DE EN
VeilVault Logo

Dokumentation

Sicherheitsmodell

← Zurück zur Doku Zurück zu VeilVault →

Sicherheitsmodell

Dieses Dokument beschreibt das Sicherheitsmodell von VeilVault: welche Annahmen es trifft, welche Garantien es bietet und welche Grenzen es nicht überschreitet.

VeilVault ist ein sicherheitsfokussierter, offline-only Passwort-Vault von CodeVeil.

Dieses Dokument ist bewusst high-level gehalten. Bestimmte Implementierungsdetails werden nicht öffentlich dokumentiert, um die Angriffsfläche zu reduzieren.

Zentrale Sicherheitsziele

VeilVault ist dafür gebaut:

  • gespeicherte Secrets im Ruhezustand zu schützen, wenn das Gerät verloren geht oder gestohlen wird
  • Offline-Angriffe auf den Vault rechnerisch teuer zu machen
  • stille Downgrades oder teilweise Entsperrzustände zu verhindern
  • Manipulationen an Vault-Daten zu erkennen
  • sensitive Daten strikt auf das Gerät des Nutzers zu begrenzen

VeilVault versucht nicht, Probleme zu lösen, die Server, Accounts oder Vertrauen in Dritte voraussetzen.

Warum Offline-Only

VeilVault ist so konzipiert, dass es ohne Netzwerkabhängigkeit funktioniert.

Diese Entscheidung ist bewusst und prägt viele Sicherheits-Eigenschaften.

Durch Offline-Only:

  • entfallen serverseitige Angriffsflächen
  • muss keiner Remote-Infrastruktur vertraut werden
  • werden accountbasierte Identitäts- und Recovery-Systeme vermieden
  • wird stille Datenübertragung oder Synchronisation verhindert
  • hängt Vault-Sicherheit nur vom Gerät und dem Master-Passwort ab

Diese Eigenschaften sind in Designs mit Cloud oder Remote-Sync nicht erreichbar. Der Tradeoff ist bewusst.

VeilVault verzichtet auf Cross-Device-Komfort und Recovery-Mechanismen zugunsten von:

  • geringerer Komplexität
  • weniger Trust-Annahmen
  • klareren Sicherheitsgrenzen

Das passt zu VeilVaults security-first Philosophie.

Trust Boundaries

Geräte-lokaler Betrieb

VeilVault arbeitet vollständig auf dem Gerät des Nutzers.

  • Keine Cloud-Speicherung
  • Keine Accounts
  • Keine Synchronisationsdienste
  • Keine serverseitige Verarbeitung

Alle kryptografischen Operationen, Key-Derivation, Verschlüsselung und Entschlüsselung erfolgen lokal.

Nutzerkontrollierter Zugriff

Der Zugriff auf den Vault wird durch ein vom Nutzer gewähltes Master-Passwort kontrolliert.

  • Es gibt keinen Passwort-Reset
  • Es gibt keine Hintertür oder escrowed Keys
  • Wenn das Master-Passwort verloren ist, ist der Vault nicht wiederherstellbar

Das ist eine bewusste Designentscheidung.

Kryptografische Grundlagen (High-Level)

VeilVault nutzt moderne, etablierte kryptografische Primitive:

  • Eine memory-hard Key-Derivation, um Verschlüsselungskeys aus dem Master-Passwort abzuleiten
  • Authenticated Encryption, um Vertraulichkeit und Integrität der Vault-Daten sicherzustellen

Kryptografische Primitive werden konservativ eingesetzt und nicht selbst entworfen. Konkrete Parameter und interne Konstruktionen werden bewusst nicht öffentlich dokumentiert.

Vault-Verschlüsselung & Integrität

  • Alle Vault-Inhalte werden als Ganzes verschlüsselt
  • Verschlüsselung liefert Vertraulichkeit und Manipulationserkennung
  • Jede Änderung an verschlüsselten Vault-Daten führt zum Fehlschlag beim Entsperren
  • Falsche Passwörter und beschädigte Vault-Dateien werden als Hard-Failure behandelt

Es gibt kein Partial-Unlock, keinen Degraded-Mode und keine “best-effort” Entschlüsselung.

Key-Lifecycle & Memory Handling

  • Das Master-Passwort wird als veränderbare Zeichendaten behandelt, nicht als immutable Strings
  • Abgeleitete Verschlüsselungskeys existieren nur im Speicher
  • Keys sind nur vorhanden, solange der Vault entsperrt ist
  • Keys werden gelöscht, wenn:
    • der Vault gesperrt wird
    • die App in den Hintergrund geht und Auto-Lock auslöst
    • ein Emergency Wipe ausgeführt wird
    • der Prozess beendet wird

Keys werden niemals im Klartext auf die Disk geschrieben.

Session-Isolation

VeilVault verwaltet explizite Session-States:

  • Gesperrt
  • Entsperrt (echter Vault)
  • Decoy-Session

Jeder State hat klare Grenzen.

Decoy-Sessions

  • Decoy-Unlocks laden niemals echte Vault-Daten
  • Echte Encryption-Keys werden im Decoy-Modus nie abgeleitet
  • Decoy-Daten sind vollständig vom echten Vault isoliert
  • Nach einem Decoy-Unlock wird biometrisches Entsperren unterdrückt, bis ein realer Unlock erfolgt

Das verhindert unbeabsichtigte Offenlegung echter Vault-Inhalte nach einer Decoy-Interaktion.

Biometrisches Entsperren (Optional)

Biometrische Authentifizierung ist optional und wird explizit vom Nutzer aktiviert.

  • Biometrie ersetzt niemals das Master-Passwort
  • Einrichtung erfordert vorherige Authentifizierung per Master-Passwort
  • Biometrische Secrets werden invalidiert, wenn:
    • sich das Master-Passwort ändert
    • der Vault gelöscht wird

Biometrie ist Komfort, keine primäre Sicherheitsgrenze.

PanicHold & Notfall-Aktionen

VeilVault enthält nutzergetriggerte Aktionen für Hochrisiko-Situationen.

  • PanicHold verdeckt sensible Inhalte sofort oder sperrt den Vault
  • PanicHold-Aktionen sind nicht-destruktiv und reversibel
  • Emergency Wipe löscht lokale Vault-Daten dauerhaft
  • Emergency Wipes beeinflussen Lizenz- oder Trial-Status nicht
  • Nach einem Emergency Wipe ist ein Import eines Backups nötig, um wieder Zugriff zu erhalten

Emergency Wipe ist die einzige destruktive Aktion.

Failure-Verhalten

VeilVault ist so gebaut, dass es sicher scheitert.

  • Falsche Passwörter leaken keine Informationen
  • Beschädigte Vault-Daten werden nicht teilweise entschlüsselt
  • Auth-Fehler verändern den Vault-Zustand nicht
  • Save-Operationen nutzen atomaren Replace, um Datenverlust zu vermeiden

Stille Failure-Modes werden vermieden.

Threat-Annahmen

VeilVault nimmt an:

  • Das Betriebssystem ist nicht kompromittiert
  • Das Gerät ist nicht gerootet
  • Der Nutzer gibt sein Master-Passwort nicht freiwillig weiter

VeilVault behauptet nicht, zu schützen gegen:

  • Malware mit Root- oder Kernel-Rechten
  • Hardware-basierte Extraktion durch sehr fortgeschrittene Angreifer
  • Angriffe, während der Vault entsperrt und sichtbar ist
  • Kompromittierung des Betriebssystems

Nicht-Ziele

VeilVault versucht ausdrücklich nicht zu liefern:

  • Cross-Device Sicherheitsgarantien
  • Account-basierte Wiederherstellung
  • Remote-Wipe über Server
  • Schutz gegen alle physischen Angriffe

Sicherheit wird über klare Grenzen definiert, nicht über unrealistische Versprechen.

Transparenz-Statement

VeilVault dokumentiert sein Sicherheitsmodell, damit Nutzer informierte Entscheidungen treffen können.

Einige Implementierungsdetails werden bewusst zurückgehalten, um die Angriffsfläche zu reduzieren und dennoch sinnvolle Transparenz zu liefern. Diese Balance ist beabsichtigt.

← Zurück zur Doku