Um cofre de fotos criado para jornalistas que carregam material sensível no iPhone

TL;DR

O AppVault criptografa fotos, notas e listas de contatos por trás de um aplicativo com ícone de calculadora usando AES-256-GCM com chaves encapsuladas pelo Secure Enclave do iPhone. Para jornalistas, a ameaça não é um servidor invadido — é um agente aduaneiro percorrendo seu rolo da câmera. O Calculator Launcher e o Cofre Isca do AppVault existem para esse momento.

A ameaça é física

A maioria das ferramentas de privacidade assume que o adversário está remoto — um hacker, um corretor de dados, uma agência governamental grampeando fibra óptica. Para jornalistas que cobrem zonas de conflito, estados autoritários ou crime organizado, o adversário é a pessoa parada na sua frente no posto de controle, segurando seu telefone.

O modelo de ameaça é simples: um agente leva seu dispositivo para uma sala nos fundos, ou percorre o conteúdo na fronteira, ou confisca o aparelho durante uma invasão. Ele abre o Fotos. Vê a imagem do manifestante cujo rosto você prometeu proteger. Vê a lista de contatos com o nome real da fonte. Vê a foto com geolocalização do local do encontro.

Nenhum aplicativo de mensagens com criptografia de ponta a ponta protege o que já está no dispositivo. Signal, WhatsApp e iMessage protegem dados em trânsito. O AppVault protege dados em repouso — as fotos, notas e arquivos que vivem no próprio telefone.

Leia o modelo de ameaça completo para saber contra o que o AppVault defende e contra o que não defende.

Por que o iCloud Fotos anula a proteção no dispositivo

O iCloud Fotos sincroniza todo o seu rolo da câmera com os servidores da Apple. Se você usa o iCloud Fotos — e a maioria dos usuários de iPhone usa — então cada foto tirada é enviada, muitas vezes em minutos, pela rede que o telefone conseguir alcançar.

Para um jornalista, isso significa:

• A foto que você tirou do encontro com a fonte está nos servidores da Apple, protegida pela hierarquia de chaves da Apple, não pela sua.
• Um agente de fronteira que force você a desbloquear o telefone pode percorrer a biblioteca sincronizada. A criptografia no dispositivo é irrelevante uma vez que o dispositivo está desbloqueado.
• Se a Apple receber uma exigência legal, as fotos ficam acessíveis. A Apple publica um relatório de transparência. Os dados existem.

O AppVault armazena arquivos localmente, criptografados com chaves derivadas do seu padrão e encapsuladas pelo Secure Enclave do iPhone. Os arquivos nunca saem do dispositivo a menos que você ative explicitamente o backup criptografado do iCloud — e mesmo assim, eles são selados com uma chave de backup separada por dispositivo antes do upload. A Apple recebe apenas texto cifrado.

A página arquitetura de conhecimento zero explica o que o AppVault não pode ver, não pode saber e não pode entregar.

Calculator Launcher: a camada operacional

O Calculator Launcher é uma calculadora iOS totalmente funcional. Ela faz operações aritméticas. Não tem interface visível de cofre. O cofre é acessado por um gesto opcional de pressionar longamente a tecla de igual.

Isso não é um truque. A calculadora funciona. Um agente de fronteira que toca no ícone vê uma calculadora. Não há motivo para pedir mais.

O design satisfaz a diretriz 4.3 da Apple (ícones alternativos) porque a calculadora não é uma fachada — é uma calculadora funcional que também protege um cofre. O atalho de pressionar longo é opcional durante a configuração. Se você nunca ativá-lo, o aplicativo é apenas uma calculadora.

Para o jornalista no posto de controle, o agente vê uma calculadora. As fotos da fonte, as notas criptografadas, a lista de contatos — tudo está por trás do AES-256-GCM, selado com uma chave que vive dentro do Secure Enclave.

Cofre Isca: quando um dispositivo serve a mais de um propósito

O Cofre Isca é um segundo padrão 5×5 que abre um catálogo de cofre separado, matematicamente independente. Os dois cofres não compartilham chaves, metadados de arquivo ou relação visível.

O caso de uso não é engano por si só. É realidade operacional:

• Um iPad familiar compartilhado onde um jornalista também mantém arquivos pessoais.
• Um dispositivo que precisa ser entregue a um colega ou fixer que precisa de acesso a algum material, mas não a todo.
• Um posto de controle onde o agente espera ver algo e você precisa demonstrar conformidade sem expor o catálogo real.

O cofre isca não é um cofre “falso”. É um cofre real, com criptografia real, derivação de chave real e proteção de arquivos real. Ele simplesmente contém um conjunto diferente de arquivos. O agente que o abre vê um cofre de fotos funcional. Ele não sabe que outro existe.

Leia a página Padrão de Bloqueio para a matemática por trás da grade 5×5 e a derivação de chave que mantém ambos os cofres independentes.

Notas criptografadas para listas de contatos de fontes

Fotos não são o único vetor de vazamento. Aplicativos de notas, listas de contatos e históricos de mensagens contêm as identidades das fontes, locais de encontro e padrões de comunicação.

O AppVault criptografa arquivos — incluindo notas de texto, PDFs e imagens — por trás da mesma camada AES-256-GCM. O próprio catálogo é criptografado: um invasor com acesso bruto não consegue dizer quantos arquivos existem, como se chamam ou quando foram criados.

Um jornalista pode armazenar:

• Listas de contatos de fontes com nomes e números reais.
• Notas de reunião com locais e horários.
• Documentos digitalizados, passaportes ou credenciais de imprensa.
• Gravações de áudio de entrevistas.

Tudo está selado pela mesma pilha de criptografia. A cifra é AES-256-GCM com um nonce único de 96 bits por arquivo. A derivação de chave é PBKDF2-SHA256 com 600.000 iterações e um salt de 128 bits por instalação. A chave derivada é encapsulada por uma chave gerada dentro do Secure Enclave — uma chave que nunca sai do chip.

Fontes primárias: NIST FIPS 197 para AES, RFC 5116 para AES-GCM, Apple Platform Security para o Secure Enclave e OWASP Password Storage Cheat Sheet para o número de iterações.

Contra o que o AppVault não protege

Honestidade sobre limites é uma característica, não uma fraqueza.

O AppVault não protege contra um adversário estatal com um exploit de zero clique. Spyware comercial — do tipo vendido a governos — opera no nível do sistema operacional. Pode interceptar teclas, ativar a câmera e exfiltrar dados antes que qualquer criptografia em nível de aplicativo seja aplicada. O AppVault opera na camada do aplicativo. Ele aumenta o custo do acesso, mas não derrota um adversário que já controla o SO.

O AppVault não protege contra compulsão legal. Se um tribunal ordenar que você revele seu padrão, o AppVault não pode resistir. O cofre é tão forte quanto sua disposição de cumprir — ou não cumprir — a ordem. A frase de recuperação opcional é armazenada por você, em papel, fora do dispositivo. O AppVault não tem cópia.

O AppVault não protege contra você. Se você tirar uma foto de uma fonte e salvá-la no rolo da câmera em vez do cofre, o AppVault não pode ajudar. Se você ativar o iCloud Fotos e a foto sincronizar antes de movê-la, a imagem já está nos servidores da Apple. Segurança operacional é uma prática, não um produto.

A página modelo de ameaça cobre isso em detalhes.

Como o AppVault se compara à categoria

O Keepsafe é o líder da categoria em número de instalações. A análise completa recurso por recurso está na página AppVault vs Keepsafe. A diferença arquitetônica: o AppVault usa chaves vinculadas ao hardware, publica sua pilha criptográfica completa com citações de fontes primárias e não faz nenhuma chamada de rede por padrão.

O Vaultaire é o concorrente mais próximo na categoria de cofre com calculadora. A comparação detalhada está na página AppVault vs Vaultaire.

A maioria dos aplicativos de cofre de fotos com suporte de anúncios executa SDKs de terceiros que enviam telemetria de uso para fora do dispositivo. O AppVault não executa nenhum SDK de terceiros. O rótulo nutricional de privacidade declara que nenhum dado é coletado.

Configuração para uso em campo

Um jornalista se preparando para uma travessia de fronteira ou uma invasão não tem tempo para configurar ajustes sob pressão. A configuração do AppVault é projetada para ser concluída uma vez, em um local seguro, antes de o dispositivo entrar em um ambiente de ameaça.

1. Escolha um padrão que você consiga reproduzir sob estresse. A grade 5×5 oferece mais de 700 milhões de padrões possíveis de 4 pontos. Escolha um que seja memorizado motoramente, não intelectualmente. Você vai precisar dele quando suas mãos estiverem tremendo.

2. Ative o Calculator Launcher. Defina o atalho de pressionar longamente a tecla de igual. Teste. Certifique-se de que a calculadora funciona para aritmética — porque será testada.

3. Configure o Cofre Isca. Preencha-o com material plausível, mas não sensível. Algumas fotos pessoais. Uma nota que pareça uma lista de compras. O isca só funciona se for acreditável.

4. Gere a frase de recuperação. Escreva em papel. Armazene separadamente do dispositivo. Esta é a única maneira de voltar se o padrão for esquecido. Não há redefinição. Não há linha de suporte.

5. Desative o iCloud Fotos para o rolo da câmera. Mova as fotos sensíveis existentes para o cofre. Verifique se o rolo da câmera está limpo. O agente que percorrer o aplicativo Fotos não deve ver nada que já não fosse público.

6. Teste o fluxo completo. Bloqueie o dispositivo. Desbloqueie. Abra a calculadora. Pressione longo em igual. Insira o padrão. Verifique se o cofre abre. Faça isso até se tornar automático.

A matemática da apreensão de dispositivos

Um agente de fronteira que leva seu telefone para uma sala nos fundos tem capacidade de atenção limitada e mandato limitado. Ele está procurando contrabando, evidências ou inteligência. Não está executando ferramentas forenses — pelo menos não na linha de inspeção primária.

O que ele vê é a tela inicial. Vê os aplicativos. Abre o Fotos. Percorre. Procura o óbvio.

O Calculator Launcher do AppVault garante que o óbvio seja uma calculadora. O Cofre Isca garante que, se encontrarem um cofre, ele contenha o que esperam encontrar. A criptografia garante que, se extraírem o armazenamento bruto, obtenham texto cifrado.

Nada disso é absoluto. Um laboratório forense com um mandado e um aparelho Cellebrite é uma ameaça diferente de um agente aduaneiro com expressão entediada. O AppVault é projetado para o segundo. Para o primeiro, você precisa de um advogado.

Mas o agente aduaneiro é a ameaça mais comum. O posto de controle é o encontro mais frequente. O momento da entrega do dispositivo é o momento que importa.

O AppVault foi construído para esse momento.