Modo de coacção: Destruição de emergência do cofre
É forçado a desbloquear o telemóvel. Alguém está a observar. Desenha um padrão na grelha e o cofre abre. Parece normal. Mas em segundo plano, cada cofre adicional no seu dispositivo foi permanentemente destruído. As chaves de encriptação desapareceram. Os dados são agora ruído aleatório. E ninguém viu nada.
O modo de coacção no Vaultaire permite-lhe marcar um cofre como gatilho de coacção. Desenhar o padrão desse cofre abre-o normalmente, mas ao mesmo tempo destrói os sais criptográficos de cada outro cofre no dispositivo, tornando os seus dados permanentemente inacessíveis.
O que é o modo de coacção?
O modo de coacção é a última linha de defesa. É uma funcionalidade que espera nunca precisar de usar, concebida para o momento em que tudo o resto falhou: quando alguém está por cima de si, exige acesso aos seus ficheiros privados e não tem outra opção senão ceder.
Funciona assim: marca um cofre como cofre de coacção. Preenche-o com conteúdo credível: algumas fotografias inocentes, alguns documentos banais. Depois atribui-lhe um padrão, como qualquer outro cofre. Por fora, é indistinguível de um cofre normal.
A diferença está no que acontece quando desenha esse padrão. Um padrão de cofre normal desencripta os ficheiros dentro e nada mais. O padrão de coacção faz isso também: abre o cofre de coacção e apresenta o seu conteúdo no ecrã. Mas ao mesmo tempo, silenciosamente, em segundo plano, inicia a destruição criptográfica de cada outro cofre no seu dispositivo.
Não aparece nenhuma caixa de diálogo de confirmação. Não soa nenhum aviso. Nenhum indicador de carregamento sugere que algo incomum está a acontecer. A pessoa que o está a observar vê um cofre a abrir. Vê fotografias. Vê exactamente o que esperava. O que não vê é que cada outro dado encriptado no seu dispositivo se tornou permanentemente irrecuperável.
O modo de coacção não é uma funcionalidade de privacidade. É uma funcionalidade de sobrevivência. Existe porque há situações em que o custo de alguém aceder aos seus dados supera o custo da sua perda permanente. Quando desenha o padrão de coacção, está a fazer esta troca deliberada, silenciosa e irreversivelmente.
Como funciona por baixo
Passo 1: Desenha o padrão de coacção
Quando desenha o padrão atribuído ao seu cofre de coacção, o Vaultaire reconhece-o como gatilho de coacção. A aplicação inicia duas operações em simultâneo: começa a desencriptar e apresentar o conteúdo do cofre de coacção (o engodo) e lança a sequência de destruição para cada outro cofre.
Passo 2: As chaves de encriptação são apagadas
Cada cofre no Vaultaire está encriptado com a sua própria chave única, derivada do seu próprio padrão único. Cada cofre também guarda o sal e os metadados necessários para o processo de derivação de chaves. O modo de coacção não destrói apenas os ficheiros encriptados. Destrói o sal criptográfico e os parâmetros de derivação de chaves para cada cofre excepto o cofre de coacção.
Sem o sal, mesmo desenhar correctamente o padrão não consegue rederiver a chave. A ligação matemática entre o seu padrão e a chave de encriptação fica permanentemente cortada.
Passo 3: Os dados encriptados tornam-se ruído
Os próprios ficheiros encriptados podem ainda existir temporariamente no disco, mas são agora indistinguíveis de dados aleatórios. Sem a chave de desencriptação correcta, que não pode ser derivada porque o sal desapareceu, o conteúdo é matematicamente irrecuperável.
Passo 4: O cofre de coacção abre normalmente
Enquanto tudo isto acontece, o cofre de coacção abre no ecrã exactamente como qualquer outro cofre abriria. A pessoa que o está a coagir vê fotografias a carregar, ficheiros a aparecer, um cofre com aspecto normal. Não existe nenhuma evidência visual de que mais alguma coisa aconteceu. Toda a sequência de destruição ocorre em segundo plano, geralmente em menos de um segundo.
Porque ninguém nota
O objectivo do modo de coacção é ser invisível. Se um atacante conseguisse detectar a destruição, poderia pará-la, revertê-la ou punir a sua activação. O Vaultaire foi concebido para que não exista nenhuma diferença observável entre abrir o cofre de coacção e abrir um cofre normal.
Sem caixa de diálogo de confirmação
A maioria das acções destrutivas no software vem com um aviso: “Tem a certeza?” O modo de coacção não tem esse aviso. Uma caixa de diálogo de confirmação seria uma denúncia. No momento em que desenha o padrão, a acção está executada.
Sem diferença de tempo
O cofre de coacção abre tão depressa como qualquer outro cofre. A destruição das chaves dos outros cofres ocorre assincronamente, em paralelo com a desencriptação do conteúdo do cofre de coacção. Um observador com um cronómetro não notaria nenhum atraso.
Sem evidências residuais
Depois de activar o modo de coacção, a aplicação não exibe nenhum registo do evento. Não existe nenhuma entrada de log, nenhuma notificação de “cofres apagados”, nenhuma alteração na interface da aplicação. Da próxima vez que abrir a aplicação, comporta-se como se o cofre de coacção fosse o único cofre que alguma vez existiu.
O que é destruído
O modo de coacção não executa uma eliminação teatral onde os ficheiros são movidos para o lixo. Executa apagamento criptográfico que torna a recuperação fisicamente impossível.
O sal criptográfico
Cada cofre tem um sal único gerado aleatoriamente, usado na derivação de chaves. Quando o modo de coacção destrói o sal, corta permanentemente a ligação entre o padrão desenhado e a chave de encriptação. Mesmo que se lembrasse do padrão de cada outro cofre, a função de derivação de chaves sem o sal original produziria uma chave diferente e incorrecta.
Parâmetros de derivação de chaves
Para além do sal, cada cofre guarda os parâmetros necessários para a derivação de chaves: contagens de iteração, identificadores de algoritmo e vectores de inicialização. Tudo é apagado. Sem eles, reconstruir a chave de encriptação não é apenas difícil: é matematicamente indefinido.
Um investigador forense que analise o dispositivo depois de activar o modo de coacção encontrará um cofre com dados normais e alguns blobs encriptados órfãos no disco. Não há forma de determinar se esses blobs vieram de cofres apagados, de cache da aplicação ou de movimento normal do sistema de ficheiros.
Quando usar o modo de coacção
Passagens de fronteira
Em muitos países, os agentes de fronteira podem legalmente exigir que desbloqueie o dispositivo e o entregue para inspecção. Desenhar o padrão de coacção antes de entregar o telemóvel garante que não há nada para encontrar: apenas um cofre com algumas fotografias de férias.
Coacção física
Se alguém o forçar a desbloquear o telemóvel sob ameaça, precisa de uma forma de ceder sem realmente dar o que querem. O modo de coacção permite-lhe desenhar um padrão que parece cooperação.
Apreensão do dispositivo
Se tiver razões para crer que o seu dispositivo será apreendido, pode activar preventivamente o modo de coacção. Quando o dispositivo chegar a um analista forense, já não haverá nada para analisar.
Configurar o cofre de coacção
Configurar o modo de coacção demora cerca de dois minutos. Fazê-lo bem e de forma convincente requer um pouco mais de reflexão.
Designe o cofre
Nas definições do Vaultaire, marca um cofre como cofre de coacção. Este cofre abrirá quando desenhar o padrão de coacção, por isso deve conter conteúdo que pareça real e satisfaça as expectativas do observador. Um cofre vazio é suspeito. Um cofre com algumas fotografias pessoais de aspecto normal é ideal.
Preencha-o com conteúdo credível
Coloque no cofre de coacção conteúdo que alguém esperaria num cofre privado: algumas fotografias pessoais, talvez uma digitalização de um documento, alguns ficheiros que pareçam suficientemente privados para estar trancados, mas inocentes o suficiente para sobreviver a uma inspecção.
Escolha um padrão natural
O padrão de coacção deve ser algo que consiga desenhar sob stress, rapidamente, sem hesitação. Pratique-o até o ter na memória muscular. Simples e rápido é melhor: 5 a 7 pontos, uma forma que a sua mão consegue seguir sem pensar.
Teste-o
Antes de precisar dele, teste o modo de coacção num ambiente seguro. Crie cofres de teste, marque um cofre de coacção e active-o. Verifique que os outros cofres desapareceram. Verifique que o cofre de coacção abriu normalmente. Depois configure tudo a sério.
Irreversível
Isto precisa de ser dito claramente: assim que o modo de coacção é activado, a destruição é permanente. Não existe recuperação. As chaves de encriptação desapareceram. Os sais desapareceram. Os dados são ruído aleatório. É esse o objectivo da funcionalidade. Se a destruição fosse reversível, não seria destruição: seria ocultação. E a ocultação é algo que um adversário suficientemente motivado consegue reverter.
Perguntas frequentes
O que acontece se desenhar acidentalmente o padrão de coacção?
A destruição inicia imediatamente e não pode ser revertida. É por isso que o Vaultaire exige que o padrão de coacção seja um padrão deliberado e específico na grelha 5×5: a reprodução acidental é muito improvável. Ainda assim, é da sua responsabilidade escolher um padrão de coacção que não desenhe acidentalmente. Nunca use um padrão semelhante a um dos seus padrões de cofre habituais.
Posso recuperar os cofres a partir de uma cópia de segurança iCloud depois de activar o modo de coacção?
Se tinha cópias de segurança iCloud encriptadas activas antes de activar o modo de coacção, essas cópias de segurança ainda contêm os dados encriptados do cofre e os parâmetros de derivação de chaves. Restaurar a partir de uma cópia de segurança criada antes do evento de coacção recupera os seus cofres. No entanto, se a cópia de segurança sincronizar depois de activar o modo de coacção, reflectirá o estado destruído.
Um analista forense consegue saber que o modo de coacção foi activado?
Não. Depois de activar o modo de coacção, o dispositivo apresenta um único cofre com conteúdo normal. Não existe nenhum registo nem metadados que indiquem que existiram ou foram destruídos outros cofres. Os blobs encriptados órfãos no disco são indistinguíveis de artefactos normais do sistema de ficheiros.
O cofre de coacção é destruído?
Não. O cofre de coacção fica intacto e completamente funcional. Abre normalmente, apresenta o seu conteúdo e continua a funcionar como um cofre normal depois do evento. É necessário: se o cofre que acabou de “desbloquear” desaparecesse, a pessoa que o está a coagir saberia que algo aconteceu.
Posso ter vários cofres de coacção?
Não. Designa exactamente um cofre como cofre de coacção. Esta limitação é deliberada: múltiplos gatilhos de coacção aumentariam o risco de activação acidental e complicariam o modelo mental. Um cofre, um padrão, um resultado.
O modo de coacção é legal?
O Vaultaire fornece ferramentas para segurança de dados. Como e quando usa essas ferramentas é da sua decisão e responsabilidade. Destruir os seus próprios dados é geralmente legal na maioria das jurisdições, mas as leis variam, especialmente no que diz respeito à destruição de provas durante processos judiciais. Se tiver dúvidas, consulte um advogado. O Vaultaire não fornece aconselhamento jurídico.
Prepare-se para o pior
Configure o modo de coacção agora, enquanto tem tempo. Quando precisar dele, não haverá tempo para o configurar.
Descarregar o Vaultaire gratuitamente