O caso pelo Vaultaire

Apps de privacidade têm um defeito fatal: parecem apps de privacidade.

Uma pasta bloqueada anuncia que está bloqueada. Uma galeria oculta chamada “Calculadora+” não engana ninguém que esteja procurando. Todo “cofre seguro” de fotos no seu iPhone compartilha o mesmo problema: prova que você tem algo a esconder.

Quando alguém te força a desbloquear o telefone — seja um agente de fronteira, um parceiro abusivo ou um governo autoritário — eles veem o app, veem o cadeado, e não param até que você abra.

Vaultaire não esconde seus arquivos atrás de um cadeado. Faz com que eles deixem de existir.

Como o armazenamento criptografado de fotos deveria realmente funcionar

Desenhe um padrão na grade. Um cofre se abre com suas fotos, vídeos e documentos privados, cada arquivo criptografado individualmente com AES-256-GCM usando chaves respaldadas por hardware do Secure Enclave da Apple. Desenhe um padrão diferente e um cofre completamente distinto se abre. Arquivos diferentes, chaves de criptografia diferentes, tudo diferente.

Padrão incorreto? Sem mensagem de erro. Sem “senha incorreta.” Apenas um cofre vazio. Não há diferença observável entre “incorreto” e “vazio.”

Cada cofre reside dentro de um bloco pré-alocado de ruído criptografado. Seja que você tenha armazenado zero arquivos ou quinhentos, os dados no disco parecem idênticos. Ferramentas forenses não conseguem distinguir a diferença. Não há nada a encontrar porque não há nada que pareça algo a encontrar.

Isso não é um cadeado em uma porta. É uma parede onde antes havia uma porta.

Por que a arquitetura de conhecimento zero importa

A maioria dos apps de cofre de fotos coloca uma tela de PIN na frente de arquivos sem criptografia. Se alguém conectar seu telefone a um computador, os arquivos estão lá, completamente legíveis. Isso não é segurança. É uma cortina.

Vaultaire foi construído em torno de um único princípio: ninguém — nem nós, nem a Apple, nem um perito forense — consegue provar que seus arquivos existem. A privacidade não é algo que adicionamos depois. É como o app funciona em cada camada.

Sem contas. Sem e-mail, sem número de telefone, sem identidade que possa ser vinculada a você. Nada a intimar judicialmente.

Sem dependência de nuvem. Seus arquivos nunca saem do seu dispositivo, a menos que você escolha explicitamente o backup criptografado no iCloud ou o compartilhamento de cofres criptografados. Mesmo assim, o servidor só vê ruído.

Sem biometria. Face ID e impressões digitais podem ser exigidos por autoridades. Um padrão na sua cabeça não pode ser extraído. Deixamos a biometria de fora de propósito.

Sem “esqueci minha senha.” Nenhum servidor conhece seu padrão. Sem redefinição por e-mail. Sem porta dos fundos. Uma frase de recuperação de 12 palavras existe para quem quiser, armazenada apenas no seu dispositivo. Não há como entrar para ninguém além de você.

Seu padrão passa por 600.000 rodadas de PBKDF2 para derivar uma chave de criptografia de 256 bits. Essa chave vive apenas na memória e é apagada no momento em que o app é bloqueado. Nunca a vemos. Não conseguimos recuperá-la. Esse é o ponto.

Para quem é

Jornalistas protegendo fontes onde revistas de telefones são rotineiras. Ativistas carregando documentação sob vigilância governamental. Vítimas de abuso doméstico guardando evidências em um dispositivo que sabem estar sendo monitorado. Viajantes cruzando fronteiras onde a inspeção de dispositivos é obrigatória. Advogados com materiais privilegiados em telefones pessoais.

E qualquer pessoa que entenda que privacidade não se trata de ter algo a esconder. Trata-se de ter algo que vale a pena proteger.

O cofre de emergência

Designe qualquer cofre como gatilho de emergência. Quando esse padrão é desenhado sob coerção, todos os outros cofres são destruídos silenciosa e permanentemente. O cofre de emergência abre normalmente. A pessoa observando vê cooperação e um cofre de aparência comum com algumas fotos inofensivas. Ela não tem como saber que qualquer outra coisa existiu.

Nenhum outro app de cofre criptografado faz isso.

O que não construiremos

Não adicionaremos desbloqueio biométrico, porque pode ser exigido legalmente. Não adicionaremos armazenamento dependente de nuvem, porque cria um alvo para intimações judiciais e vazamentos. Não adicionaremos análises que rastreiem como você usa o app. Não adicionaremos uma porta dos fundos disfarçada de recuperação de conta. Não enfraqueceremos a arquitetura por conveniência.

Cada decisão no Vaultaire se resume a uma coisa: seus arquivos privados continuam sendo seus, em qualquer circunstância.