Mod constrângere: Ștergere de urgență a seifului

Modul constrângere din Vaultaire vă permite să desemnați un seif ca declanșator de constrângere. Desenarea modelului acelui seif îl deschide normal, dar distruge simultan sărurile criptografice pentru fiecare alt seif de pe dispozitiv, făcând datele lor irecuperabile permanent.

Ce este modul constrângere?

Modul constrângere este ultima linie de apărare. Este funcția pe care sperați că nu va trebui să o folosiți niciodată, concepută pentru momentul în care totul a eșuat: când cineva stă deasupra dvs., cerând acces la fișierele dvs. private și nu aveți altă opțiune decât să cedați.

Funcționează astfel: desemnați un seif ca seif de constrângere. Îl umpleți cu conținut credibil: câteva fotografii nevinovate, câteva documente banale. Apoi îi atribuiți un model, la fel ca oricărui alt seif. Din exterior este identic cu un seif normal.

Diferența constă în ceea ce se întâmplă când desenați acel model. Un model normal de seif decriptează fișierele din interior și nimic altceva. Modelul de constrângere face și asta: deschide seiful de constrângere și îi afișează conținutul pe ecran. Dar declanșează și distrugerea criptografică a fiecărui alt seif de pe dispozitivul dvs., în tăcere, în fundal.

Niciun dialog de confirmare nu apare. Niciun sunet de avertizare nu se aude. Niciun indicator de încărcare nu sugerează că se întâmplă ceva neobișnuit. Persoana care vă supraveghează vede seiful deschizându-se. Vede fotografiile. Vede exact ce se așteptase. Ce nu vede este că fiecare altă bucată de date criptate de pe dispozitivul dvs. tocmai a devenit permanent irecuperabilă.

Cum funcționează sub capotă

Înțelegerea mecanismului este importantă, deoarece securitatea modului constrângere depinde de faptul că implementarea sa este cu adevărat distructivă, nu doar ascunsă cosmetic.

Pasul 1: Desenați modelul de constrângere

Când desenați modelul atribuit seifului dvs. de constrângere, Vaultaire îl recunoaște ca declanșator de constrângere. Aplicația pornește două operații simultan: începe să decripteze și să afișeze conținutul seifului de constrângere (momeala) și lansează secvența de distrugere pentru fiecare alt seif.

Pasul 2: Cheile de criptare sunt șterse

Fiecare seif din Vaultaire este criptat cu propria sa cheie unică derivată din propriul său model unic. Aceste chei nu sunt stocate în text clar: sunt rederivate din model la fiecare utilizare. Fiecare seif stochează însă sarea și metadatele necesare pentru procesul de derivare a cheilor. Modul constrângere nu distruge doar fișierele criptate. Distruge sarea criptografică și parametrii de derivare a cheilor pentru fiecare seif cu excepția seifului de constrângere.

Fără sare, chiar și desenarea corectă a modelului nu poate rederiva cheia. Legătura matematică dintre modelul dvs. și cheia de criptare este ruptă permanent.

Pasul 3: Datele criptate devin zgomot

Fișierele criptate în sine pot exista pe disc pentru scurt timp, dar sunt acum indistinguibile de datele aleatoare. Fără cheia de decriptare corectă, care nu poate fi derivată deoarece sarea a dispărut, conținutul este matematic irecuperabil. Niciun instrument criminalistic, nicio agenție guvernamentală, nicio cantitate de putere de calcul nu poate reconstrui datele originale.

Pasul 4: Seiful de constrângere se deschide normal

În timp ce toate acestea se întâmplă, seiful de constrângere se deschide pe ecran exact cum s-ar deschide orice alt seif. Persoana care vă constrânge vede fotografiile încărcându-se, fișierele afișându-se, un seif cu aspect normal. Nu există nicio dovadă vizuală că s-a întâmplat altceva. Întreaga secvență de distrugere rulează în fundal, de obicei în mai puțin de o secundă.

De ce nimeni nu va observa

Întregul scop al modului constrângere este să fie invizibil. Dacă un atacator ar putea detecta distrugerea, ar putea-o opri, inversa sau vă putea pedepsi pentru că l-ați declanșat. Vaultaire este proiectat astfel încât să nu existe nicio diferență observabilă între deschiderea seifului de constrângere și deschiderea unui seif obișnuit.

Niciun dialog de confirmare

Majoritatea acțiunilor distructive din software vin cu un avertisment: „Ești sigur?" Modul constrângere nu are unul. Un dialog de confirmare ar fi o deconspirare. În momentul în care desenați modelul, acțiunea este executată. Nu îl puteți declanșa accidental decât dacă desenați accidental un model specific și complex pe o grilă 5×5, ceea ce nu se întâmplă prin accident.

Nicio diferență de timing

Seiful de constrângere se deschide la fel de repede ca orice alt seif. Distrugerea cheilor celorlalte seifuri rulează asincron, în paralel cu decriptarea conținutului seifului de constrângere. Un observator cu cronometru nu ar detecta nicio întârziere.

Nicio dovadă rămasă

După activarea modului constrângere, aplicația nu prezintă nicio înregistrare a evenimentului. Nu există nicio intrare în jurnal, nicio notificare „seifuri șterse", nicio modificare a interfeței aplicației. La următoarea deschidere a aplicației, aceasta se comportă ca și cum seiful de constrângere ar fi fost singurul seif care a existat vreodată. Deoarece, funcțional vorbind, este.

Ce se distruge

Precizia contează aici. Modul constrângere nu efectuează o ștergere teatrală în care fișierele sunt mutate în coș. Efectuează o ștergere criptografică care face recuperarea fizic imposibilă.

Sarea criptografică

Fiecare seif are o sare unică, generată aleatoriu, utilizată în derivarea cheilor. Sarea este componenta critică care leagă modelul desenat de cheia de criptare specifică. Când modul constrângere distruge sarea, rupe permanent această legătură. Chiar dacă ați memora modelul fiecărui alt seif, funcția de derivare a cheilor fără sarea originală ar produce o cheie diferită, incorectă.

Parametrii de derivare a cheilor

Pe lângă sare, fiecare seif stochează parametrii necesari pentru derivarea cheilor: numere de iterații, identificatori de algoritmi și vectori de inițializare. Totul este șters. Fără ei, reconstruirea cheii de criptare nu este doar dificilă: este matematic nedefinită.

Datele criptate

Blob-urile criptate de pe disc devin orfane. Sunt secvențe de octeți care, fără cheia corectă, sunt indistinguibile de datele generate de un generator de numere aleatoare. Analiza criminalistică a discului va găsi date criptate fără material de cheie corespunzător, fără sare și fără metadate. Arată exact ca sectoarele de disc care au fost odată folosite și apoi eliberate, ceea ce și sunt.

Când să folosiți modul constrângere

Modul constrângere este conceput pentru situații în care vă confruntați cu constrângere fizică sau coerciție legală și ați decis că distrugerea datelor este mai acceptabilă decât divulgarea lor. Este o decizie personală cu consecințe grave, iar Vaultaire vă oferă instrumentul fără a prelua decizia.

Trecerea frontierelor

În multe țări, agenții de frontieră pot cere legal să deblocați dispozitivul și să îl predați pentru inspecție. Dacă refuzați, pot urma detenție, refuzul intrării sau confiscarea dispozitivului. Desenarea modelului de constrângere înainte de a preda telefonul garantează că nu există nimic de găsit: doar un seif cu câteva fotografii de vacanță.

Constrângere fizică

Dacă cineva vă obligă să deblocați telefonul sub amenințare, aveți nevoie de o modalitate de a respecta fără a da cu adevărat ce doresc. Modul constrângere vă permite să desenați un model care arată ca o cooperare. Cel care vă constrânge vede seiful deschizându-se. Nu vede distrugerea simultană a oricărui altceva.

Confiscarea dispozitivului

Dacă aveți motive să credeți că dispozitivul dvs. va fi confiscat, fie de guvern, de un angajator sau de oricine altcineva, puteți activa preventiv modul constrângere. Când dispozitivul ajunge la un criminalist, nu va fi nimic de analizat.

Protecția jurnaliștilor și a surselor

Jurnaliști care lucrează în medii ostile, activiști care operează sub supraveghere și oricine ale cărui date i-ar putea pune în pericol pe ei sau pe alții. Modul constrângere transformă un moment de vulnerabilitate într-un moment de protecție.

Configurarea seifului de constrângere

Configurarea modului constrângere durează aproximativ două minute. A-l face bine și credibil necesită puțin mai multă gândire.

Desemnați seiful

În setările Vaultaire desemnați un seif ca seif de constrângere. Acel seif se va deschide când desenați modelul de constrângere, deci trebuie să conțină conținut care arată autentic și satisface așteptările unui observator. Un seif gol este suspect. Un seif cu conținut evident fals este suspect. Un seif cu câteva fotografii personale cu aspect normal este ideal.

Umpleți-l cu conținut credibil

Puneți în seiful de constrângere conținut pe care cineva l-ar aștepta într-un seif privat: câteva fotografii personale, poate o scanare a unui document, câteva fișiere care par suficient de private pentru a fi încuiate, dar nevinovate pentru a rezista inspecției. Scopul nu este să înșelați o investigație criminalistică, ci să satisfaceți persoana din fața dvs. în acel moment.

Alegeți un model natural

Modelul de constrângere trebuie să fie ceva ce puteți desena sub stres, rapid, fără ezitare. Dacă ezitați sau îl desenați greșit, deschideți seiful greșit sau niciunul. Exersați-l până îl aveți în memoria musculară. Nu este timp pentru un model complex cu 12 puncte. Simplu și rapid este mai bine: 5 până la 7 puncte, o formă pe care mâna dvs. o poate urma fără să se gândească.

Testați-l

Înainte de a-l folosi, testați modul constrângere într-un mediu sigur. Creați seifuri de test, desemnați seiful de constrângere și declanșați-l. Verificați că celelalte seifuri au dispărut. Verificați că seiful de constrângere s-a deschis normal. Apoi configurați totul pentru utilizare reală.

Nu poate fi anulat

Aceasta trebuie spusă clar: odată activat modul constrângere, distrugerea este permanentă. Nu există recuperare. Nu există o plasă de siguranță „Ups, am desenat modelul greșit". Nu există o cheie de rezervă stocată undeva pe un server. Nu există nicio modalitate prin care suportul Vaultaire să vă recupereze datele.

Cheile de criptare au dispărut. Sărurile au dispărut. Datele sunt zgomot aleatoriu. Acesta este scopul funcției. Dacă distrugerea ar fi reversibilă, nu ar fi distrugere: ar fi ascundere. Iar ascunderea este ceva ce un adversar suficient de motivat poate inversa.

Modul constrângere este proiectat pentru oamenii care înțeleg acest compromis și au decis în prealabil că preferă să piardă datele permanent decât să permită altcuiva accesul la ele. Dacă nu sunteți sigur că ați accepta acest compromis, nu activați modul constrângere. Dacă sunteți sigur, este cea mai puternică protecție pe care o oferă Vaultaire.

Ireversibilitatea nu este un defect. Este întregul scop. O acțiune distructivă care poate fi anulată nu este distructivă: este teatrală. Modul constrângere nu este teatru. Este o garanție.