Un vault per foto progettato per giornalisti che portano materiale sensibile su iPhone

TL;DR

AppVault crittografa foto, note e rubriche dietro un'app con icona di calcolatrice utilizzando AES-256-GCM con chiavi avvolte dal Secure Enclave dell'iPhone. Per i giornalisti, la minaccia non è un server hackerato — è un ufficiale doganale che scorre il tuo rullino fotografico. Il Calculator Launcher e il Vault fittizio di AppVault esistono per quel momento.

La minaccia è fisica

La maggior parte degli strumenti per la privacy presume che l’avversario sia remoto — un hacker, un intermediario di dati, un’agenzia governativa che intercetta la fibra. Per i giornalisti che operano in zone di conflitto, stati autoritari o crimine organizzato, l’avversario è la persona in piedi davanti a te al posto di blocco, con il tuo telefono in mano.

Il modello di minaccia è semplice: un ufficiale porta il tuo dispositivo in una stanza sul retro, o lo scorre alla frontiera, o lo confisca durante un’irruzione. Apre Foto. Vede l’immagine del manifestante di cui hai promesso di proteggere il volto. Vede la rubrica con il vero nome della fonte. Vede la foto con geotag del luogo dell’incontro.

Nessuna app di messaggistica end-to-end protegge ciò che è già sul dispositivo. Signal, WhatsApp e iMessage proteggono i dati in transito. AppVault protegge i dati a riposo — le foto, le note e i file che vivono sul telefono stesso.

Leggi il modello di minaccia completo per sapere cosa AppVault difende e cosa no.

Perché iCloud Photos vanifica la protezione sul dispositivo

iCloud Photos sincronizza l’intero rullino fotografico con i server Apple. Se usi iCloud Photos — e la maggior parte degli utenti iPhone lo fa — ogni foto che scatti viene caricata, spesso in pochi minuti, attraverso la rete che il telefono riesce a raggiungere.

Per un giornalista, questo significa:

• La foto che hai scattato dell’incontro con la fonte è sui server Apple, protetta dalla gerarchia di chiavi di Apple, non dalla tua.
• Un ufficiale di frontiera che ti costringe a sbloccare il telefono può scorrere la libreria sincronizzata. La crittografia sul dispositivo diventa irrilevante una volta che il dispositivo è sbloccato.
• Se Apple riceve una richiesta legale, le foto sono accessibili. Apple pubblica un rapporto di trasparenza. I dati esistono.

AppVault archivia i file in locale, crittografati con chiavi derivate dal tuo pattern e avvolte dal Secure Enclave dell’iPhone. I file non lasciano mai il dispositivo a meno che tu non abiliti esplicitamente il backup iCloud crittografato — e anche in quel caso, vengono sigillati con una chiave di backup separata per dispositivo prima del caricamento. Apple riceve solo testo cifrato.

La pagina architettura zero-knowledge spiega cosa AppVault non può vedere, non può sapere e non può consegnare.

Calculator Launcher: il livello operativo

Il Calculator Launcher è una calcolatrice iOS completamente funzionale. Esegue operazioni aritmetiche. Non ha un’interfaccia vault visibile. L’accesso al vault avviene tramite una pressione prolungata opzionale sul tasto uguale.

Non è un trucco. La calcolatrice funziona. Un ufficiale di frontiera che tocca l’icona vede una calcolatrice. Non c’è motivo di chiedere altro.

Il design soddisfa la linea guida Apple 4.3 (icone alternative) perché la calcolatrice non è una facciata — è una calcolatrice funzionante che per di più custodisce un vault. La scorciatoia a pressione prolungata è attivabile durante la configurazione. Se non la abiliti mai, l’app è solo una calcolatrice.

Per il giornalista al posto di blocco, l’ufficiale vede una calcolatrice. Le foto delle fonti, le note crittografate, la rubrica — tutto è dietro AES-256-GCM, sigillato con una chiave che vive all’interno del Secure Enclave.

Vault fittizio: quando un dispositivo serve a più scopi

Il Vault fittizio è un secondo pattern 5×5 che apre un catalogo vault separato e matematicamente indipendente. I due vault non condividono chiavi, metadati dei file né alcuna relazione visibile.

Il caso d’uso non è l’inganno fine a se stesso. È la realtà operativa:

• Un iPad condiviso in famiglia dove un giornalista tiene anche file personali.
• Un dispositivo che deve essere consegnato a un collega o fixer che ha bisogno di accedere ad alcuni materiali ma non a tutti.
• Un posto di blocco dove l’ufficiale si aspetta di vedere qualcosa e tu devi mostrare conformità senza esporre il catalogo reale.

Il vault fittizio non è un vault “falso”. È un vault reale con crittografia reale, derivazione della chiave reale e protezione dei file reale. Contiene semplicemente un insieme diverso di file. L’ufficiale che lo apre vede un vault fotografico funzionante. Non sa che ne esiste un altro.

Leggi la pagina Pattern Lock per la matematica dietro la griglia 5×5 e la derivazione della chiave che mantiene entrambi i vault indipendenti.

Note crittografate per le rubriche delle fonti

Le foto non sono l’unico vettore di fuga. Le app Note, le rubriche e le cronologie dei messaggi contengono le identità delle fonti, i luoghi degli incontri e i modelli di comunicazione.

AppVault crittografa i file — incluse note di testo, PDF e immagini — dietro lo stesso livello AES-256-GCM. Il catalogo stesso è crittografato: un attaccante con accesso raw non può dire quanti file esistono, come si chiamano o quando sono stati creati.

Un giornalista può archiviare:

• Rubriche delle fonti con nomi e numeri reali.
• Note di riunione con luoghi e timestamp.
• Documenti scansionati, passaporti o credenziali stampa.
• Registrazioni audio di interviste.

Tutto è sigillato dietro lo stesso stack crittografico. Il cifrario è AES-256-GCM con un nonce unico di 96 bit per file. La derivazione della chiave è PBKDF2-SHA256 a 600.000 iterazioni con un salt di 128 bit per installazione. La chiave derivata è avvolta da una chiave generata all’interno del Secure Enclave — una chiave che non lascia mai il chip.

Fonti primarie: NIST FIPS 197 per AES, RFC 5116 per AES-GCM, Apple Platform Security per il Secure Enclave e OWASP Password Storage Cheat Sheet per il numero di iterazioni.

Cosa AppVault non protegge

L’onestà sui limiti è una caratteristica, non una debolezza.

AppVault non protegge da un avversario statale con un exploit zero-click. Lo spyware commerciale — quello venduto ai governi — opera a livello di sistema operativo. Può intercettare le sequenze di tasti, attivare la fotocamera ed esfiltrare i dati prima che venga applicata qualsiasi crittografia a livello di app. AppVault opera a livello di app. Aumenta il costo dell’accesso, ma non sconfigge un avversario che controlla già il sistema operativo.

AppVault non protegge dalla coercizione legale. Se un tribunale ti ordina di rivelare il tuo pattern, AppVault non può resistere. Il vault è forte solo quanto la tua volontà di conformarti — o meno — all’ordine. La frase di recupero opzionale è conservata da te, su carta, fuori dal dispositivo. AppVault non ne ha copia.

AppVault non protegge da te stesso. Se scatti una foto di una fonte e la salvi nel rullino invece che nel vault, AppVault non può aiutarti. Se abiliti iCloud Photos e la foto si sincronizza prima che tu la sposti, l’immagine è già sui server Apple. La sicurezza operativa è una pratica, non un prodotto.

La pagina modello di minaccia tratta questo in dettaglio.

Come AppVault si confronta con la categoria

Keepsafe è il leader di categoria per numero di installazioni. Il confronto dettagliato è sulla pagina AppVault vs Keepsafe. La differenza architetturale: AppVault utilizza chiavi legate all’hardware, pubblica l’intero stack crittografico con citazioni di fonti primarie e non effettua alcuna chiamata di rete per impostazione predefinita.

Vaultaire è il concorrente più vicino nella categoria dei vault a calcolatrice. Il confronto dettagliato è sulla pagina AppVault vs Vaultaire.

La maggior parte delle app vault fotografiche supportate da pubblicità esegue SDK di terze parti che inviano telemetria di utilizzo fuori dal dispositivo. AppVault non esegue alcun SDK di terze parti. L’etichetta nutrizionale sulla privacy dichiara nessun dato raccolto.

Configurazione per l’uso sul campo

Un giornalista che si prepara ad attraversare una frontiera o a un’irruzione non ha tempo di configurare le impostazioni sotto pressione. La configurazione di AppVault è progettata per essere completata una volta, in un luogo sicuro, prima che il dispositivo entri in un ambiente di minaccia.

1. Scegli un pattern che puoi riprodurre sotto stress. La griglia 5×5 offre oltre 700 milioni di possibili pattern a 4 punti. Scegline uno memorizzato a livello motorio, non intellettualmente. Ti servirà quando ti tremeranno le mani.

2. Attiva il Calculator Launcher. Imposta la scorciatoia a pressione prolungata sul tasto uguale. Provalo. Assicurati che la calcolatrice funzioni per l’aritmetica — perché verrà testata.

3. Configura il Vault fittizio. Popolalo con materiale plausibile ma non sensibile.