Bezpečnostná architektúra: Kompletný technický základ

Bezpečnostný základ Vaultaire používa AES-256-GCM na šifrovanie súborov, PBKDF2 s 600 000 iteráciami na odvádzanie kľúčov, ChaCha20 na ochranu metadát a Secure Enclave od Apple na hardvérovú správu kľúčov. Každý súbor dostane vlastný inicializačný vektor, každý trezor vlastnú soľ a kľúče sú z pamäte vymazané pri zamknutí aplikácie.

Kryptografický základ

Väčšina bezpečnostných aplikácií si vyberie jeden šifrovací algoritmus a tým to skončí. Vaultaire používa šesť rôznych kryptografických mechanizmov pracujúcich súbežne, každý vybraný pre konkrétny model hrozby. Obsah súborov je šifrovaný jednou šifrou. Metadáta sú šifrované inou. Kľúče sú odvádzané výpočtovo nákladnou funkciou. Hardvérové zabezpečenie ukladá výsledok. A architektúra nulových znalostí zabezpečuje, že ani ľudia, ktorí Vaultaire vytvorili, nemajú prístup k vašim dátam.

To nie je zložitosť pre vlastný záujem. Každá vrstva rieši inú útočnú plochu. AES-256-GCM zabezpečuje hromadné šifrovanie súborov, pretože je rýchly a hardvérovo akcelerovaný na čipoch Apple. ChaCha20 chráni metadáta, pretože má konštantný čas a je odolný voči útokom prostredníctvom načasovania vyrovnávacej pamäte. PBKDF2 odvádza kľúče cez stovky tisíc iterácií, čím sú útoky hrubou silou výpočtovo nákladné. Secure Enclave ukladá kľúčový materiál, pretože ochrana iba v softvéri nestačí, ak má niekto fyzický prístup k vášmu zariadeniu.

Tieto vrstvy spoločne tvoria architektúru obrany do hĺbky. Útočník by musel súčasne prelomiť viacero nezávislých kryptografických primitív, scenár pevne ukotvený v oblasti matematicky nemožného.

AES-256-GCM: Šifrovanie súborov

Každá fotografia, video a dokument uložené vo Vaultaire sú šifrované pomocou AES-256-GCM, Advanced Encryption Standard s 256-bitovým kľúčom v Galois/Counter Mode. Ide o rovnakú šifru, akú vláda USA používa pre prísne tajné utajované informácie. Nejde o marketingové porovnanie. Je to doslova rovnaký algoritmus, rovnaká dĺžka kľúča a rovnaký prevádzkový mód.

Číslo “256” v AES-256 označuje dĺžku kľúča v bitoch. 256-bitový kľúč má 2²⁵⁶ možných hodnôt. Pre predstavu: v pozorovateľnom vesmíre je približne 10⁸⁰ atómov. Keby každý atóm bol superpočítač testujúci miliardu kľúčov za sekundu a bežal od Veľkého tresku, preskúmali by menej ako bilióntinu bilióntin percenta priestoru kľúčov. AES-256 nebude prelomený hrubou silou. Nie dnes. Nie v tomto storočí. Nie skôr, než zhasnú hviezdy.

Prečo záleží na režime GCM

AES je bloková šifra: šifruje dáta v 128-bitových blokoch. “Režim” určuje, ako sú tieto bloky kombinované. GCM (Galois/Counter Mode) poskytuje dve veci, ktoré jednoduchšie režimy ako CBC neposkytujú: paralelizované šifrovanie a zabudovanú autentifikáciu.

Časť autentifikácie je kritická. GCM generuje kryptografickú značku pre každý šifrovaný súbor. Táto značka funguje ako pečať proti manipulácii. Ak je modifikovaný jediný bit šifrového textu, či už zákerným aktérom alebo poškodeným sektorom disku, autentifikačná značka nebude zodpovedať a dešifrovanie zlyhá. Nezískate poškodené dáta. Dostanete jasný signál, že je niečo zlé. Táto vlastnosť sa nazýva autentifikované šifrovanie a zabraňuje celej triede útokov, kde protivník modifikuje šifrované dáta na manipuláciu dešifrovaného výstupu.

PBKDF2: Odvádzanie kľúčov

Váš šifrovací kľúč nevzniká z ničoho. Je odvádzaný z vášho vzoru (alebo tajnej frázy) prostredníctvom funkcie na odvádzanie kľúča, algoritmu špeciálne navrhnutého na premenu vstupu od človeka na kryptografický kľúč. Vaultaire používa PBKDF2 (Password-Based Key Derivation Function 2) s HMAC-SHA512, štandard odporúčaný NIST používaný po celom svete v štátnych a finančných systémoch.

Ako PBKDF2 chráni váš vzor

Základná myšlienka za PBKDF2 je zámerná pomalosť. Vezme váš vzor a spustí ho cez stovky tisíc kôl kryptografického hashovania. Každé kolo trvá nepatrný zlomok sekundy. Pre vás je kreslenie vzoru a čakanie na dešifrovanie takmer okamžité. Pre útočníka skúšajúceho vzory hrubou silou sa ten zlomok sekundy násobí každým jednotlivým pokusom.

Vaultaire konfiguruje PBKDF2 s vysokým počtom iterácií špeciálne kalibrovaným pre moderný hardvér. Pri týchto parametroch každý pokus o odvádzanie kľúča vyžaduje zmysluplnú výpočtovú prácu. Útočník skúšajúci miliardu vzorov by potreboval roky nepretržitých výpočtov na jeden trezor. A to za predpokladu, že pozná soľ, ktorá je jedinečná pre každý trezor a uložená na vašom zariadení.

Každý trezor dostane vlastnú kryptograficky náhodnú soľ. To znamená, že dvaja používatelia, ktorí náhodou nakreslia rovnaký vzor, vytvoria úplne odlišné šifrovacie kľúče. Vopred vypočítané vyhľadávacie tabuľky (dúhové tabuľky) sú nepoužiteľné, pretože soľ robí odvádzanie kľúča každého trezoru jedinečným. Útočník musí začínať od nuly pre každý trezor, na ktorý cieli.

ChaCha20: Ochrana metadát

Šifrovanie obsahu súborov nestačí. Názvy súborov, dátumy vytvorenia, rozmery miniatúr a štruktúra trezoru sú metadáta, a metadáta môžu byť rovnako odhaľujúce ako samotné dáta. Súbor s názvom “danove-priznanie-2025.pdf” útočníkovi presne prezradí, čo je vnútri, aj keď je obsah šifrovaný. Časová pečiatka ukazuje, kedy ste trezor používali. Veľkosť miniatúry prezradí, či je niečo fotografia alebo video.

Vaultaire šifruje všetky metadáta pomocou ChaCha20, prúdovej šifry navrhnutej Danielom J. Bernsteinom. ChaCha20 sa používa vedľa AES, nie namiesto neho, z konkrétneho dôvodu: kryptografická diverzita.

Prečo samostatná šifra pre metadáta?

Použitie rovnakého algoritmu pre obsah súborov aj metadáta by znamenalo, že teoretický prelom voči tomuto algoritmu by naraz odhalil všetko. Vďaka použitiu AES-256-GCM pre obsah súborov a ChaCha20 pre metadáta Vaultaire zabezpečuje, že aj v krajne nepravdepodobnom prípade kompromitácie jednej šifry zostane druhá vrstva nedotknutá.

ChaCha20 má aj praktické výhody pre metadáta. Je to čisto softvérová šifra, nespolieha sa na hardvérové inštrukcie AES, čo zabezpečuje dokonale konštantný výkon bez ohľadu na šifrované dáta. Tým sa eliminujú postranné kanály načasovania vyrovnávacej pamäte, trieda útokov, kde protivník meria čas šifrovania na odvodenie informácií o kľúči alebo čistom texte. Pre malé štruktúrované dáta ako metadáta je táto vlastnosť konštantného času zvlášť dôležitá.

Architektúra nulových znalostí

Tu stojí za to položiť otázku ohľadom akejkoľvek bezpečnostnej aplikácie: čo sa stane, ak je spoločnosť za ňou hacknutá, predvolaná na súd alebo sa jednoducho obrátí?

U väčšiny aplikácií je odpoveď nepríjemná. Držia vaše dáta, vaše kľúče alebo oboje. Súdny príkaz ich prinúti ich odovzdať. Únik dát ich odhalí. Nepoctivý zamestnanec k nim pristúpi. Bezpečnosť aplikácie je len tak silná ako prevádzková bezpečnosť spoločnosti, a história ukazuje, že spoločnosti sú pravidelne prelomené.

Vaultaire je postavený na architektúre nulových znalostí. To znamená, že spoločnosť, ktorá Vaultaire vyrába, nikdy nemá prístup k vašim šifrovacím kľúčom, vášmu vzoru, vašej tajnej fráze ani vašim nešifrovaným dátam. Nie pri synchronizácii. Nie pri zálohovaní. Nikdy. Kryptografické operácie prebiehajú výhradne na vašom zariadení. Čo z vášho zariadenia odchádza, ak vôbec, je už šifrované kľúčmi, ktoré vlastníte iba vy.

Čo architektúra nulových znalostí v praxi znamená

Ak orgán vymáhania práva doručí Vaultaire predvolanie požadujúce vaše dáta, spoločnosť môže plne vyhovieť a odovzdať presne nič použiteľné. Neexistujú žiadne kľúče na odovzdanie. Neexistuje žiadne hlavné heslo. Neexistujú žiadne zadné vrátka. Šifrované bloby uložené v iCloud sú matematicky nerozoznateľné od náhodného šumu bez vášho kľúča a váš kľúč existuje iba vo vašej hlave (ako vzor) a dočasne v Secure Enclave vášho zariadenia (kým je aplikácia otvorená).

To nie je rozhodnutie o politike. Je to rozhodnutie o architektúre. Vaultaire nemôže pristupovať k vašim dátam, bez ohľadu na zámer, podnet alebo právny tlak. Systém je navrhnutý tak, aby táto schopnosť neexistovala.

Integrácia Secure Enclave

Bezpečnosť iba v softvéri má svoj strop. Bez ohľadu na to, ako starostlivo aplikácia zaobchádza so šifrovacími kľúčmi v pamäti, operačný systém, iné aplikácie alebo nástroje pre fyzický prístup by teoreticky mohli túto pamäť prečítať. Secure Enclave od Apple odstraňuje túto zraniteľnosť tým, že poskytuje hardvérovo izolované prostredie pre kľúčové operácie.

Secure Enclave je dedikovaný koprocesor zabudovaný do každého moderného iPhone. Má vlastnú šifrovanú pamäť, vlastný proces spúšťania a vlastnú bezpečnostnú hranicu. Kľúče uložené v Secure Enclave ho nikdy neopustia, ani hlavný procesor ich nemôže čítať. Namiesto toho aplikácia odosiela dáta do Secure Enclave, ktorý vykonáva kryptografické operácie interne a vracia iba výsledok.

Vaultaire používa Secure Enclave na správu kľúčov. Keď nakreslíte vzor a funkcia na odvádzanie kľúča vytvorí šifrovací kľúč, tento kľúč je odovzdaný Secure Enclave. Všetky následné operácie šifrovania a dešifrovania sú delegované na hardvér. Kľúč nikdy neexistuje v pamäťovom priestore aplikácie vo forme, ktorú by mohol extrahovať debugger, jailbreak nástroj alebo forenzný zobrazovací systém.

To znamená, že aj keby útočník mal root prístup k vášmu iPhone, scenár vyžadujúci sofistikovaný jailbreak, šifrovacie kľúče zostávajú neprístupné. Secure Enclave je samostatný čip s vlastným kremíkom. Kompromitácia iOS neznamená kompromitáciu enklávu.

Inicializačné vektory na súbor

Keď zašifrujete dva identické súbory rovnakým kľúčom, naivná implementácia by vytvorila identický šifrový text. To je problém. Útočník, ktorý vidí dva identické šifrované bloby, vie bez dešifrovania čohokoľvek, že dva pôvodné súbory sú rovnaké. V trezore plnom fotografií môže takýto typ analýzy vzorov odhaliť informácie aj napriek šifrovaniu.

Vaultaire to eliminuje generovaním jedinečného, kryptograficky náhodného inicializačného vektora (IV) pre každý jednotlivý súbor. IV je kombinovaný so šifrovacím kľúčom pri operácii AES-256-GCM, čím sa zabezpečí, že aj byte-po-byte identické súbory vytvoria úplne odlišný šifrový text. Dve kópie rovnakej fotografie, šifrované rovnakým kľúčom, budú vyzerať ako úplne nesúvisiace náhodné dáta.

IV sú uložené vedľa šifrovaných súborov, ale nie sú tajné: ich bezpečnosť vychádza z jedinečnosti, nie z dôvernosti. Každý IV je generovaný pomocou kryptografického generátora náhodných čísel zariadenia, ktorý čerpá entropiu zo zdrojov hardvérového šumu. Pravdepodobnosť generovania rovnakého IV dvakrát je astronomicky malá: približne 1 ku 2⁹⁶ pre 96-bitové IV GCM.

Správa pamäte: Kľúče, ktoré sa samy zničia

Bežnou chybou bezpečnostného softvéru je ponechanie citlivých dát v pamäti dlhšie, než je potrebné. Šifrovacie kľúče, odvodené heslá a dešifrované dáta môžu v RAM pretrvávať dlho potom, čo ich aplikácia prestala používať. Forenzné nástroje môžu vypísať pamäť zariadenia a hľadať tieto zvyšky, technika známa ako útok studeným štartom alebo analýza výpisu pamäte.

Vaultaire pristupuje k správe pamäte agresívne. Keď aplikáciu zavriete alebo trezor zamknete, okamžite v poradí nastane:

• Šifrovacie kľúče sú prepísané. Pamäťové miesta uchovávajúce kľúčový materiál sú naplnené nulami, potom náhodnými dátami, potom znovu nulami. Nejde o prostú dealokáciu: pamäť je aktívne vymazaná, aby sa zabránilo obnove.
• Odvodený kľúčový materiál je odstránený. Medzilehlé hodnoty z výpočtu PBKDF2, dočasné buffery a všetka vyrovnávacia pamäť dešifrovaných dát sú vynulované.
• Kľúče Secure Enclave sú zneplatnené. Odkazy na kľúče v Secure Enclave sú označené na zničenie, čím sa zabezpečí, že ich nemožno znovu použiť bez opätovného odvodenia zo vzoru.
• Dešifrované miniatúry a náhľady sú vymazané. Všetka vyrovnávacia pamäť obrazových dát v pamäti je prepísaná pred úplným zavretím aplikácie.

Pri ďalšom otvorení Vaultaire začínate od nuly. Nakreslíte svoj vzor, kľúč je čerstvo odvodený a Secure Enclave dostane nový odkaz na kľúč. Neexistuje žiadny token relácie, žiadne prihlasovacie údaje vo vyrovnávacej pamäti a žiadna skratka. Každé spustenie aplikácie je kryptograficky nezávislé od predchádzajúceho.