Режим примусу: екстрене знищення сховища
Вас змушують розблокувати телефон. Хтось спостерігає. Ви малюєте візерунок на сітці, і сховище відкривається. Воно виглядає нормально. Але за лаштунками кожне інше сховище на вашому пристрої щойно було назавжди знищено. Ключі шифрування зникли. Дані тепер є випадковим шумом. І ніхто нічого не побачив.
Режим примусу у Vaultaire дає змогу призначити сховище тригером примусу. Малювання візерунка цього сховища відкриває його нормально, але одночасно знищує криптографічні солі для кожного іншого сховища на пристрої, роблячи їхні дані назавжди невідновлюваними.
Що таке режим примусу?
Режим примусу: це останній рубіж захисту. Функція, яку ви сподіваєтеся ніколи не використовувати, розроблена для моменту, коли все інше вже не допоможе: коли хтось стоїть над вами, вимагаючи доступу до ваших приватних файлів, і у вас немає іншого виходу, крім як підкоритися.
Ось як це працює: ви призначаєте одне сховище як сховище примусу. Наповнюєте його правдоподібним вмістом: кількома нешкідливими фотографіями, деякими буденними документами. Потім призначаєте йому візерунок, як і будь-якому іншому сховищу. Ззовні воно не відрізняється від звичайного.
Різниця полягає в тому, що відбувається, коли ви малюєте цей візерунок. Звичайний візерунок сховища розшифровує файли всередині нього: і більше нічого. Візерунок примусу також відкриває сховище примусу, показуючи його вміст на екрані. Але одночасно, беззвучно, у фоновому режимі, запускається криптографічне знищення кожного іншого сховища на вашому пристрої.
Жодний діалог підтвердження не з'являється. Жоден попереджувальний звук не лунає. Жоден індикатор завантаження не вказує на щось незвичайне. Особа, що спостерігає, бачить відкрите сховище. Бачить фотографії. Бачить саме те, що очікувала побачити. Вона не бачить, що кожен інший фрагмент зашифрованих даних на вашому пристрої щойно став назавжди невідновлюваним.
Режим примусу: це не функція конфіденційності. Це функція виживання. Вона існує тому, що є ситуації, коли ціна доступу когось до ваших даних перевищує ціну їх втрати назавжди. Коли ви малюєте візерунок примусу, ви свідомо, беззвучно і безповоротно робите цей вибір.
Як це працює зсередини
Розуміння механіки важливе, оскільки безпека режиму примусу залежить від того, чи є реалізація справді деструктивною, а не просто косметично прихованою.
Крок 1: Ви малюєте візерунок примусу
Коли ви малюєте візерунок, призначений вашому сховищу примусу, Vaultaire розпізнає його як тригер примусу. Застосунок починає дві операції одночасно: розшифровку і відображення вмісту сховища примусу (приманки) та ініціювання послідовності знищення для кожного іншого сховища.
Крок 2: Ключі шифрування видаляються
Кожне сховище у Vaultaire зашифровано власним унікальним ключем, виведеним з власного унікального візерунка. Ці ключі не зберігаються у відкритому тексті: вони перегенеровуються з візерунка щоразу. Але кожне сховище також зберігає сіль і метадані, необхідні для процесу деривації ключа. Режим примусу не просто видаляє зашифровані файли. Він знищує криптографічну сіль і параметри деривації ключа для кожного сховища, крім сховища примусу.
Без солі навіть правильний візерунок не може відновити ключ. Математичний зв'язок між вашим візерунком і ключем шифрування розривається назавжди.
Крок 3: Зашифровані дані стають шумом
Самі зашифровані файли можуть ще деякий час фізично існувати на диску, але вони вже невідрізнені від випадкових даних. Без правильного ключа розшифрування, який більше неможливо вивести через відсутність солі, вміст математично невідновлюваний. Жоден криміналістичний інструмент, жодне відомство, жодний обсяг обчислювальних потужностей не зможе відновити вихідні дані.
Крок 4: Сховище примусу відкривається нормально
Поки все це відбувається, сховище примусу відкривається на екрані точно так само, як будь-яке інше сховище. Особа, що вас примушує, бачить фотографії, що завантажуються, файли, що з'являються, звичайний інтерфейс сховища. Жодних візуальних ознак того, що щось інше сталося. Вся послідовність знищення завершується у фоновому режимі, зазвичай менш ніж за секунду.
Чому ніхто не може цього помітити
Весь сенс режиму примусу полягає в тому, що він невидимий. Якби зловмисник міг виявити знищення, він міг би зупинити його, скасувати або покарати вас за активацію. Vaultaire спроектований так, що жодної помітної різниці між відкриттям сховища примусу і звичайного сховища не існує.
Без діалогу підтвердження
Більшість деструктивних дій у програмному забезпеченні супроводжуються попередженням: «Ви впевнені?» Режим примусу не має такого попередження. Діалог підтвердження розкрив би все. Щойно ви намалюєте візерунок, дія відбувається. Ви не можете випадково активувати його, якщо тільки не намалюєте випадково конкретний складний візерунок на сітці 5×5, що просто так не трапляється.
Без різниці в часі
Сховище примусу відкривається з тією ж швидкістю, що й будь-яке інше сховище. Знищення ключів інших сховищ відбувається асинхронно, паралельно з розшифруванням вмісту сховища примусу. Спостерігач з секундоміром не помітить жодної затримки.
Без залишкових слідів
Після активації режиму примусу застосунок не показує жодного запису про подію. Немає ні запису в журналі, ні сповіщення про видалення сховищ, ні змін в інтерфейсі застосунку. Наступного разу, коли застосунок відкриється, він поводитиметься так, ніби сховище примусу є єдиним, що коли-небудь існувало. Бо функціонально це так і є.
Що знищується
Точність тут важлива. Режим примусу не виконує театральне видалення, коли файли переміщуються до кошика. Він здійснює криптографічне очищення, що робить відновлення фізично неможливим.
Криптографічна сіль
Кожне сховище має унікальну, випадково згенеровану сіль, що використовується під час деривації ключа. Сіль є критичним компонентом, що зв'язує намальований візерунок з конкретним ключем шифрування. Коли режим примусу знищує сіль, цей зв'язок розривається назавжди. Навіть якщо ви пам'ятаєте візерунок кожного іншого сховища, функція деривації ключа без оригінальної солі дасть інший, неправильний ключ.
Параметри деривації ключа
Крім солі, кожне сховище зберігає параметри, необхідні для деривації ключа: кількість ітерацій, ідентифікатори алгоритмів і вектори ініціалізації. Все це видаляється. Без них відтворення ключа шифрування не просто ускладнюється: воно стає математично невизначеним.
Зашифровані дані
Зашифровані блоби на диску стають осиротілими. Це послідовності байтів, які без правильного ключа невідрізнені від даних, згенерованих генератором випадкових чисел. Криміналістичний аналіз диска виявить зашифровані дані без відповідного ключового матеріалу, без солі і без метаданих. Вони виглядатимуть точно як сектори диска, що колись використовувалися, а потім були звільнені: що по суті й є насправді.
Криміналістичний експерт, що аналізує пристрій після активації режиму примусу, знайде одне сховище зі звичайними даними і деякі осиротілі зашифровані блоки на диску. Неможливо визначити, чи ці блоки належали видаленим сховищам, кешованим даним застосунку або звичайному перезапису файлової системи. Навіть довести, що додаткові сховища взагалі існували, не вдасться.
Коли використовувати режим примусу
Режим примусу розроблений для ситуацій, коли ви стикаєтеся з фізичним або юридичним примусом і вирішили, що знищення даних кращє за їх розкриття. Це особисте рішення з серйозними наслідками, і Vaultaire надає інструмент, не приймаючи рішення за вас.
Перетин кордонів
У багатьох країнах прикордонники можуть законно вимагати розблокувати пристрій і передати його для перевірки. Якщо відмовитеся, вас можуть затримати, відмовити у в'їзді або конфіскувати пристрій. Малювання візерунка примусу перед передачею телефону гарантує, що знаходити нічого: лише одне сховище з кількома святковими фотографіями.
Фізичний примус
Якщо хтось змушує вас розблокувати телефон під загрозою, вам потрібен спосіб підкоритися, не надаючи фактично того, що вони хочуть. Режим примусу дає намалювати візерунок, що виглядає як співпраця. Зловмисник бачить відкрите сховище. Він не бачить одночасного знищення всього іншого.
Вилучення пристрою
Якщо у вас є підстави вважати, що ваш пристрій буде конфіскований: будь то урядом, роботодавцем або ким-небудь ще,: ви можете активувати режим примусу превентивно. До моменту, коли пристрій потрапить до криміналістичного аналітика, аналізувати вже нічого.
Захист журналістів і джерел
Журналісти, що працюють у ворожому середовищі, активісти під наглядом, усі, чиї дані могли б поставити під загрозу їх самих або інших. Режим примусу перетворює момент вразливості на момент захисту.
Налаштування сховища примусу
Налаштування режиму примусу займає близько двох хвилин. Зробити його переконливим: трохи більше роздумів.
Призначте сховище
У налаштуваннях Vaultaire ви призначаєте одне сховище як сховище примусу. Саме це сховище відкриватиметься при малюванні візерунка примусу, тому воно повинно містити правдоподібний вміст, що задовольнить очікування спостерігача. Порожнє сховище підозріло. Сховище з явно фальшивим вмістом підозріло. Сховище з кількома звичайними особистими фотографіями: ідеально.
Наповніть правдоподібним вмістом
Помістіть у сховище примусу вміст, який хтось очікував би знайти в приватному сховищі: кілька особистих фотографій, можливо, скан документа, деякі файли, які виглядають достатньо приватними, щоб виправдати блокування, але достатньо нешкідливими, щоб витримати перевірку. Мета: не обдурити криміналістичне розслідування, а задовольнити людину, що стоїть перед вами в цей момент.
Оберіть природний візерунок
Візерунок примусу має бути таким, який ви можете намалювати під тиском, швидко, без вагань. Якщо ви збентежитеся або намалюєте неправильно, відкриєте не те сховище або взагалі жодного. Відпрацьовуйте його до автоматизму. Це не час для складного 12-точкового візерунка. Щось просте і швидке підходить краще: 5–7 точок, форма, яку ваша рука може відтворити, не думаючи.
Протестуйте
Перш ніж він вам знадобиться, протестуйте режим примусу в безпечному середовищі. Створіть тестові сховища, призначте сховище примусу і активуйте його. Переконайтеся, що інші сховища зникли. Переконайтеся, що сховище примусу відкрилося нормально. Потім налаштуйте все по-справжньому.
Скасування неможливе
Це потрібно сказати чітко: після активації режиму примусу знищення є постійним. Відновлення неможливе. Немає страховки на випадок «Ой, я намалював не той візерунок». Немає резервного ключа на сервері десь. Немає можливості для служби підтримки Vaultaire відновити ваші дані.
Ключі шифрування зникли. Солі зникли. Дані є випадковим шумом. В цьому весь сенс. Якби знищення було оборотним, це було б не знищення, а приховування. А приховування достатньо мотивований зловмисник може скасувати.
Режим примусу розроблений для людей, які розуміють цей компроміс і заздалегідь вирішили, що краще назавжди втратити свої дані, ніж дозволити комусь іншому отримати до них доступ. Якщо ви не впевнені, що зробили б такий вибір, не вмикайте режим примусу. Якщо впевнені, це найпотужніший захист, який пропонує Vaultaire.
Незворотність: не недолік. Це весь сенс. Деструктивна дія, яку можна скасувати, не є деструктивною: вона є театральною. Режим примусу: не театр. Це гарантія.
Часті запитання
Що станеться, якщо я випадково намалюю візерунок примусу?
Знищення спрацьовує негайно і не може бути скасоване. Саме тому Vaultaire вимагає, щоб візерунок примусу був навмисним, конкретним візерунком на сітці 5×5: випадкове відтворення вкрай малоймовірне. Утім, відповідальність за вибір візерунка, який ви не намалюєте випадково, лежить на вас. Ніколи не використовуйте візерунок, схожий на один з ваших звичайних.
Чи можна відновити сховища з резервної копії iCloud після активації режиму примусу?
Якщо до активації режиму примусу у вас були увімкнені зашифровані резервні копії iCloud, ці копії досі містять зашифровані дані сховища і параметри деривації ключа. Відновлення з резервної копії, зробленої до події примусу, поверне ваші сховища. Проте якщо резервна копія синхронізується після активації режиму примусу, вона відображатиме знищений стан. Якщо ви передбачаєте потребу в режимі примусу, врахуйте це у своїй стратегії резервного копіювання.
Чи зможе криміналістичний аналітик визначити, що режим примусу був активований?
Ні. Після активації режиму примусу пристрій показує одне сховище зі звичайним вмістом. Немає ні журналу, ні запису, ні метаданих, що вказують на існування або знищення інших сховищ. Осиротілі зашифровані блоки на диску невідрізнені від звичайних артефактів файлової системи. Криміналістичний аналітик не матиме жодних доказів того, що режим примусу взагалі був увімкнений, не кажучи вже про його активацію.
Чи знищується саме сховище примусу?
Ні. Сховище примусу залишається недоторканим і повністю функціональним. Воно відкривається нормально, відображає свій вміст і продовжує працювати як звичайне сховище після події. Це принципово важливо: якби сховище, яке ви щойно відкрили, зникло, особа, що вас примушує, зрозуміла б, що щось сталося. Сховище примусу зберігається для підтримання ілюзії нормальної роботи.
Чи можна мати кілька сховищ примусу?
Ні. Ви призначаєте рівно одне сховище як сховище примусу. Це обмеження навмисне: кілька тригерів примусу підвищили б ризик випадкової активації і ускладнили б мисленнєву модель. Одне сховище, один візерунок, один результат.
Чи є режим примусу законним?
Vaultaire надає інструменти захисту даних. Як і коли ви їх використовуєте: ваше рішення і ваша відповідальність. Знищення власних даних загалом є законним у більшості юрисдикцій, але закони відрізняються: особливо щодо знищення доказів під час судових проваджень. Зверніться до юриста, якщо маєте питання щодо вашої конкретної ситуації. Vaultaire не надає юридичних консультацій.
Підготуйтеся до найгіршого
Налаштуйте режим примусу зараз, поки у вас є час. Коли він знадобиться, часу на налаштування не буде.
Завантажити Vaultaire безкоштовно