安全架构:完整的技术堆栈
Vaultaire 不依赖于单一算法或单一巧妙技巧。它使用分层加密架构,其中每个组件都有特定的工作,任何一层的失败都不会危及其他层。这是您的私人数据与世界其他数据之间的每一个密码、协议和设计决策。
Vaultaire 的安全栈使用 AES-256-GCM 加密文件,使用 PBKDF2 进行 600,000 次迭代来派生密钥,使用 ChaCha20 保护元数据,并借助 Apple 的 Secure Enclave 进行硬件支持的密钥管理。每个文件都有自己的初始化向量,每个保管库都有自己的盐值,应用锁定时密钥会从内存中擦除。
加密堆栈
大多数安全应用程序都会选择一种加密算法,然后就到此为止了。Vaultaire 使用六种不同的加密机制协同工作,每种机制都针对特定的威胁模型进行选择。文件内容使用一种密码进行加密。元数据是用另一种加密的。密钥是通过计算量大的函数导出的。硬件安全性存储结果。零知识架构确保即使是构建 Vaultaire 的人也无法访问您的数据。
这本身并不复杂。每层针对不同的攻击面。AES-256-GCM处理批量文件加密,因为它在 Apple 芯片上速度快且硬件加速。ChaCha20可以保护元数据,因为它是恒定时间的并且可以抵抗缓存定时攻击。PBKDF2通过数十万次迭代得出密钥,使得暴力攻击在计算上难以实现。的Secure Enclave存储密钥材料,因为当有人物理访问您的设备时,仅软件保护是不够的。
这些层共同构成了纵深防御架构。攻击者需要同时破解多个独立的加密原语,这种情况在数学上是不可能的。
将 Vaultaire 的安全性想象为一系列银行保管库门,每个门都需要不同类型的钥匙。突破一扇门对打开下一扇门无济于事。的文件密码, 元数据密码, 密钥导出函数,和硬件飞地都是独立的屏障。攻击者必须击败所有敌人,而不仅仅是一个。
AES-256-GCM:文件加密
存储在 Vaultaire 中的每张照片、视频和文档均使用 AES-256-GCM,高级加密标准进行加密,其中包含 256 位密钥伽罗瓦/计数器模式。这与美国政府用于绝密机密信息的密码相同。这不是营销比较。从字面上看,它们是相同的算法、相同的密钥大小和相同的操作模式。
AES-256 中的 “256” 指的是密钥长度(以位为单位)。256 位密钥有 2256可能值。正确地看待这个数字:大约有 10 个80原子。如果每个原子都是一台超级计算机,自大爆炸以来一直运行,每秒测试十亿个密钥,那么它们将探索不到百分之一万亿分之一的密钥空间。AES-256不会被暴力破解。不是今天。不是本世纪。不会在星星燃尽之前。
为什么 GCM 模式很重要
AES 是一种分组密码,它以 128 位块的形式加密数据。“mode” 确定这些块的组合方式。GCM(伽罗瓦/计数器模式)提供了 CBC 等简单模式所没有的两项功能:并行加密和内置身份验证。
认证部分至关重要。GCM 为每个加密文件生成一个加密标签。该标签起到防篡改密封的作用。即使密文的一位被修改,无论是恶意行为者还是损坏的磁盘扇区,身份验证标签都将不匹配,解密将失败。您不会得到损坏的数据。您会得到一个明确的信号,表明出现了问题。此属性称为经过身份验证的加密,它可以防止对手修改加密数据以操纵解密输出的一整类攻击。
PBKDF2:密钥派生
您的加密密钥并非凭空而来。它是通过密钥导出函数,从您的模式(或秘密短语)导出的,是一种专门设计用于将人类提供的输入转换为加密密钥的算法。Vaultaire 将 PBKDF2(基于密码的密钥派生函数 2)与 HMAC-SHA512 结合使用,HMAC-SHA512 是 NIST 推荐的标准,在全球政府和金融系统中使用。
PBKDF2 如何保护您的图案
PBKDF2背后的核心思想是故意缓慢。它采用您的模式并对其进行数十万轮的加密哈希处理。每一轮只需要不到一秒的时间。对于您来说,绘制图案并等待解密几乎是瞬时的。对于试图通过暴力方式猜测模式的攻击者来说,每一秒的时间都会乘以每一次的猜测。
Vaultaire 配置 PBKDF2 具有专门针对现代硬件校准的高迭代次数。在这些参数下,每次密钥推导尝试都需要进行有意义的计算工作。攻击者尝试十亿次模式猜测需要多年的连续计算,单保管库。假设他们知道盐,盐对于每个保管库都是唯一的并存储在您的设备上。
每个保管库都有自己的加密随机盐。这意味着碰巧绘制相同图案的两个用户将产生完全不同的加密密钥。预先计算的查找表(彩虹表)毫无用处,因为盐使每个Vault’的密钥派生都是唯一的。攻击者必须从头开始攻击他们瞄准的每个保管库。
ChaCha20:元数据保护
加密文件内容是不够的。文件名、创建日期、缩略图尺寸和库结构都是元数据,元数据可以像数据本身一样揭示信息。名为 “tax-return-2025。pdf” 的文件可以准确告诉攻击者其中的内容,即使内容已加密。时间戳显示您使用保管库的时间。缩略图大小表明某物是照片还是视频。
Vaultaire 使用 ChaCha20(Daniel J。Bernstein 设计的流密码)加密所有元数据。ChaCha20 与 AES 一起使用,而不是代替它,原因是:加密多样性。
为什么元数据需要单独的密码?
对文件内容和元数据使用相同的算法意味着针对该算法的理论上的突破将立即暴露所有内容。通过使用 AES-256-GCM 表示文件内容,使用 ChaCha20 表示元数据,Vaultaire 可以确保即使在一个密码被泄露的极不可能的情况下,另一层也保持完好。
ChaCha20 对于元数据也具有实际优势。它是纯软件密码,它不依赖于硬件AES指令,这使得无论数据被加密如何,其性能都完全恒定。这消除了缓存定时侧通道,这是一种攻击者测量加密需要多长时间来推断有关密钥或明文信息的攻击。对于像元数据这样的小型结构化数据,这种恒定时间属性尤其重要。
零知识架构
对于任何安全应用程序,都有一个值得一问的问题:如果其背后的公司遭到黑客攻击、传唤或只是变得恶意,会发生什么?
对于大多数应用程序来说,答案是令人不舒服的。它们保存您的数据、密钥或两者。法院命令迫使他们交出它。数据泄露暴露了它。一名流氓员工访问了它。应用程序’的安全性仅与公司’的操作安全性,一样强大,历史表明公司经常遭到破坏。
Vaultaire 基于零知识架构构建。这意味着制造 Vaultaire 的公司永远无法访问您的加密密钥、模式、秘密短语或未加密的数据。不在同步期间。不在备份期间。从来没有。加密操作完全发生在您的设备上。如果,发生任何变化,那么您的设备,的剩余部分已经使用只有您拥有的密钥进行了加密。
零知识在实践中意味着什么
如果执法机构向 Vaultaire 发出传票,要求提供您的数据,这家公司可以完全配合,却依然交不出任何有用的东西。没有可以上交的钥匙。没有主密码。没有后门。没有密钥时,存储在 iCloud 中的加密 blob 在数学上与随机噪声无法区分,而您的密钥只存在于您的大脑里,表现为那个图案,并在应用打开时短暂存在于您设备上的 Secure Enclave 中。
这不是一个政策决定。这是一种建筑风格。Vaultaire不能访问您的数据,无论意图、动机或法律压力如何。该系统的设计使得该功能不存在。
零知识架构意味着你不必把信任交给 Vaultaire 这家公司。你不用假设服务器安全、员工诚实,或政府永远不会找上门。保护你的不是承诺,而是数学,包括面对构建这套系统的人时也是如此。
Secure Enclave 集成
纯软件安全存在上限。无论应用多么谨慎地处理内存中的加密密钥,操作系统、其他应用或具备物理访问能力的工具,在理论上都可能读取那部分内存。Apple 的 Secure Enclave 通过为关键操作提供硬件隔离环境,消除了这类漏洞。
Secure Enclave 是每个现代 iPhone 中内置的专用协处理器。它有自己的加密内存、自己的启动过程和自己的安全边界。存储在 Secure Enclave 中的密钥永远不会离开,甚至主处理器也无法读取它们。相反,应用程序将数据发送到 Secure Enclave,Secure Enclave 在内部执行加密操作并仅返回结果。
Vaultaire 使用 Secure Enclave 进行密钥管理。当您绘制图案、密钥派生函数生成加密密钥后,这把密钥就会交给 Secure Enclave。后续所有加密和解密操作都委托给硬件执行。密钥永远不会以可被调试器、越狱工具或取证镜像系统提取的形式存在于应用内存空间中。
这意味着,即使攻击者拥有对您的 iPhone,的 root 访问权限,在需要复杂越狱,的情况下,加密密钥仍然无法访问。Secure Enclave 是一个具有自己的硅的独立芯片。危害 iOS 不会危害 Enclave。
每个文件初始化向量
当您使用相同的密钥加密两个相同的文件时,简单的实现会产生相同的密文。这是一个问题。看到两个相同的加密 blob 的攻击者无需解密任何,就知道两个原始文件相同,就知道。在充满照片的保管库中,这种模式分析甚至可以通过加密来揭示信息。
Vaultaire 通过为每个文件生成唯一的加密随机初始化向量 (IV) 来消除此问题。IV 在 AES-256-GCM 操作期间与加密密钥相结合,确保即使是逐字节相同的文件也会产生完全不同的密文。使用相同密钥加密的同一张照片的两个副本看起来像是完全不相关的随机数据。
IV 与加密文件一起存储,但不是秘密的,它们的安全性来自唯一性,而不是机密性。每个 IV 均使用设备 ’ 加密随机数生成器生成,该生成器从硬件噪声源中提取熵。两次生成相同 IV 的概率非常小:大约为二分之一96用于 GCM’ 96 位 IV。
内存管理:自毁键
安全软件中的一个常见故障是不再需要敏感数据后将其保留在内存中。加密密钥、派生密码和解密数据在应用程序使用完毕后仍可长期保留在 RAM 中。取证工具可以转储设备内存并搜索这些残留物,这种技术称为冷启动攻击或内存转储分析。
Vaultaire 采用积极的方法来保证内存卫生。当您关闭应用程序或锁定保管库时,会立即发生以下操作:
- 加密密钥被覆盖。保存密钥材料的存储位置先填充零,然后填充随机数据,然后再次填充零。这不是简单的释放,内存被主动擦除以防止恢复。
- 派生密钥材料被清除。来自 PBKDF2 计算的中间值、临时缓冲区和任何缓存的解密数据均被清零。
- Secure Enclave 密钥无效。Secure Enclave 中的关键引用被标记为销毁,确保它们不能在不重新从模式派生的情况下被重用。
- 解密的缩略图和预览被清除。在应用程序完全关闭之前,内存中的任何缓存图像数据都会被覆盖。
下次打开 Vaultaire 时,您将从头开始。您绘制图案,重新派生密钥,并且 Secure Enclave 收到新的密钥参考。没有会话令牌,没有缓存的凭据,也没有快捷方式。每个应用程序的启动在加密上都与上一个应用程序无关。
常见问题解答
AES-256真的牢不可破吗?
没有一种加密算法能够在绝对数学意义上被证明是牢不可破的。然而,AES-256 经受住了全球研究界二十多年的公开密码分析。针对 AES-256 的最著名的攻击将,的有效密钥强度从 256 位减少到约 254.4 位,减少幅度可以忽略不计,实际影响为零。用蛮力破解 AES-256 需要的能量比太阳系中存在的能量还要多。出于所有实际目的,当前存在或理论上可预见的任何技术都无法打破它。具有 HMAC-SHA512 的
为什么使用PBKDF2进行密钥推导?具有 HMAC-SHA512 的
PBKDF2 是 NIST 推荐的标准,拥有数十年经过验证的安全分析。结合 Vaultaire 的高迭代次数以及每个保管库各自独立的随机盐值,暴力攻击往往需要对每个保管库进行数年级别的计算。PBKDF2 在 Apple 的 CommonCrypto 框架中原生实现,避免了第三方依赖,也确保密钥派生运行在经过强化和审计的系统代码中。
Vaultaire 向其服务器发送哪些数据?
无。Vaultaire 没有接收您的数据的服务器。如果您启用 iCloud 备份,您的加密数据将存储在您的个人 iCloud 帐户,中,然后在使用 Apple 不拥有的密钥离开您的设备之前进行加密。Vaultaire 公司绝不会接收、处理或存储任何加密或其他方式的用户数据。
越狱的 iPhone 能否危害我的保管库?
越狱使攻击者能够获得 iOS 的 root 访问权限,但 Secure Enclave 是一个物理上独立的协处理器,具有自己的安全边界。越狱 iOS 不会越狱 Secure Enclave。即使在完全操作系统控制的情况下,存储在那里的加密密钥仍然无法访问。但是,越狱设备确实会增加键盘记录或屏幕捕获的攻击面,因此 Vaultaire 建议使用非越狱设备以获得最大安全性。
为什么对文件和元数据使用两种不同的密码?
加密多样性。如果在 AES 中发现漏洞(极不可能,但并非不可能),您的元数据仍将受到 ChaCha20 的保护,反之亦然。此外,ChaCha20 还提供恒定时间性能特征,非常适合文件名和时间戳等小型结构化数据,从而消除了理论上可能影响纯软件实现中 AES 的一类旁路攻击。
如果应用程序崩溃,我的密钥会怎样?
iOS 在应用终止时会回收全部内存,无论退出是否正常。Secure Enclave 的密钥引用与应用会话绑定,并会在进程结束时自动失效。即使发生崩溃,密钥材料也不会以可访问的形式残留。下一次启动仍然需要完整输入图案并重新派生密钥,之前的会话无法恢复。