为什么选择 Vaultaire

隐私应用的致命缺陷，在于它们看起来就像隐私应用。

一个上锁的文件夹，本身就在告诉别人它被上了锁。一个叫 “Calculator+” 的隐藏相册，骗不过真正想找东西的人。iPhone 上几乎所有所谓的“安全”相册都有同一个问题：它们等于在声明，你确实有东西想藏。

当有人逼你解锁手机时，不管对方是边检人员、施暴伴侣，还是威权政府，他们会看到那个应用，也会看到那把锁。在你打开之前，他们不会停。

Vaultaire 不是把文件藏在锁后面。它是让这些文件看起来根本不存在。

加密照片存储，本来就该这样工作

在网格上画出一个图案。一个保管库随之打开，里面是你的私密照片、视频和文档；每个文件都通过 Apple Secure Enclave 提供的硬件密钥，使用 AES-256-GCM 单独加密。换一个图案，就会打开一个完全不同的保管库。文件不同，密钥不同，一切都不同。

图案输错了？不会跳出错误提示。没有 “密码错误”，只有一个空白保管库。错图案和真正空保管库，在外观上没有可观察差别。

每个保管库都放在预先分配好的加密噪声块里。无论你存了 0 个文件还是 500 个，磁盘上的数据看起来都一样。取证工具分不出来。因为那里根本没有任何“像证据的东西”可找。

这不是门上的锁。这是那扇门本身被拿掉了。

为什么零知识架构这么重要

大多数照片保险库应用，只是在未加密文件前面加一个 PIN 界面。只要有人把你的手机接到电脑上，文件就还在那里，清清楚楚。那不叫安全。那只是遮羞布。

Vaultaire 围绕一个原则构建：没有人能证明你的文件存在。不是我们，不是 Apple，也不是做取证的人。隐私不是事后补上的功能，而是这款应用从底层往上的工作方式。

没有账户。没有邮箱，没有手机号，也没有任何能回溯到你身份的信息。也就无从传唤。

不依赖云。除非你明确选择加密 iCloud 备份或加密保管库共享，否则文件永远不会离开你的设备。即便离开，服务器看到的也只是一团噪声。

没有生物识别。Face ID 和指纹在某些司法场景里可以被强制要求使用，但你脑子里的图案提取不出来。我们是故意把生物识别排除在外的。

没有 “忘记密码”。没有服务器知道你的图案，没有重置邮件，也没有后门。系统会为需要的人生成一组 12 个词的恢复短语，而且只保存在你的设备上。除了你自己，没人能进去。

你的图案会经过 600,000 轮 PBKDF2 推导出 256 位加密密钥。这个密钥只短暂存在于内存中，应用一锁定就会被擦除。我们看不到，也恢复不了。这正是重点。

它适合谁

适合那些手机随时可能被检查的人。记者要保护消息来源，行动者在监控环境下携带资料，家暴幸存者把证据保存在自己知道会被盯着的设备上，旅客跨越会强制检查设备的边境，律师在私人手机上携带特权材料。

隐私从来不是因为“有东西见不得人”。而是因为你有值得被保护的东西。

胁迫保管库

你可以把任意一个保管库设为胁迫触发器。当这个图案在受胁迫情况下被画出时，其他所有保管库都会被静默且永久销毁。胁迫保管库会正常打开。旁观者只会看到你“配合”了，并看到一个外观普通、只装着几张无害照片的保管库。他们无从知道还有别的东西曾经存在。

别的加密保管库应用做不到这一点。

我们不会做什么

我们不会加入生物识别解锁，因为那可能被法律强制。我们不会加入依赖云的存储，因为那会变成传票和泄露的目标。我们不会加入跟踪你如何使用应用的分析系统。我们不会把后门伪装成账户恢复。我们也不会为了方便，去削弱架构。

Vaultaire 的每个决定，最后都只回到一件事：无论在什么情况下，你的私密文件都只属于你。