PT
English Español Deutsch Français Português 日本語 中文 العربية हिंदी Bahasa Indonesia Italiano 한국어 Nederlands Polski Русский Svenska ไทย Türkçe Tiếng Việt 繁體中文 Українська עברית Čeština Suomi Slovenčina Català Hrvatski Dansk Magyar Português (PT) Ελληνικά Română
Obter aplicação

Negação plausível: Cada padrão abre um cofre diferente

Alguém exige que desbloqueie o cofre. Desenha um padrão. O cofre abre, cheio de fotografias inocentes e listas de compras. O que não sabem é que um padrão diferente abre um cofre completamente diferente contendo tudo o que realmente precisa de proteger. E não há forma de provar que esse cofre existe.

Negação plausível no Vaultaire significa que cada padrão desenhado na grelha 5×5 abre um cofre diferente com uma chave de encriptação diferente. Não existe índice principal, nenhuma contagem de cofres e nenhuma forma de provar que existem cofres adicionais no dispositivo.

O que significa negação plausível na prática

Em segurança, negação plausível significa que consegue negar de forma credível a existência de algo. Não se trata apenas de esconder. Não se trata apenas de dificultar a descoberta. Pode olhar alguém nos olhos, um agente de fronteira, um parceiro agressivo, um ladrão que apanhou o seu telemóvel, e dizer com verdade “é tudo o que há”, sem que exista nenhuma prova técnica que o contrarie.

A maioria das aplicações de cofre oferece um cofre por detrás de uma palavra-passe. Se alguém o obrigar a abri-lo, tudo fica exposto. Algumas aplicações oferecem um “modo de engodo” onde define uma segunda palavra-passe que mostra um ecrã falso. Mas estas implementações são geralmente cosméticas. Um investigador forense pode examinar os dados da aplicação, ver sinalizadores de configuração, notar que o tamanho dos dados encriptados não corresponde aos ficheiros visíveis, ou encontrar metadados que revelam a existência de uma camada oculta.

O Vaultaire segue uma abordagem radicalmente diferente. Cada padrão que desenha na grelha 5×5 deriva uma chave de encriptação diferente. Cada chave desencripta um blob encriptado diferente. Não existe índice principal, nenhum registo de cofres, nenhum ficheiro de configuração que indique quantos cofres existem. A própria aplicação não sabe. Não pode saber. Simplesmente pega no padrão que desenhar, deriva uma chave, tenta desencriptar os dados com essa chave e mostra o que encontrar.

Princípio fundamental

As aplicações de cofre tradicionais são como uma casa com um cofre visível. Mesmo que esteja fechado, toda a gente vê que está lá. O Vaultaire é como uma casa onde cada chave cria uma divisão diferente. Ninguém consegue dizer quantas divisões existem porque cada chave só revela a divisão para a qual foi feita. As outras divisões não estão escondidas: do ponto de vista de quem não tem a chave certa, simplesmente não existem.

Como funciona por baixo

O fundamento técnico da negação plausível do Vaultaire é surpreendentemente elegante. Baseia-se numa propriedade da encriptação que a maioria das aplicações de cofre ignora completamente: chaves diferentes produzem saídas diferentes dos mesmos dados encriptados, e é impossível distinguir uma desencriptação “correcta” de uma “incorrecta” sem examinar o texto em claro.

Padrões diferentes, chaves diferentes

Quando desenha um padrão na grelha 5×5 no Vaultaire, a sequência de pontos que liga é passada à função de derivação de chaves (PBKDF2) juntamente com um sal criptográfico. Este processo cria uma chave de encriptação AES de 256 bits única. Um padrão diferente, mesmo que difira num único ponto, cria uma chave completamente diferente.

Cada chave desencripta o seu próprio blob

O Vaultaire guarda os dados encriptados como blobs opacos. Quando desenha um padrão, a aplicação deriva uma chave e tenta desencriptar os dados. Se a chave corresponder a um cofre existente, a desencriptação autenticada (AES-256-GCM) é bem-sucedida e os seus ficheiros são mostrados. Se a chave não corresponder a nenhum cofre, a desencriptação falha silenciosamente ou produz saída sem sentido. Em ambos os casos, a aplicação não mostra nenhum erro. Simplesmente pergunta se pretende criar um novo cofre com este padrão.

Sem índice principal

Esta é a decisão de design crítica que distingue o Vaultaire de aplicações que apenas oferecem um “modo de engodo”. Não existe nenhuma tabela de base de dados com IDs de cofres. Não existe nenhum ficheiro de configuração que conte quantos cofres existem. Não existe nenhuma estrutura de metadados que possa revelar a presença de contentores encriptados adicionais. Nem o próprio Vaultaire consegue enumerar quantos cofres um utilizador criou.

Fluxo de negação plausível
Padrão A
O seu padrão real
Chave A
Chave derivada
Cofre A
Os seus ficheiros privados
Padrão B
Padrão de engodo
Chave B
Chave diferente
Cofre B
Ficheiros inocentes

Ambos os cofres são igualmente reais. Ambos estão encriptados com o mesmo algoritmo. Não existe nenhum sinalizador, nenhuma marca, nenhuns metadados que designem um como “real” e o outro como “engodo”. Do ponto de vista matemático, são idênticos.

A estratégia do cofre de engodo

A negação plausível só funciona se tiver algo para mostrar. Um cofre vazio é suspeito. A defesa mais forte é um cofre que parece exactamente o que qualquer pessoa esperaria.

Configurar o engodo

Escolha um segundo padrão que consiga desenhar rápida e naturalmente sob pressão. Crie um cofre com esse padrão. Preencha-o com conteúdo que faça sentido para um utilizador de uma aplicação de cofre: algumas fotografias pessoais que prefere manter privadas mas não são sensíveis, alguns documentos financeiros, algumas notas. O conteúdo deve ser credível e moderadamente embaraçoso.

Como torná-lo convincente

Um bom cofre de engodo tem algumas características. Deve conter um número razoável de ficheiros: nem demasiado poucos (suspeitamente vazio) nem demasiados. Os ficheiros devem ser suficientemente recentes para sugerir utilização activa. O conteúdo deve fornecer uma razão credível para ter instalado uma aplicação de cofre.

Sob coacção

Se alguma vez for forçado a desbloquear o dispositivo, desenha o padrão de engodo. O cofre abre. Os ficheiros são mostrados. Entrega o telemóvel. Não há nada para encontrar, nada para investigar, nenhum menu oculto para descobrir.

Porque é matematicamente provável

Não se trata de uma afirmação de marketing. A segurança de negação plausível do Vaultaire está enraizada em propriedades bem compreendidas da criptografia moderna.

0
Metadados que revelam número de cofres
2256
Chaves possíveis por padrão
100%
Indistinguível de ruído aleatório

Os dados encriptados parecem ruído aleatório

A encriptação AES-256-GCM produz saída que é computacionalmente indistinguível de dados aleatórios. Não é uma característica aproximada: é uma propriedade formal da cifra. Ao olhar para um bloco de dados encriptados, nenhum algoritmo consegue determinar se é conteúdo encriptado com significado ou bytes genuinamente aleatórios.

Sem registo de cofres

Não existe nenhum ficheiro, base de dados ou estrutura de dados que registe quantos cofres existem ou a que padrão correspondem. Um investigador forense pode ver que o Vaultaire está instalado e que existem dados encriptados. Não consegue determinar quantos cofres esses dados representam.

Porque importa legalmente

Em muitas jurisdições pode ser forçado a entregar uma palavra-passe ou desbloquear um dispositivo. Mas não pode ser forçado a revelar algo cuja existência não pode ser provada. Se um tribunal ou autoridade exigir acesso ao seu cofre e você fornecer acesso a um cofre, o ónus da prova recai sobre eles para demonstrar a existência de cofres adicionais. Com o Vaultaire, essa prova é matematicamente impossível de produzir.

Quem precisa de negação plausível

Pode pensar que negação plausível é apenas para espiões e informadores. Na realidade, milhões de pessoas comuns enfrentam situações onde a capacidade de proteger informação sob pressão não é luxo, mas necessidade.

Jornalistas e as suas fontes

Jornalistas de investigação transportam frequentemente material sensível: identidades de fontes, documentos vazados, registos de entrevistas. Em muitos países, os jornalistas são rotineiramente detidos e os seus dispositivos revistados em fronteiras ou postos de controlo. Um cofre de engodo com notas inocentes e fotografias publicadas fornece cobertura enquanto o cofre real protege fontes cujas vidas podem depender do anonimato.

Activistas e organizadores

Activistas políticos, sindicalistas e trabalhadores de direitos humanos operam em ambientes onde os seus telemóveis são alvo de vigilância. Listas de membros, comunicações estratégicas e documentação de abusos precisam de estar protegidas não apenas contra roubo, mas também contra divulgação forçada.

Pessoas em situações de violência

Sobreviventes de violência doméstica precisam de documentar evidências enquanto vivem com alguém que monitoriza os seus dispositivos. Se o agressor exigir ver o conteúdo de uma aplicação de cofre, o cofre de engodo não mostra nada preocupante.

Viajantes a cruzar fronteiras

Num número crescente de países, agentes de fronteira podem exigir que os viajantes desbloqueiem os seus dispositivos. Com o Vaultaire, pode cumprir total e honestamente: abre um cofre, o agente verifica-o, e os seus dados privados noutros cofres permanecem completamente indetectáveis.

Perguntas frequentes

Quantos cofres posso criar?

Não existe limite artificial. Cada padrão único que desenhar cria um cofre separado com a sua própria chave de encriptação. Pode ter dois cofres ou vinte. Como não existe nenhum registo nem contagem guardada em lado nenhum, só você sabe quantos cofres tem.

Um investigador forense consegue determinar quantos cofres tenho?

Não. Os dados encriptados no disco são indistinguíveis de ruído aleatório. Não existem metadados, índice nem artefacto estrutural que revele quantos cofres existem. Um investigador forense consegue confirmar que o Vaultaire está instalado e que existem dados encriptados, mas não consegue determinar quantos cofres distintos esses dados representam.

E se alguém souber da funcionalidade de negação plausível do Vaultaire?

É essa a elegância do design. Mesmo que soubessem exactamente como o sistema funciona, mesmo que tivessem lido esta página, continuam a não conseguir provar a existência de outros cofres. A segurança não depende de obscuridade. Depende de matemática.

Ter vários cofres afecta o armazenamento ou o desempenho?

Cada cofre consome armazenamento proporcional aos ficheiros que contém. A sobrecarga de encriptação e desencriptação é a mesma quer tenha um cofre quer tenha vários. A aplicação só desencripta o cofre correspondente ao padrão desenhado, por isso o desempenho não é afectado pela existência de outros cofres.

O Vaultaire pode ser forçado através de uma actualização de software a revelar todos os cofres?

Não. A arquitectura torna isso impossível mesmo em teoria. Não existe nenhuma lista de cofres para revelar. Uma actualização de software não consegue criar uma lista de cofres porque a própria aplicação não tem essa informação.

O que acontece se criar acidentalmente um cofre com um padrão que já uso?

Se desenhar um padrão que corresponde a um cofre existente, a aplicação abre esse cofre. Não é possível criar acidentalmente um cofre duplicado porque a derivação de chaves é determinística: o mesmo padrão produz sempre a mesma chave. Desenhar o padrão de um cofre existente simplesmente abre-o.

Proteja o que importa

Configure o primeiro cofre de engodo em menos de um minuto. Segurança real significa não ter nada a esconder, mesmo quando tem.

Descarregar o Vaultaire gratuitamente