Negabilidade Plausível em Apps: O Que É e Por Que Importa
A negabilidade plausível significa que a existência de dados ocultos não pode ser provada.
A negabilidade plausível em criptografia é a propriedade que permite a um usuário negar de forma crível a existência de certos dados criptografados. O armazenamento criptografado parece conter apenas os dados que o usuário escolhe revelar. Um examinador forense, uma parte coercitiva ou qualquer pessoa com acesso físico ao dispositivo não pode provar que dados adicionais ocultos existem. Isso não é um recurso de ocultação. É uma propriedade matemática do próprio esquema de criptografia.
Este guia explica como a negabilidade plausível funciona em apps, a diferença entre negabilidade criptográfica genuína e modos de engodo cosméticos, cenários do mundo real onde isso importa e como avaliar afirmações de negabilidade.
O Que Significa Negabilidade Plausível em Criptografia
Na linguagem cotidiana, negabilidade plausível significa que você pode negar algo de forma crível. Em criptografia, significa que a existência de dados ocultos não pode ser provada, mesmo por um especialista com tempo ilimitado e ferramentas forenses.
O conceito originou-se na criptografia de disco. O TrueCrypt (e seu sucessor VeraCrypt) foi pioneiro no volume oculto: um volume criptografado dentro de outro volume criptografado. Uma senha revela o volume externo com arquivos inocentes. Uma senha diferente revela o volume interno oculto com arquivos sensíveis. Um examinador forense não pode determinar se um volume oculto existe porque o espaço não utilizado no volume externo é preenchido com dados aleatórios indistinguíveis de dados criptografados.
Para apps, a negabilidade plausível significa que diferentes credenciais (senhas, PINs, padrões) abrem diferentes conjuntos de dados, e não há metadados, registro, sinalizador de configuração ou artefato estrutural que revele a existência de conjuntos de dados adicionais.
Negabilidade Genuína vs. Modos de Engodo Cosméticos
Esta é a distinção crítica que a maioria dos apps erra.
Modo de Engodo Cosmético (Não É Negabilidade Real)
Muitos apps cofre oferecem um recurso de "engodo" ou "PIN falso". Você define um PIN secundário que abre um espaço separado com fotos diferentes. O problema: esses apps normalmente armazenam um sinalizador booleano, uma entrada de banco de dados ou um arquivo de configuração indicando que um modo de engodo existe e está configurado.
Um examinador forense que entende o app pode encontrar esse sinalizador. Encontrar um modo de engodo configurado prova que dados ocultos existem. A negabilidade é cosmética — funciona contra um bisbilhoteiro casual, mas falha sob exame forense.
Sinais de negabilidade cosmética:
- O app tem um interruptor de "modo de engodo" nas configurações
- Um arquivo de configuração armazena se o modo de engodo está habilitado
- Uma tabela de banco de dados lista IDs de cofre com indicadores de tipo (principal/engodo)
- A estrutura de armazenamento do app muda quando o modo de engodo é ativado
- Desinstalar e reinstalar o app revela comportamento diferente quando o modo de engodo foi configurado
Negabilidade Criptográfica Genuína
A negabilidade genuína é uma propriedade arquitetural, não um interruptor de recurso. O armazenamento criptografado deve ser projetado de forma que:
Cada credencial abre um conjunto de dados válido. Não há erro de "senha errada" para credenciais que abrem cofres ocultos. Qualquer combinação válida de padrão/senha produz uma chave que descriptografa algo.
Nenhum registro de cofres existe. O app não pode enumerar quantos cofres existem. Não há contagem, índice ou lista de IDs de cofre. Um examinador forense que examina o armazenamento do app encontra um pool indiferenciado de dados criptografados.
Nenhum sinalizador de configuração revela cofres ocultos. Não há booleano, entrada de banco de dados ou arquivo de preferências que indique se cofres adicionais existem.
O armazenamento é preenchido. O espaço de armazenamento total consumido não muda com base no número de cofres ou arquivos. Sem preenchimento, um examinador poderia estimar o número de cofres pelo tamanho total dos dados criptografados versus o conteúdo visível.
Dados criptografados são indistinguíveis de ruído aleatório. Não há limites de arquivo, cabeçalhos ou marcadores estruturais que revelem onde os dados de um cofre terminam e os de outro começam.
| Propriedade | Engodo Cosmético | Negabilidade Genuína |
|---|---|---|
| Dados separados por credencial | Sim | Sim |
| Sem registro de cofres | Não (banco de dados rastreia cofres) | Sim |
| Sem sinalizadores de configuração | Não (interruptor de engodo armazenado) | Sim |
| Preenchimento de armazenamento | Raramente | Sim |
| Sobrevive ao exame forense | Não | Sim |
| Arquitetural vs. recurso | Interruptor de recurso | Propriedade arquitetural |
Cenários do Mundo Real Onde Isso Importa
A negabilidade plausível não é uma preocupação teórica. Ela aborda situações documentadas e recorrentes do mundo real.
Cruzamentos de Fronteira
Nos Estados Unidos, a Alfândega e Proteção de Fronteira pode legalmente obrigar o acesso ao dispositivo na fronteira. Os tribunais decidiram que agentes de fronteira podem exigir senhas para inspeção do dispositivo. Nesse cenário, um usuário com negabilidade plausível genuína pode fornecer um padrão/senha que abre um cofre com conteúdo inocente. O examinador não pode provar que outros cofres existem.
Abuso Doméstico e Relacionamentos Coercitivos
Alguém em um relacionamento abusivo pode precisar armazenar evidências (fotos de ferimentos, mensagens ameaçadoras, documentos legais) em um dispositivo que o abusador monitora. Se o abusador exigir ver o cofre, o usuário pode abrir um cofre com conteúdo não sensível. Sem negabilidade genuína, um sinalizador de "modo de engodo" na configuração do app revelaria a existência de conteúdo oculto.
Roubo de Dispositivo
Um ladrão com habilidades técnicas pode tentar extrair dados de um telefone roubado. Com negabilidade genuína, o pool de dados criptografados não revela nada sobre o número de cofres, seu conteúdo ou sua finalidade.
Proteção Legal e Jornalística
Jornalistas que protegem fontes, advogados que protegem arquivos de clientes e ativistas em regimes autoritários enfrentam cenários onde os conteúdos do dispositivo podem ser compelidos. A negabilidade genuína fornece uma defesa crível contra a apreensão de dados.
Como o Vaultaire Implementa a Negabilidade Plausível
O Vaultaire alcança negabilidade plausível criptográfica genuína por meio do design arquitetural:
Cada padrão abre um cofre diferente. A grade 5x5 produz uma chave via PBKDF2. Um padrão diferente produz uma chave diferente. Não há chave mestra, lista de cofres ou forma de o app enumerar cofres existentes. Desenhar um padrão que não tem um cofre associado simplesmente abre um espaço de cofre vazio — não há erro de "padrão incorreto".
Sem registro de cofres. O app não tem banco de dados listando cofres, nomes de cofre ou contagens de cofre. Todos os dados criptografados existem em um único pool de armazenamento indiferenciado. Um examinador forense com acesso ilimitado ao sistema de arquivos do dispositivo encontra blocos criptografados sem marcadores estruturais indicando limites de cofre.
Preenchimento de armazenamento. O tamanho total do armazenamento permanece constante independentemente da contagem de cofres ou arquivos, derrotando a análise de uso de disco.
Sem sinalizadores de configuração. Não há arquivo de configurações, entrada de preferência ou registro de banco de dados que revele quantos cofres existem ou se algum padrão específico foi usado.
Modo de coerção. Os usuários podem designar um cofre como cofre de coerção. Desenhar esse padrão abre o cofre normalmente enquanto simultaneamente e silenciosamente destrói os sais criptográficos de todos os outros cofres. A destruição é irreversível, não deixa rastro forense e leva menos de um segundo.
Como Avaliar Afirmações de Negabilidade
Quando um app afirma negabilidade plausível, pergunte:
- Existe um interruptor de "modo de engodo"? Se sim, é cosmético. Um examinador forense pode encontrar o interruptor.
- O app tem uma lista de cofres ou banco de dados? Se sim, a existência do cofre é provável.
- Existe um erro de "senha errada"? Se sim, o app pode distinguir entre credenciais válidas e inválidas, o que significa que armazena algo que valida credenciais.
- O consumo de armazenamento muda com a contagem de cofres? Se sim, a análise de disco pode estimar a contagem de cofres.
- O app pode enumerar cofres? Se o app pode mostrar uma lista dos seus cofres, essa lista existe no dispositivo e é descobrível.
Perguntas Frequentes
A negabilidade plausível é legal?
Usar criptografia com negabilidade plausível é legal na maioria das democracias. Não há lei contra ter dados criptografados no seu dispositivo cuja existência não pode ser provada. Em algumas jurisdições (Reino Unido sob RIPA, Austrália sob a Lei de Assistência e Acesso), as autoridades podem obrigar a divulgação de chaves de criptografia. A questão legal é se obrigar a divulgação de uma chave para dados cuja existência não pode ser provada é executável. Isso permanece uma área jurídica em desenvolvimento.
Ferramentas forenses podem detectar negabilidade plausível?
Ferramentas forenses profissionais (Cellebrite, GrayKey, Magnet AXIOM) podem detectar que o Vaultaire está instalado e que dados criptografados existem. Elas não podem determinar quantos cofres existem, o que contêm ou se cofres adicionais existem além dos revelados. Os dados criptografados são indistinguíveis de ruído aleatório. Isso é verificado por design, não afirmado por política.
A negabilidade plausível funciona contra um estado-nação determinado?
Contra criptoanálise (quebrar a criptografia): sim. O AES-256 não pode ser quebrado por nenhuma capacidade conhecida de estado-nação. Contra coerção (forçá-lo a revelar padrões): a negabilidade plausível significa que você pode revelar um cofre enquanto nega credivelmente que outros existem. Contra exploração do dispositivo (usar um zero-day para extrair dados de um dispositivo em execução): se o dispositivo está desbloqueado e o cofre está aberto, os dados descriptografados estão na memória e são teoricamente acessíveis. A negabilidade plausível protege dados em repouso, não dados em uso ativo.
Qual é a diferença entre negabilidade plausível e cofres ocultos?
Cofres ocultos são cofres que não são visíveis na interface do app. A negabilidade plausível é a propriedade de que a existência de cofres ocultos não pode ser provada. Um app pode ter cofres ocultos sem negabilidade plausível (se um registro de cofres ou sinalizador de configuração os revelar). O Vaultaire fornece ambos: os cofres são ocultos por padrão e sua existência é improvável por design.
Posso usar negabilidade plausível com backups em nuvem?
No Vaultaire, os backups criptografados do iCloud contêm todo o pool de armazenamento criptografado. O backup é um único blob criptografado. Ele preserva a negabilidade plausível porque o próprio backup não contém estrutura em nível de cofre — é o mesmo pool criptografado indiferenciado que o armazenamento no dispositivo.
Conclusão
A negabilidade plausível em criptografia significa que a existência de dados ocultos não pode ser provada, mesmo sob exame forense. A maioria dos apps que afirmam esse recurso oferece modos de engodo cosméticos com sinalizadores de configuração descobríveis. A negabilidade genuína exige sem registro de cofres, sem sinalizadores de configuração, preenchimento de armazenamento e dados criptografados arquiteturalmente indistinguíveis.
O Vaultaire implementa negabilidade plausível genuína como uma propriedade arquitetural: cada padrão abre um cofre diferente, não há lista de cofres, o armazenamento é preenchido e nenhum outro app cofre criptografado faz isso.