat aantekeningen. De inhoud moet geloofwaardig en enigszins gênant zijn, net genoeg zodat iemand die op uw telefoon zoekt, denkt te hebben gevonden wat u verborgen hield.

Overtuigend

Een goede lokkluis heeft een aantal kenmerken. Het moet een redelijk aantal bestanden, bevatten, niet te weinig (verdacht leeg) en niet te veel (waarom zou je zoveel alledaagse inhoud beschermen?). De bestanden moeten recent genoeg zijn om actief gebruik te suggereren. En idealiter zou de inhoud een plausibele reden moeten bieden waarom u überhaupt een kluis-app hebt geïnstalleerd.

Iemand die uw lokkluis vindt en persoonlijke foto's, belastingdocumenten en privéaantekeningen ziet, zal waarschijnlijk concluderen dat hij alles heeft gevonden. Ze hebben geen reden om te vermoeden dat er nog meer kluizen bestaan, omdat de app zelf geen indicatie geeft. De opslag op schijf toont gecodeerde blobs die volledig worden verwerkt door de zichtbare kluis, . Of beter gezegd: er is geen technische methode om te bepalen of de blobs volledig worden verwerkt of niet.

onder druk

Als u ooit wordt gedwongen uw apparaat te ontgrendelen, teken dan het lokpatroon. De kluis gaat open. De bestanden verschijnen. Geef de telefoon door. Er is niets te vinden, niets te onderzoeken, geen verborgen menu om te ontdekken. De persoon die uw telefoon vasthoudt, ziet een kluis-app met een ontgrendelde kluis. Verhaal voorbij.

Uw echte kluis, die met de bestanden die er echt toe doen, blijft onzichtbaar. Niet verborgen achter een menu. Niet beschermd door een tweede authenticatielaag. Het manifesteert zich eenvoudigweg niet tenzij het juiste patroon wordt getekend. En niemand kan je dwingen een patroon te tekenen waarvan ze niet weten dat het bestaat.

Waarom het wiskundig bewijsbaar is

Dit is geen marketingclaim. De veiligheid van de plausibele ontkenning van Vaultaire’ is geworteld in goed begrepen eigenschappen van moderne cryptografie. Dit is de reden waarom geen enkele forensische analyse, hoe geavanceerd ook, kan bewijzen dat er nog meer kluizen bestaan.

gecodeerde gegevens zien eruit als willekeurige ruis

AES-256-GCM-codering produceert uitvoer die computationeel niet te onderscheiden is van willekeurige gegevens. Dit is geen ruwe benadering, , het is een formele eigenschap van het cijfer. Gegeven een blok gecodeerde gegevens kan geen enkel algoritme bepalen of het om zinvolle gecodeerde inhoud gaat of om werkelijk willekeurige bytes. Dit betekent dat gecodeerde kluisgegevens op schijf niet kunnen worden geïdentificeerd als “kluisgegevens” zonder de juiste sleutel.

Geen kluisregister

Er is geen bestand, database of gegevensstructuur die registreert hoeveel kluizen er bestaan of met welke patronen ze corresponderen. Een forensisch onderzoeker kan zien dat Vaultaire is geïnstalleerd en dat er gecodeerde gegevens bestaan. Ze kunnen niet bepalen hoeveel kluizen die gegevens vertegenwoordigen. Het zou er één kunnen zijn. Het kunnen er tien zijn. De gegevens zelf geven geen antwoord op de vraag.

Geen onderscheidend orakel

In de cryptografie is een “oracle” alles dat vragen over gecodeerde gegevens beantwoordt. De meeste wachtwoordsystemen bevatten een orakel: u voert een wachtwoord in en het systeem vertelt u of het correct was. Vaultaire heeft zo'n orakel niet. Elk patroon produceert een sleutel. Elke sleutel probeert een decodering. Er is geen “toegang geweigerd”-antwoord dat zou bevestigen of ontkennen of een bepaald patroon overeenkomt met een bestaande kluis. Een aanvaller die willekeurige patronen probeert, weet niet eens of hij “warmer krijgt.”

Het informatietheoretische argument

Formeel gezegd: gegeven de waarneembare gegevens op de schijf (gecodeerde blobs) en één geldige decodering (de lokkluis), krijgt een tegenstander geen enkele informatie over de vraag of er nog meer geldige decoderingen bestaan. Dit geldt zelfs als de tegenstander onbeperkte rekenkracht heeft. Het is geen kwestie van harder of langer rekenen. De informatie is er simpelweg niet.

Wie heeft Plausibele Ontkenning nodig?

Je zou kunnen denken dat plausibele ontkenning alleen weggelegd is voor spionnen en klokkenluiders. In werkelijkheid worden miljoenen gewone mensen geconfronteerd met situaties waarin het vermogen om informatie onder dwang te beschermen geen luxe maar noodzaak is.

Journalisten en hun bronnen

Onderzoeksjournalisten hebben vaak gevoelig materiaal bij zich: bronidentiteiten, gelekte documenten, opnames van interviews. In veel landen worden journalisten routinematig vastgehouden en worden hun apparaten doorzocht aan de grens, bij controleposten of tijdens invallen. Een lokkluis met onschadelijke aantekeningen en gepubliceerde foto's biedt dekking, terwijl de echte kluis bronnen beschermt wier leven afhankelijk kan zijn van anonimiteit.

Activisten en organisatoren

Politieke activisten, vakbondsorganisatoren en mensenrechtenwerkers opereren in omgevingen waar hun telefoons een doelwit zijn voor surveillance. Ledenlijsten, strategische communicatie en documentatie van misbruik moeten niet alleen worden beschermd tegen diefstal, maar ook tegen gedwongen openbaarmaking. Plausibele ontkenning betekent dat een in beslag genomen telefoon niets onthult dat niet kan worden weggeredeneerd.

Mensen in misbruiksituaties

Overlevenden van huiselijk geweld moeten vaak bewijsmateriaal documenteren, foto's van verwondingen, opnames van bedreigingen, communicatie met juridisch adviseurs of opvangcentra, terwijl ze samenwonen met iemand die hun apparaat in de gaten houdt. Als een misbruiker wil zien wat er in de kluis-app staat, toont een lokkluis niets alarmerends. De bewijskluis blijft onzichtbaar, waardoor zowel de documentatie als de veiligheid van de persoon behouden blijft.

Reizigers die de grens overschrijden

In steeds meer landen kunnen grensagenten eisen dat reizigers hun apparaten ontgrendelen en ter inspectie overhandigen. Weigeren kan leiden tot weigering van toegang, detentie of erger. Met Vaultaire kunt u volledig en eerlijk voldoen., U opent uw kluis, de agent inspecteert deze en uw privégegevens in andere kluizen blijven volledig ondetecteerbaar.

Iedereen die waarde hecht aan privacy

U hoeft niet in gevaar te zijn om privacy te verdienen. Misschien houdt u een privédagboek bij. Misschien heeft u medische informatie waarvan u niet wilt dat iemand deze tegenkomt. Misschien geloof je gewoon dat niet elk onderdeel van je digitale leven toegankelijk moet zijn voor iedereen die je telefoon oppakt. Plausibele ontkenning is de sterkste vorm van privacy, omdat het niet alleen de toegang verhindert, maar zelfs het stellen van de vraag verhindert.

Hoe deze Vergelijks werkt met andere Vault-apps

De meeste kluis-apps op de markt behandelen beveiliging als een probleem met toegangscontrole: stel een wachtwoord in en het wachtwoord geeft toegang tot uw bestanden. Sommige bieden een “-fake PIN”- of “-lokmiddelmodus. ” Maar de implementaties zijn oppervlakkig en een ervaren onderzoeker kan er dwars doorheen kijken.

Het probleem met één kluis

De overgrote meerderheid van de kluis-apps, Private Photo Vault, Keepsafe, Calculator#, heeft één kluis achter één enkel wachtwoord. Als je gedwongen wordt om het te openen, is alles zichtbaar. Er is geen tweede laag, geen alternatieve weergave, geen manier om sommige bestanden weer te geven terwijl andere verborgen zijn. Je enige optie is weigeren te ontgrendelen, wat in veel situaties helemaal geen optie is.

Cosmetische lokmodi

Een handvol apps biedt een “nepwachtwoord”-functie waarbij het invoeren van een secundaire code een beperkte of lege kluis laat zien. Dit klinkt slim totdat je de implementatie in ogenschouw neemt. Deze apps slaan doorgaans een vlag op in hun configuratie die aangeeft dat er een lokmodus bestaat. Een forensisch hulpmiddel, of zelfs een redelijk technisch persoon, kan de gegevensmap van de app’ inspecteren, de vlag vinden en weten dat er een verborgen modus is. De lokmodus is beveiligingstheater.

Vaultaire’'s aanpak is architectonisch anders

Vaultaire koppelt plausibele ontkenning niet aan een traditionele kluisarchitectuur. Het is in de fundering ingebouwd. De afleiding van patroon naar sleutel, de afwezigheid van een kluisregister, het gebruik van geverifieerde encryptie die niets onthult over andere sleutels, , dit zijn geen functies die kunnen worden in- of uitgeschakeld. Het zijn eigenschappen van het versleutelingsschema zelf. Er is geen vlag te vinden omdat er geen vlag is. Er is geen lokmodus omdat elke kluis echt is.

Dit is het verschil tussen een systeem datprobeertom kluizen te verbergen en een systeem waarbij het concept van “hiding” niet van toepassing is. Vaultaire verbergt uw kluizen niet. Het zorgt ervoor dat ze cryptografisch onbestaande zijn voor iedereen zonder het juiste patroon.