Ein Fotosafe, der für Journalisten gebaut wurde, die sensibles Material auf dem iPhone mit sich führen

TL;DR

AppVault verschlüsselt Fotos, Notizen und Kontaktlisten hinter einer App mit Taschenrechner-Icon mittels AES-256-GCM mit Schlüsseln, die von der Secure Enclave des iPhone geschützt werden. Für Journalisten besteht die Bedrohung nicht in einem gehackten Server, sondern in einem Zollbeamten, der durch die Kamera-Rolle wischt. Der Calculator Launcher und der Decoy Vault von AppVault existieren genau für diesen Moment.

Die Bedrohung ist physisch

Die meisten Datenschutztools gehen davon aus, dass der Angreifer fern ist – ein Hacker, ein Datenmakler, eine Regierungsbehörde, die Glasfaser anzapft. Für Journalisten, die in Konfliktgebieten, autoritären Staaten oder über organisierte Kriminalität berichten, ist der Angreifer die Person, die am Kontrollpunkt vor Ihnen steht und Ihr Telefon in der Hand hält.

Das Bedrohungsmodell ist einfach: Ein Beamter nimmt Ihr Gerät mit in einen Hinterraum, oder wischt an der Grenze durch die Daten, oder beschlagnahmt es bei einer Razzia. Er öffnet die Fotos-App. Er sieht das Bild des Demonstranten, dessen Gesicht Sie zu schützen versprachen. Er sieht die Kontaktliste mit dem echten Namen der Quelle. Er sieht das mit GPS markierte Foto des Treffpunkts.

Keine Ende-zu-Ende-verschlüsselte Messaging-App schützt, was bereits auf dem Gerät ist. Signal, WhatsApp und iMessage schützen Daten während der Übertragung. AppVault schützt Daten im Ruhezustand – die Fotos, Notizen und Dateien, die sich auf dem Telefon selbst befinden.

Lesen Sie das vollständige Bedrohungsmodell, um zu erfahren, wogegen AppVault schützt und wogegen nicht.

Warum iCloud Fotos den On-Device-Schutz aushebelt

iCloud Fotos synchronisiert Ihre gesamte Kamerarolle mit den Servern von Apple. Wenn Sie iCloud Fotos nutzen – und die meisten iPhone-Nutzer tun das – dann wird jedes aufgenommene Foto hochgeladen, oft innerhalb von Minuten, über jedes Netzwerk, das das Telefon erreichen kann.

Für einen Journalisten bedeutet das:

• Das Foto, das Sie vom Quellentreffen gemacht haben, befindet sich auf Apples Servern, geschützt durch Apples Schlüsselhierarchie, nicht Ihre.
• Ein Grenzbeamter, der Sie zwingt, das Telefon zu entsperren, kann durch die synchronisierte Bibliothek scrollen. Die On-Device-Verschlüsselung ist irrelevant, sobald das Gerät entsperrt ist.
• Wenn Apple eine rechtliche Anordnung erhält, sind die Fotos zugänglich. Apple veröffentlicht einen Transparenzbericht. Die Daten existieren.

AppVault speichert Dateien lokal, verschlüsselt mit Schlüsseln, die aus Ihrem Muster abgeleitet und von der iPhone Secure Enclave verpackt werden. Die Dateien verlassen das Gerät nie, es sei denn, Sie aktivieren explizit das verschlüsselte iCloud-Backup – und selbst dann werden sie vor dem Upload mit einem gerätespezifischen Backup-Schlüssel versiegelt. Apple erhält nur Chiffretext.

Die Seite zur Zero-Knowledge-Architektur erklärt, was AppVault nicht sehen, nicht wissen und nicht herausgeben kann.

Calculator Launcher: die operative Schicht

Der Calculator Launcher ist ein voll funktionsfähiger iOS-Taschenrechner. Er führt Rechenoperationen aus. Er hat keine sichtbare Tresor-Oberfläche. Der Zugang zum Tresor erfolgt über eine optionale Long-Press-Geste auf die Gleichheitstaste.

Das ist kein Trick. Der Taschenrechner funktioniert. Ein Grenzbeamter, der auf das Icon tippt, sieht einen Taschenrechner. Es gibt keinen Grund, nach mehr zu fragen.

Das Design erfüllt Apples Richtlinie 4.3 (alternative Icons), da der Taschenrechner keine Fassade ist – er ist ein funktionierender Taschenrechner, der zufällig auch einen Tresor bewacht. Die Long-Press-Verknüpfung wird bei der Einrichtung opt-in aktiviert. Wenn Sie sie nie aktivieren, ist die App einfach ein Taschenrechner.

Für den Journalisten am Kontrollpunkt: Der Beamte sieht einen Taschenrechner. Die Quellenfotos, die verschlüsselten Notizen, die Kontaktliste – all das steckt hinter AES-256-GCM, versiegelt mit einem Schlüssel, der in der Secure Enclave lebt.

Decoy Vault: wenn ein Gerät mehreren Zwecken dient

Der Decoy Vault ist ein zweites 5×5-Muster, das einen separaten, mathematisch unabhängigen Tresorkatalog öffnet. Die beiden Tresore teilen keine Schlüssel, keine Dateimetadaten und keine sichtbare Verbindung.

Der Anwendungsfall ist nicht Täuschung um ihrer selbst willen. Es ist operative Realität:

• Ein gemeinsames Familien-iPad, auf dem ein Journalist auch private Dateien aufbewahrt.
• Ein Gerät, das einem Kollegen oder Assistenten übergeben werden muss, der Zugriff auf einige, aber nicht alle Materialien benötigt.
• Ein Kontrollpunkt, an dem der Beamte erwartet, etwas zu sehen, und Sie Compliance zeigen müssen, ohne den echten Katalog preiszugeben.

Der Decoy Vault ist kein „gefälschter“ Tresor. Es ist ein echter Tresor mit echter Verschlüsselung, echter Schlüsselableitung und echtem Dateischutz. Er enthält lediglich einen anderen Satz von Dateien. Der Beamte, der ihn öffnet, sieht einen funktionierenden Fotosafe. Er weiß nicht, dass ein anderer existiert.

Lesen Sie die Seite zur Mustersperre für die Mathematik hinter dem 5×5-Raster und die Schlüsselableitung, die beide Tresore unabhängig hält.

Verschlüsselte Notizen für Quellenkontaktlisten

Fotos sind nicht der einzige Leckvektor. Notiz-Apps, Kontaktlisten und Nachrichtenverläufe enthalten die Identitäten von Quellen, Treffpunkten und Kommunikationsmustern.

AppVault verschlüsselt Dateien – einschließlich Textnotizen, PDFs und Bilder – hinter derselben AES-256-GCM-Schicht. Der Katalog selbst ist verschlüsselt: Ein Angreifer mit direktem Zugriff kann nicht erkennen, wie viele Dateien existieren, wie sie heißen oder wann sie erstellt wurden.

Ein Journalist kann speichern:

• Quellenkontaktlisten mit echten Namen und Nummern.
• Treffnotizen mit Orten und Zeitstempeln.
• Gescannte Dokumente, Pässe oder Presseausweise.
• Audioaufnahmen von Interviews.

Alles ist hinter demselben Verschlüsselungs- Stack versiegelt. Der Cipher ist AES-256-GCM mit einer eindeutigen 96-Bit-Nonce pro Datei. Die Schlüsselableitung erfolgt über PBKDF2-SHA256 mit 600.000 Iterationen und einem installationsspezifischen 128-Bit-Salz. Der abgeleitete Schlüssel wird von einem Schlüssel verpackt, der in der Secure Enclave generiert wird – einem Schlüssel, der den Chip nie verlässt.

Primärquellen: NIST FIPS 197 für AES, RFC 5116 für AES-GCM, Apple Platform Security für die Secure Enclave, und OWASP Password Storage Cheat Sheet für die Iterationsanzahl.

Wogegen AppVault nicht schützt

Ehrlichkeit über Grenzen ist eine Stärke, keine Schwäche.

AppVault schützt nicht gegen einen staatlichen Angreifer mit einem Zero-Click-Exploit. Kommerzielle Spyware – die Art, die an Regierungen verkauft wird – operiert auf Betriebssystemebene. Sie kann Tastatureingaben abfangen, die Kamera aktivieren und Daten abziehen, bevor eine Verschlüsselung auf App-Ebene angewendet wird. AppVault operiert auf App-Ebene. Es erhöht die Kosten des Zugriffs, besiegt aber keinen Angreifer, der bereits das Betriebssystem kontrolliert.

AppVault schützt nicht gegen rechtlichen Zwang. Wenn ein Gericht Sie auffordert, Ihr Muster preiszugeben, kann AppVault nicht widerstehen. Der Tresor ist nur so stark wie Ihre Bereitschaft, der Anordnung nachzukommen – oder nicht. Die optionale Wiederherstellungs-Passphrase wird von Ihnen verwahrt, auf Papier, außerhalb des Geräts. AppVault hat keine Kopie.

AppVault schützt nicht vor Ihnen selbst. Wenn Sie ein Foto einer Quelle machen und es in der Kamerarolle statt im Tresor speichern, kann AppVault nicht helfen. Wenn Sie iCloud Fotos aktivieren und das Foto synchronisiert wird, bevor Sie es verschieben, befindet sich das Bild bereits auf Apples Servern. Operationssicherheit ist eine Praxis, kein Produkt.

Die Seite zum Bedrohungsmodell behandelt dies im Detail.

Wie AppVault im Vergleich zur Kategorie abschneidet

Keepsafe ist der Marktführer nach Installationszahlen. Der vollständige Feature-Vergleich befindet sich auf der Seite AppVault vs. Keepsafe. Der architektonische Unterschied: AppVault verwendet hardwaregebundene Schlüssel, veröffentlicht seinen gesamten Kryptographie-Stack mit Primärquellen und tätigt standardmäßig keine Netzwerkaufrufe.

Vaultaire ist der engste Konkurrent in der Kategorie Taschenrechner-Tresor. Der detaillierte Vergleich befindet sich auf der Seite AppVault vs. Vaultaire.

Die meisten werbefinanzierten Fotosafe-Apps enthalten Drittanbieter-SDKs, die Nutzungstelemetrie vom Gerät senden. AppVault enthält keine Drittanbieter-SDKs. Das Datenschutzkennzeichen erklärt, dass keine Daten erhoben werden.

Einrichtung für den Feldeinsatz

Ein Journalist, der sich auf eine Grenzüberquerung oder eine Razzia vorbereitet, hat keine Zeit, Einstellungen unter Druck zu konfigurieren. Die Einrichtung von AppVault ist darauf ausgelegt, einmal an einem sicheren Ort abgeschlossen zu werden, bevor das Gerät in eine Bedrohungsumgebung gelangt.

1. Wählen Sie ein Muster, das Sie unter Stress reproduzieren können. Das 5×5-Raster bietet über 700 Millionen mögliche 4-Punkt-Muster. Wählen Sie eines, das motorisch einprogrammiert ist, nicht intellektuell. Sie werden es brauchen, wenn Ihre Hände zittern.

2. Aktivieren Sie den Calculator Launcher. Legen Sie die Long-Press-Verknüpfung auf die Gleichheitstaste fest. Testen Sie sie. Stellen Sie sicher, dass der Taschenrechner für Rechenoperationen funktioniert – denn er wird getestet werden.

3. Richten Sie den Decoy Vault ein. Befüllen Sie ihn mit plausiblen, aber nicht sensiblen Materialien. Ein paar persönliche Fotos. Eine Notiz, die wie eine Einkaufsliste aussieht. Der Decoy funktioniert nur, wenn er glaubwürdig ist.

4. Generieren Sie die Wiederherstellungs-Passphrase. Schreiben Sie sie auf Papier. Bewahren Sie sie getrennt vom Gerät auf. Dies ist der einzige Weg zurück, falls das Muster vergessen wird. Es gibt keine Zurücksetzung. Es gibt keine Support-Hotline.

5. Deaktivieren Sie iCloud Fotos für die Kamerarolle. Verschieben Sie vorhandene sensible Fotos in den Tresor. Überprüfen Sie, dass die Kamerarolle sauber ist. Der Beamte, der durch die Fotos-App wischt, sollte nichts sehen, was nicht bereits öffentlich war.

6. Testen Sie den gesamten Ablauf. Sperren Sie das Gerät. Entsperren Sie es. Öffnen Sie den Taschenrechner. Long-Press auf Gleichheitstaste. Geben Sie das Muster ein. Überprüfen Sie, ob der Tresor geöffnet wird. Wiederholen Sie dies, bis es automatisch abläuft.

Die Kalkulation der Gerätebeschlagnahme

Ein Grenzbeamter, der Ihr Telefon in einen Hinterraum mitnimmt, hat eine begrenzte Aufmerksamkeitsspanne und ein begrenztes Mandat. Er sucht nach Schmuggelware, Beweismitteln oder Informationen. Er verwendet keine forensischen Tools – zumindest nicht in der ersten Inspektionslinie.

Was er sieht, ist der Startbildschirm. Er sieht die Apps. Er öffnet die Fotos. Er wischt. Er sucht nach dem Offensichtlichen.

Der Calculator Launcher von AppVault stellt sicher, dass das Offensichtliche ein Taschenrechner ist. Der Decoy Vault stellt sicher, dass, falls er einen Tresor findet, dieser das enthält, was er zu finden erwartet. Die Verschlüsselung stellt sicher, dass er, falls er den Rohspeicher extrahiert, Chiffretext erhält.

Nichts davon ist absolut. Ein forensisches Labor mit einem Durchsuchungsbefehl und einer Cellebrite-Box ist eine andere Bedrohung als ein Zollbeamter mit einem gelangweilten Gesichtsausdruck. AppVault ist für Letzteres konzipiert. Für Ersteres brauchen Sie einen Anwalt.

Aber der Zollbeamte ist die häufigere Bedrohung. Der Kontrollpunkt ist die häufigere Begegnung. Der Moment der Geräteübergabe ist der Moment, der zählt.

AppVault ist für diesen Moment gebaut.