Negação plausível em aplicações: o que é e porque é importante
A negação plausível em encriptação é uma propriedade que permite ao utilizador negar de forma credível a existência de certos dados encriptados. O armazenamento encriptado parece conter apenas os dados que o utilizador decide revelar. Um perito forense, uma pessoa sob coerção ou qualquer pessoa com acesso físico ao dispositivo não consegue provar a existência de dados ocultos adicionais. Não é uma funcionalidade de ocultação, é uma propriedade matemática do próprio esquema de encriptação.
Este guia explica como a negação plausível em aplicações funciona, qual a diferença entre negação criptográfica real e modos de distração cosméticos, cenários reais onde isto é relevante, e como avaliar afirmações de negação plausível.
O que significa negação plausível em encriptação
Em linguagem corrente, negação plausível significa que algo pode ser negado de forma credível. Em criptografia significa que a existência de dados ocultos não pode ser provada, nem por peritos com tempo ilimitado e ferramentas forenses.
O conceito surgiu na encriptação de discos. O TrueCrypt (e o seu sucessor VeraCrypt) introduziu o volume oculto: um volume encriptado dentro de outro volume encriptado. Uma palavra-passe revela o volume exterior com conteúdo inocente. Uma palavra-passe diferente revela o volume interior oculto com ficheiros sensíveis. Um perito forense não consegue determinar se o volume oculto existe, porque o espaço não utilizado no volume exterior é preenchido com dados aleatórios indistinguíveis de dados encriptados.
Para aplicações, a negação plausível significa que credenciais diferentes (palavras-passe, PINs, padrões) abrem conjuntos de dados diferentes e não existem metadados, registos, sinalizadores de configuração nem artefactos estruturais que revelem a existência de conjuntos de dados adicionais.
Negação real vs. modo de distração cosmético
Esta é a distinção fundamental que a maioria das aplicações resolve mal.
Modo de distração cosmético (não é negação real)
Muitas aplicações cofre oferecem uma funcionalidade de "distração" ou "PIN falso". Define-se um PIN secundário que abre um espaço separado com outras fotografias. O problema: estas aplicações tipicamente armazenam um sinalizador booleano, um registo de base de dados ou um ficheiro de configuração que diz que o modo de distração existe e está configurado.
Um perito forense familiarizado com a aplicação encontra esse sinalizador. Encontrar um modo de distração configurado prova que existem dados ocultos. A negação é cosmética, funciona contra curiosos superficiais mas falha sob exame forense.
Sinais de negação cosmética:
- A aplicação tem um botão "modo de distração" nas definições
- Um ficheiro de configuração armazena se o modo de distração está ativo
- Uma tabela de base de dados contém uma lista de IDs de cofres com indicadores de tipo (primário/distração)
- A estrutura de armazenamento da aplicação muda quando o modo de distração está ativo
- Desinstalar e reinstalar a aplicação revela comportamento diferente se o modo de distração estava configurado
Negação criptográfica real
A negação real é uma propriedade arquitetural, não um botão de funcionalidade. O armazenamento encriptado deve ser concebido de forma a que:
- Cada credencial abra um conjunto de dados válido. Não existe erro de "palavra-passe errada" para credenciais que abrem cofres ocultos. Qualquer combinação válida de padrão/palavra-passe produz uma chave que desencripta algo com significado.
- Não exista nenhum registo de cofres. A aplicação não consegue calcular quantos cofres existem. Não há contagem, índice nem lista de IDs de cofres. Um perito forense que examine o armazenamento da aplicação encontra um conjunto indiferenciado de dados encriptados.
- Nenhum sinalizador de configuração revele cofres ocultos. Não existe nenhum booleano, registo de base de dados nem ficheiro de preferências que indique se existem cofres adicionais.
- O armazenamento está preenchido com dados de enchimento. A capacidade total utilizada não muda com o número de cofres ou ficheiros. Sem enchimento, um perito poderia estimar o número de cofres pelo volume total de dados encriptados em comparação com o conteúdo visível.
- Os dados encriptados são indistinguíveis de ruído aleatório. Não existem limites de ficheiros, cabeçalhos nem marcadores estruturais que revelem onde os dados de um cofre terminam e os de outro começam.
| Propriedade | Distração cosmética | Negação real |
|---|---|---|
| Dados separados por credencial | Sim | Sim |
| Sem registo de cofres | Não (base de dados regista cofres) | Sim |
| Sem sinalizadores de configuração | Não (botão de distração é armazenado) | Sim |
| Dados de enchimento no armazenamento | Raramente | Sim |
| Resiste a exame forense | Não | Sim |
| Arquitetura vs. funcionalidade | Botão de funcionalidade | Propriedade arquitetural |
Cenários reais onde isto é relevante
A negação plausível não é uma questão teórica. Resolve situações reais documentadas e recorrentes.
Passagens de fronteira
Nos Estados Unidos, a Proteção Aduaneira e de Fronteiras (CBP) pode legalmente exigir acesso ao dispositivo nas fronteiras. Os tribunais decidiram que agentes de fronteira podem exigir palavras-passe para revistas ao dispositivo. Neste cenário, um utilizador com negação plausível real pode fornecer um padrão ou palavra-passe que abre um cofre com conteúdo inocente. O perito não consegue provar que existem cofres adicionais.
Violência doméstica e relações coercivas
Alguém numa relação abusiva pode precisar de armazenar provas (fotografias de lesões, mensagens ameaçadoras, documentos legais) num dispositivo que o agressor monitoriza. Se o agressor exigir acesso ao cofre, o utilizador pode abrir um cofre com conteúdo não sensível. Sem negação real, o sinalizador de "modo de distração" na configuração da aplicação revelaria a existência de conteúdo oculto.
Roubo do dispositivo
Um ladrão com conhecimentos técnicos pode tentar extrair dados de um telemóvel roubado. Com negação plausível real, o conjunto de dados encriptados não revela nada sobre o número de cofres, o seu conteúdo nem a sua finalidade.
Proteção legal e jornalística
Jornalistas a proteger fontes, advogados a proteger processos de clientes e ativistas em regimes autoritários enfrentam situações onde o conteúdo do dispositivo pode ser coagido. A negação plausível real fornece credibilidade para negar o acesso a dados.
Como o Vaultaire implementa negação plausível
O Vaultaire alcança negação criptográfica real através da conceção arquitetural:
Cada padrão abre um cofre diferente. A grelha 5×5 gera uma chave via PBKDF2. Um padrão diferente gera uma chave diferente. Não existe chave mestra, lista de cofres nem forma de a aplicação calcular cofres existentes. Desenhar um padrão sem cofre associado simplesmente abre um espaço de cofre vazio, não existe erro de "padrão errado".
Sem registo de cofres. A aplicação não tem uma base de dados com lista de cofres, os seus nomes nem as suas contagens. Todos os dados encriptados existem num único conjunto de armazenamento indiferenciado. Um perito forense com acesso ilimitado ao sistema de ficheiros do dispositivo encontra blocos encriptados sem marcadores estruturais que indiquem limites de cofres.
Dados de enchimento no armazenamento. O tamanho total do armazenamento permanece constante independentemente do número de cofres ou ficheiros, dificultando a análise de utilização de disco.
Sem sinalizadores de configuração. Não existe nenhum ficheiro de definições, registo de preferências nem entrada de base de dados que revele quantos cofres existem ou se um padrão específico foi usado.
Modo de emergência. Os utilizadores podem marcar um cofre como cofre de emergência. Desenhar esse padrão abre o cofre normalmente e simultaneamente destrói de forma silenciosa e irreversível os sais criptográficos de todos os outros cofres. A destruição é irreversível, não deixa rasto forense e leva menos de um segundo.
Como avaliar afirmações de negação plausível
Se uma aplicação afirma ter negação plausível, pergunte:
- A aplicação tem um botão "modo de distração"? Se sim, é cosmético. O perito forense encontrará o botão.
- A aplicação tem uma lista ou base de dados de cofres? Se sim, a existência de cofres pode ser provada.
- Existe um erro de "palavra-passe errada"? Se sim, a aplicação consegue distinguir entre credenciais válidas e inválidas, o que significa que armazena algo que verifica as credenciais.
- O consumo de armazenamento muda com o número de cofres? Se sim, a análise de disco pode estimar o número de cofres.
- A aplicação consegue listar os cofres? Se a aplicação consegue mostrar uma lista dos seus cofres, essa lista existe no dispositivo e é descobrível.
Perguntas frequentes
A negação plausível em encriptação é legal?
Usar encriptação com negação plausível é legal na maioria dos países democráticos. Não existe lei que proíba ter no dispositivo dados encriptados cuja existência não pode ser provada. Em algumas jurisdições as autoridades podem exigir chaves de encriptação (p.ex. Reino Unido sob a RIPA ou Austrália sob o Assistance and Access Act). A questão legal sobre se se pode impor a partilha de chaves para dados cuja existência não pode ser provada permanece aberta e em evolução.
As ferramentas forenses conseguem detetar negação plausível?
Ferramentas forenses profissionais (Cellebrite, GrayKey, Magnet AXIOM) conseguem detetar que o Vaultaire está instalado e que existem dados encriptados. Não conseguem determinar quantos cofres existem, o que contêm nem se existem cofres adicionais além dos revelados. Os dados encriptados são indistinguíveis de ruído aleatório. Isto é verificado pelo design, não apenas afirmado na política de privacidade.
A negação plausível funciona contra um agente estatal determinado?
Contra criptoanálise (quebrar a encriptação): sim. AES-256 não pode ser quebrado por nenhuma capacidade de agente estatal conhecida. Contra coerção (forçar a revelar padrões): a negação plausível significa que pode revelar um cofre e negar plausivelmente a existência dos restantes. Contra exploração de dispositivo (uso de zero-day para extrair dados de dispositivo em funcionamento): se o dispositivo está desbloqueado e o cofre aberto, os dados desencriptados estão em memória e são teoricamente acessíveis. A negação plausível protege dados em repouso, não dados em uso ativo.
Qual a diferença entre negação plausível e cofres ocultos?
Cofres ocultos são cofres não visíveis na interface da aplicação. Negação plausível é a propriedade de que a existência de cofres ocultos não pode ser provada. Uma aplicação pode ter cofres ocultos sem negação plausível se o registo de cofres ou um sinalizador de configuração os revelar. O Vaultaire fornece ambos: os cofres são ocultos por predefinição e a sua existência é fundamentalmente improvável.
A negação plausível pode ser usada com cópias de segurança na nuvem?
No Vaultaire, as cópias de segurança encriptadas do iCloud contêm todo o conjunto de dados encriptados. A cópia de segurança é um único blob encriptado. Preserva a negação plausível porque a cópia de segurança em si não contém nenhuma estrutura ao nível do cofre, é o mesmo conjunto encriptado indiferenciado que o armazenamento no dispositivo.
O Vaultaire implementa negação plausível real como propriedade arquitetural: cada padrão abre um cofre diferente, não existe lista de cofres, o armazenamento é preenchido com dados de enchimento, e nenhuma outra aplicação cofre encriptada atinge este nível de proteção.
Experimentar o Vaultaire gratuitamente