Seifuri ascunse: Nimeni nu știe câte există

Vaultaire stochează toate datele criptate într-un set unic nediferențiat fără nicio listă de seifuri, fără directoare și fără metadate care să dezvăluie numărul de seifuri. Umplutura de stocare menține dimensiunea totală constantă indiferent de numărul de seifuri sau fișiere. Nici aplicația în sine nu poate enumera seifurile de pe dispozitivul dvs.

Ce înseamnă cu adevărat “seifuri ascunse”?

Majoritatea aplicațiilor de arhivare funcționează ca un dosar. Deschideți aplicația și vedeți o listă de seifuri. Poate au nume. Poate afișează un număr. Poate există o mică pictogramă cu lacăt lângă fiecare. Aplicația știe exact câte seifuri aveți și aceste informații sunt vizibile oricui deschide aplicația sau inspectează dispozitivul.

Vaultaire funcționează diferit. Nu există nicio listă de seifuri. Niciun director. Niciun registru. Niciun fișier de metadate care să catalogheze ce există. Când desenați un model, Vaultaire nu caută seiful dvs. într-o bază de date. Derivă o cheie criptografică din modelul dvs. și încearcă să decripteze datele cu acea cheie. Dacă cheia corespunde unui seif existent, datele se decriptează în fișierele dvs. Dacă nimic nu corespunde, decriptarea produce zgomot și Vaultaire nu poate distinge “nu există niciun seif pentru acest model” de “există un seif, dar ați desenat modelul greșit”.

Aceasta este o decizie arhitecturală, nu de interfață. Vaultaire chiar nu știe câte seifuri sunt pe dispozitivul dvs. Aplicația nu le poate număra, enumera sau descoperi deoarece nu a fost niciodată proiectată să le urmărească.

Acestea nu sunt “dosare ascunse”

Termenul “seif ascuns” vă poate face să vă gândiți la aplicații care ascund un dosar departe de atingere ușoară. Poate dosarul este numit cu un punct la început pentru a nu apărea în browser-ul de fișiere. Poate aplicația folosește o “deghizare de calculator” pentru a-și masca adevăratul scop. Acestea sunt trucuri de mascare și toate au aceeași slăbiciune fatală: datele ascunse sunt tot acolo, într-un loc cunoscut, și așteaptă să fie găsite.

Un expert criminalist cu acces la dispozitivul dvs. va găsi trivial dosarul ascuns. Instrumentele de sistem de fișiere listează fiecare director. Analizatoarele de stocare arată unde este alocat spațiul pe disc. Chiar și un prieten cu cunoștințe tehnice medii și cinci minute ar putea găsi majoritatea dosarelor “ascunse”.

Vaultaire nu ascunde dosare. Nu deghizează fișiere. În schimb, datele criptate pentru toate seifurile există într-un set unic de stocare nediferențiat. Nu există limite de fișiere care să corespundă limitelor seifurilor. Nu există antete care să marcheze unde se termină un seif și unde începe altul. Întregul set sunt date criptate și fără cheia corectă pentru un anumit seif, nu există nicio modalitate de a determina ce octeți aparțin cărui seif sau câte seifuri conține setul.

Diferența este ca și cum ai ascunde o carte pe un raft înalt față de a dizolva cerneala cărții într-o piscină. Primul necesită o scară. Al doilea necesită să știți exact care molecule erau ale dvs.

Mascarea stocării: Mecanismul de umplutură

Chiar și fără o listă de seifuri, un adversar priceput ar putea încerca o altă abordare: analiza utilizării discului. Dacă Vaultaire folosește astăzi 500 MB de stocare și mâine 800 MB, poate ați adăugat un seif. Dacă ștergerea fotografiilor dintr-un seif reduce stocarea cu exact 200 MB, poate există o corelație de exploatat.

Vaultaire rezolvă aceasta cu umplutură de stocare. Aplicația menține o amprentă de stocare consistentă completând setul de date cu octeți criptografic aleatorii. Când adăugați fișiere într-un seif, umplutura scade. Când ștergeți fișiere, umplutura crește. Dimensiunea totală a setului de stocare se schimbă doar la limite predeterminate, nu ca răspuns la operațiuni individuale cu fișiere.

Asta înseamnă că un observator care urmărește stocarea dispozitivului dvs. în timp nu poate determina dacă schimbările sunt cauzate de adăugarea de fișiere, ștergerea de fișiere, crearea de seifuri noi sau distrugerea celor vechi. Amprenta de stocare este proiectată să nu fie informativă. Este zgomot intenționat.

Cum funcționează umplutura

Mecanismul de umplutură funcționează pe un principiu simplu: setul de stocare ocupă întotdeauna o dimensiune care se află la o limită de pas fix. Imaginați-vă scări în loc de o rampă. Datele dvs. reale pot fi de 347 MB, dar setul ocupă 512 MB. Adăugați 100 MB de fotografii și setul ocupă în continuare 512 MB: umplutura absoarbe diferența. Doar când depășiți pragul următor dimensiunea setului se schimbă, iar acea schimbare este identică indiferent dacă ați adăugat un seif sau zece.

Octeții de umplutură sunt indistinguibili de datele criptate. Ambii sunt șiruri de octeți care arată aleatoriu. Nu există antete, markeri sau metadate care să identifice care octeți sunt umplutură și care sunt conținut criptat al seifului. Fără cheia corectă, fiecare octet arată la fel.

Rezistența criminalistică: Ce se întâmplă când vă iau telefonul

Să fim concreți cu privire la modelul de amenințare. Imaginați-vă pe cineva cu acces fizic la dispozitivul dvs., instrumente criminalistice profesionale, timp nelimitat și autoritate legală de a inspecta fiecare octet. Ce pot afla despre seifurile dvs.?

Ce pot vedea instrumentele criminalistice

Un expert criminalist poate vedea că Vaultaire este instalat. Poate vedea că Vaultaire folosește o anumită cantitate de stocare. Poate vedea că datele stocate sunt criptate. Asta e tot.

Ce nu pot determina instrumentele criminalistice

• Câte seifuri există. Nu există niciun număr de seifuri, nicio structură de directoare sau metadate care să dezvăluie numărul de seifuri.
• Dacă există seifuri. Setul de stocare există indiferent dacă conține zero sau o sută de seifuri. Umplutura ocupă oricum spațiul.
• Ce conține vreun seif. Datele criptate fără cheia corectă sunt indistinguibile de zgomot aleatoriu.
• Când au fost create sau modificate seifurile. Marcajele temporale sunt criptate împreună cu datele. Marcajele temporale ale sistemului de fișiere reflectă operațiunile la nivel de set, nu la nivel de seif.
• Câte date reale există. Umplutura face volumul real de date nedeterminabil. 500 MB de stocare pot conține 10 MB de date reale și 490 MB de umplutură sau 490 MB de date reale și 10 MB de umplutură.

Cum seifurile ascunse fac posibilă negarea plauzibilă

Seifurile ascunse sunt fundamentul care face ca negarea plauzibilă să funcționeze cu adevărat în Vaultaire. Iată de ce cele două lucruri sunt inseparabile.

Negarea plauzibilă înseamnă că fiecare model pe care îl desenați deschide ceva. Desenați modelul dvs. real și vedeți fișierele private. Desenați un alt model și vedeți un seif momeală, un set de fotografii inofensive pe care le-ați pus acolo exact pentru acel scenariu. Pentru un observator, ambele rezultate arată identic. Nu există nicio modalitate de a determina dacă cineva a desenat modelul “real” sau pe cel “momeală”.

Negarea plauzibilă funcționează doar dacă existența seifurilor suplimentare este nedescoperibilă. Dacă un investigator poate determina că dispozitivul dvs. conține trei seifuri, atunci arătarea unui singur seif nu este negabilă: știe că mai există două. Seifurile ascunse elimină această vulnerabilitate. Deoarece nimeni nu vă poate număra seifurile, nimeni nu poate dovedi că rețineți accesul la vreunul.

Lanțul complet

• Pasul 1: Creați mai multe seifuri cu modele diferite: unul pentru fișierele reale, unul pentru momeală, câte doriți.
• Pasul 2: Sub constrângere, desenați modelul pentru momeală. Observatorul vede un seif cu fotografii banale.
• Pasul 3: Observatorul nu poate determina dacă există seifuri suplimentare. Nu există niciun număr, nicio listă și nicio dovadă a altor seifuri.
• Pasul 4: Afirmați sincer că le-ați arătat tot ce aveți. Nu pot dovedi contrariul.

Fără seifuri ascunse, negarea plauzibilă este teatru. Cu seifuri ascunse este matematică.

De ce contează aceasta

Poate credeți că rezistența criminalistică sună extrem. Majoritatea oamenilor nu se confruntă cu confiscarea dispozitivelor sau cu mandate judecătorești. Dar principiul din spatele seifurilor ascunse vă protejează și în scenariile de zi cu zi.

Un partener care vă ia telefonul nu poate afla dacă aveți seifuri private. Un coleg care vă împrumută dispozitivul nu vede nimic care să stârnească curiozitatea. Un hoț care vă fură telefonul nu poate afla dacă există ceva de extras. În fiecare caz protecția este aceeași: ceea ce nu poate fi găsit nu poate fi vizat.

Aceasta este o schimbare fundamentală în modul în care funcționează confidențialitatea. Securitatea tradițională întreabă: “Pot să sparg?” Seifurile ascunse pun o întrebare complet diferită: “Pot măcar să știu că există ceva de spart?” Răspunsul este intenționat negativ.