機密情報をiPhoneで持ち歩くジャーナリストのための写真保管庫

TL;DR

AppVaultは、AES-256-GCMとiPhone Secure Enclaveでラップされた鍵を使って、写真、メモ、連絡先リストを電卓アイコンのアプリの背後に暗号化します。ジャーナリストにとっての脅威は、サーバーがハッキングされることではなく、税関職員がカメラロールをスクロールすることです。AppVaultの電卓ランチャーとデコイ保管庫は、その瞬間のために存在します。

脅威は物理的なもの

ほとんどのプライバシーツールは、敵対者がリモート（ハッカー、データブローカー、政府機関による光ファイバーの盗聴）にいることを想定しています。紛争地域、権威主義国家、または組織犯罪を取材するジャーナリストにとって、敵対者は検問所であなたの前に立ち、あなたの電話を手にしている人物です。

脅威モデルは単純です。職員があなたの端末を別室に持ち込むか、国境でスクロールするか、捜索中に没収します。彼らは「写真」を開きます。あなたが顔を守ると約束した抗議者の画像を見ます。情報源の実名が載った連絡先リストを見ます。待ち合わせ場所のGPSタグ付き写真を見ます。

エンドツーエンド暗号化メッセージングアプリでは、既にデバイス上にあるデータは保護できません。Signal、WhatsApp、iMessageは転送中のデータを保護します。AppVaultは保存中のデータ（電話自体に保存されている写真、メモ、ファイル）を保護します。

AppVaultが防御するものと防御しないものの詳細は、完全な脅威モデルページをご覧ください。

iCloudフォトがオンデバイス保護を無効にする理由

iCloudフォトはカメラロール全体をAppleのサーバーに同期します。iCloudフォトを使用している場合（ほとんどのiPhoneユーザーがそうですが）、撮影した写真は数分以内に、電話が接続できるあらゆるネットワーク経由でアップロードされます。

ジャーナリストにとって、これは次のことを意味します：

• 情報源との会合で撮った写真はAppleのサーバー上にあり、Appleの鍵階層によって保護されており、あなたの鍵ではありません。
• 国境職員があなたに電話のロック解除を強制した場合、同期されたライブラリをスクロールできます。デバイスがロック解除されれば、オンデバイス暗号化は無意味です。
• Appleが法的な要求を受け取った場合、写真はアクセス可能です。Appleは透明性レポートを公開しています。データは存在します。

AppVaultはファイルをローカルに保存し、あなたのパターンから導出され、iPhoneのSecure Enclaveでラップされた鍵で暗号化します。ファイルは、暗号化iCloudバックアップを明示的に有効にしない限りデバイスから送信されず、その場合でもアップロード前にデバイスごとの別のバックアップ鍵で封印されます。Appleに届くのは暗号文だけです。

ゼロ知識アーキテクチャページでは、AppVaultが見ることができないもの、知ることができないもの、引き渡すことができないものについて説明しています。

電卓ランチャー：運用上の防御層

電卓ランチャーは完全に機能するiOSの電卓です。算術演算ができます。目に見える保管庫のインターフェースはありません。保管庫には、イコールキーの長押しジェスチャー（オプトイン）でアクセスします。

これはトリックではありません。電卓は動作します。アイコンをタップした国境職員には電卓が見えます。それ以上を要求する理由はありません。

この設計はAppleのガイドライン4.3（代替アイコン）を満たしています。電卓は単なる偽装ではなく、実際に動作する電卓であり、同時に保管庫を守っています。長押しショートカットはセットアップ時にオプトインします。有効にしなければ、アプリはただの電卓です。

検問所に立つジャーナリストにとって、職員には電卓が見えます。情報源の写真、暗号化されたメモ、連絡先リスト — そのすべてがAES-256-GCMの背後にあり、Secure Enclave内部に存在する鍵で封印されています。

デコイ保管庫：1台の端末で複数の目的を果たす場合

デコイ保管庫は2つ目の5×5パターンで、数学的に独立した別の保管庫カタログを開きます。2つの保管庫は鍵、ファイルのメタデータ、目に見える関連性を一切共有しません。

これは欺瞞そのもののためのものではありません。運用上の現実です：

• 家族で共有するiPadで、ジャーナリストが個人ファイルも保管している場合。
• 一部の資料だけアクセスさせる必要がある同僚やフィクサーに端末を渡さなければならない場合。
• 職員が「何か」を見つけることを期待しており、本当のカタログを公開せずに協力姿勢を示す必要がある検問所。

デコイ保管庫は「偽の」保管庫ではありません。本物の保管庫であり、本物の暗号化、鍵導出、ファイル保護があります。単に別のファイルセットが含まれています。開いた職員には機能する写真保管庫が見えます。もう一つ存在することを知りません。

5×5グリッドの背後にある数学と、両方の保管庫を独立に保つ鍵導出については、パターンロックページをご覧ください。

情報源の連絡先リストのための暗号化メモ

写真だけが情報漏洩の経路ではありません。メモアプリ、連絡先リスト、メッセージ履歴には、情報源の身元、待ち合わせ場所、通信パターンが含まれています。

AppVaultはテキストメモ、PDF、画像を含むファイルを、同じAES-256-GCM層の背後で暗号化します。カタログ自体も暗号化されており、生のアクセス権を持つ攻撃者はファイルの数、名前、作成日時を知ることができません。

ジャーナリストは以下のものを保存できます：

• 実名と電話番号を含む情報源の連絡先リスト
• 場所とタイムスタンプ付きの会合メモ
• スキャンした書類、パスポート、プレスパス
• インタビューの音声録音

これらすべては同じ暗号化スタックの背後に封印されています。暗号はAES-256-GCMで、ファイルごとに固有の96ビットnonceを使用。鍵導出はPBKDF2-SHA256（600,000イテレーション、インストールごとに128ビットソルト）。導出された鍵は、Secure Enclave内で生成された鍵でラップされます — その鍵はチップから決して出ません。

一次情報源：NIST FIPS 197（AES）、RFC 5116（AES-GCM）、Apple Platform Security（Secure Enclave）、OWASP Password Storage Cheat Sheet（イテレーション数）。

AppVaultが防げないもの

限界について正直であることは、弱点ではなく機能です。

AppVaultはゼロクリックエクスプロイトを持つ国家レベルの敵対者から保護しません。 政府に販売される商用スパイウェアはオペレーティングシステムレベルで動作します。キー入力を傍受し、カメラを起動し、アプリレベルの暗号化が適用される前にデータを外部に送信できます。AppVaultはアプリ層で動作します。アクセスコストを引き上げますが、OSを既に制御している敵対者を打ち負かすことはできません。

AppVaultは法的強制から保護しません。 裁判所がパターンの開示を命じた場合、AppVaultは抵抗できません。保管庫の強度は、命令に従うか従わないかのあなたの意思に依存します。オプションのリカバリパスフレーズはあなたが紙に書いてオフデバイスで保管します。AppVaultはコピーを持ちません。

AppVaultはあなた自身から保護しません。 情報源の写真を撮って保管庫ではなくカメラロールに保存した場合、AppVaultは助けられません。iCloudフォトを有効にしていて、写真を移動する前に同期された場合、画像は既にAppleのサーバー上にあります。運用上のセキュリティは実践であり、製品ではありません。

脅威モデルページでこれを詳しく説明しています。

AppVaultのカテゴリ内での比較

Keepsafeはインストール数でカテゴリリーダーです。機能の完全比較はAppVault vs Keepsafeページにあります。アーキテクチャ上の違い：AppVaultはハードウェアに紐付いた鍵を使用し、一次情報源を引用した完全な暗号スタックを公開し、デフォルトでネットワーク通信を一切行いません。

Vaultaireは電卓保管庫カテゴリで最も近い競合です。詳細な比較はAppVault vs Vaultaireページにあります。

ほとんどの広告収入型写真保管庫アプリは、サードパーティSDKを実行し、使用テレメトリをデバイス外に送信します。AppVaultはサードパーティSDKを一切実行しません。プライバシー栄養ラベルは「データ収集なし」と宣言しています。

現場使用のためのセットアップ

国境通過や捜索に備えるジャーナリストには、プレッシャーの中で設定を構成する時間はありません。AppVaultのセットアップは、安全な場所で、端末が脅威環境に入る前に一度だけ完了するように設計されています。

1. ストレス下でも再現できるパターンを選びます。 5×5グリッドは、7億以上の可能な4点パターンを提供します。知的に記憶するのではなく、運動感覚で記憶したものを選んでください。手が震えているときに必要になります。

2. 電卓ランチャーを有効にします。 イコールキーの長押しショートカットを設定します。テストします。電卓が算術で機能することを確認します — テストされるからです。

3. デコイ保管庫を設定します。 もっともらしいが重要でない資料を入れます。個人の写真を数枚。買い物リストのようなメモ。デコイは信憑性があって初めて機能します。

4. リカバリパスフレーズを生成します。 紙に書き、デバイスとは別に保管します。パターンを忘れた場合の唯一の復帰手段です。リセットはありません。サポート窓口もありません。

5. カメラロールのiCloudフォトを無効にします。 既存の機密写真を保管庫に移動します。カメラロールがきれいであることを確認します。写真アプリをスクロールする職員には、既に公開されていたもの以外何も見えないようにします。

6. フルフローをテストします。 デバイスをロックします。ロックを解除します。電卓を開きます。イコールを長押しします。パターンを入力します。保管庫が開くことを確認します。これが自動的になるまで繰り返します。

端末押収の計算

あなたの電話を別室に持ち込む国境職員には、限られた注意力と限られた権限しかありません。彼らは密輸品、証拠、情報を探しています。少なくとも一次検査ラインでは、フォレンジックツールは使いません。

彼らが見るのはホーム画面です。アプリが見えます。写真を開きます。スクロールします。明らかなものを探します。

AppVaultの電卓ランチャーは、明らかなものが電卓であることを保証します。デコイ保管庫は、もし保管庫を見つけても、それが期待するものを含んでいることを保証します。暗号化は、もし生のストレージを抽出しても、暗号文しか得られないことを保証します。

これらは絶対的なものではありません。令状とCellebriteボックスを持つフォレンジックラボは、退屈そうな表情の税関職員とは異なる脅威です。AppVaultは後者のために設計されています。前者には弁護士が必要です。

しかし、税関職員の方がより一般的な脅威です。検問所の方がより頻繁な遭遇です。端末を手渡す瞬間こそが重要な瞬間です。

AppVaultはその瞬間のために作られています。

実際の検索データに基づくロケール固有のトップキーワード

タイトル、見出し、導入文、および本文内で少なくとも1回、自然にこれらの表現を使用してください。これらはネイティブスピーカーが実際に検索する方法を反映しています。

(ロケール固有のクラスタデータなし — キーワードは最善の判断で翻訳)