DE EN
VeilVault Logo

Dokumentation

Bedrohungsmodell

← Zurück zur Doku Zurück zu VeilVault →

Bedrohungsmodell

Dieses Dokument beschreibt das Bedrohungsmodell von VeilVault: welche Risiken mitigiert werden, welche Annahmen gelten und welche Bedrohungen ausdrücklich außerhalb des Scopes liegen.

VeilVault ist ein sicherheitsfokussierter, offline-only Passwort-Vault von CodeVeil.

Dieses Dokument setzt klare Erwartungen und verhindert Missverständnisse darüber, wogegen VeilVault schützen kann – und wogegen nicht.

Zweck dieses Bedrohungsmodells

Kein Security-Produkt kann gegen alle denkbaren Bedrohungen schützen.

VeilVault definiert seine Grenzen explizit, damit du verstehst:

  • welche Schutzmechanismen bereitgestellt werden
  • welche Verantwortung bei dir bleibt
  • wo VeilVault bewusst die Linie zieht

Klarheit ist ein Sicherheitsfeature.

Welche Assets geschützt werden

VeilVault ist dafür ausgelegt, zu schützen:

  • gespeicherte Passwörter und sichere Notizen im Ruhezustand
  • Vault-Daten, falls das Gerät verloren geht oder gestohlen wird
  • die Integrität des Vaults gegen Offline-Manipulation
  • Secrets gegen Offline-Brute-Force-Angriffe

Das Master-Passwort ist die einzige Root of Trust.

Annahmen

VeilVault arbeitet unter folgenden Annahmen:

  • Das Betriebssystem des Geräts ist nicht kompromittiert
  • Das Gerät ist nicht gerootet
  • Androids App-Sandboxing ist intakt
  • Der Nutzer gibt das Master-Passwort nicht freiwillig weiter

Wenn diese Annahmen verletzt werden, gelten VeilVaults Garantien nicht mehr.

Bedrohungen, die VeilVault mitigieren soll

1. Verlust oder Diebstahl (Vault gesperrt)

VeilVault schützt gegen Angreifer, die physischen Zugriff auf ein Gerät erhalten, während der Vault gesperrt ist.

Mitigations:

  • Verschlüsselte Vault-Speicherung
  • Memory-hard Key-Derivation
  • Keine Klartext-Secrets auf Disk
  • Keine Cloud- oder serverseitigen Kopien

2. Offline-Brute-Force-Angriffe

VeilVault ist so gebaut, dass Offline-Guessing-Angriffe rechnerisch teuer werden.

  • Encryption-Keys werden über eine memory-hard Funktion abgeleitet
  • Vault-Daten können nicht teilweise entschlüsselt werden
  • Falsche Passwörter führen zu vollständigem Auth-Failure

3. Manipulation der Vault-Datei

VeilVault erkennt unautorisierte Änderungen an Vault-Daten.

  • Verschlüsselte Vault-Daten enthalten Integritätsschutz
  • Manipulierte oder beschädigte Vault-Dateien scheitern bei der Authentifizierung
  • Es gibt keinen Fallback oder Degraded-Unlock-Modus

4. Zufälliger oder opportunistischer Zugriff

VeilVault reduziert versehentlichen oder casual Zugriff durch:

  • Auto-Lock
  • Explizite Unlock-Aktionen
  • Optionales biometrisches Gating
  • Panic-Aktionen, die sensible Inhalte sofort verdecken oder den Vault sperren

5. Zwangssituationen (begrenzt)

VeilVault enthält optionale Features, die Schaden in Zwangssituationen reduzieren sollen:

  • Ein Decoy-Unlock-Modus, der unkritische Daten zeigt
  • Emergency Wipe-Aktionen, die Vault-Daten dauerhaft löschen

Diese Features sind defensive Maßnahmen, keine Garantie für plausible deniability.

Bedrohungen, gegen die VeilVault keinen Schutz verspricht

VeilVault behauptet nicht, zu schützen gegen:

1. Kompromittierte Geräte

  • Gerootete Geräte
  • Kernel-Level Malware
  • Modifizierte Betriebssysteme
  • Debug-/Instrumentation-Frameworks

Ein Angreifer mit OS-Kontrolle kann App-Level Protections umgehen.

2. Angriffe, während der Vault entsperrt ist

VeilVault nutzt Betriebssystem-Mechanismen, um Screenshots und Screen-Recording zu begrenzen, solange sensible Inhalte sichtbar sind.

Wie bei allen App-Level Schutzmaßnahmen hängt das von der Durchsetzung durch das Betriebssystem ab und gilt nicht, wenn das Gerät kompromittiert ist.

VeilVault schützt nicht gegen:

  • Shoulder Surfing
  • Bösartige Accessibility-Services
  • Malware mit erhöhten oder systemweiten Rechten
  • Angriffe, während der Nutzer den Vault aktiv auf einem kompromittierten Gerät verwendet

3. Fortgeschrittene physische Angriffe

VeilVault behauptet nicht, zu widerstehen gegen:

  • Hardware-Extraction
  • Chip-Level Analyse
  • Nation-State oder Lab-Grade Adversaries

Solche Bedrohungen liegen außerhalb des Scopes einer Consumer-Mobile-App.

4. Nutzerfehler

VeilVault kann nicht schützen gegen:

  • Schwache Master-Passwörter
  • Wiederverwendung des Master-Passworts an anderer Stelle
  • Unsicheres Speichern sensibler Informationen außerhalb des Vaults
  • Freiwillige Weitergabe von Zugangsdaten

Security hängt am Ende von Nutzerentscheidungen ab.

Decoy-Modus: wichtige Hinweise

Der Decoy-Modus soll Risiken in High-Pressure-Situationen reduzieren.

Wichtige Limits:

  • Der Decoy-Modus versteckt nicht die Existenz von VeilVault
  • Er tarnt echte Daten nicht kryptografisch
  • Er schützt nicht gegen entschlossene forensische Analyse

Der Zweck ist Risikoreduktion, nicht absolute Tarnung.

PanicHold & Emergency Wipe: Limits

PanicHold-Features sind für sofortige Reaktion gedacht:

  • PanicHold-Aktionen verdecken sensible Inhalte oder sperren den Vault
  • PanicHold-Aktionen sind nicht-destruktiv und reversibel

Emergency Wipe-Aktionen sind destruktiv und irreversibel:

  • Nach Auslösung werden Vault-Daten dauerhaft gelöscht
  • Es gibt keinen Undo-Mechanismus
  • Wipes beeinflussen Lizenz oder App-Installation nicht

Emergency Wipe ist die einzige destruktive Aktion.

Zusammenfassung

VeilVault bietet starke Schutzmechanismen innerhalb klar definierter Grenzen.

Prioritäten:

  • Offline-Security
  • Vorhersehbares Verhalten
  • Explizite Nutzerkontrolle
  • Ehrliche Limits

VeilVault versucht nicht, universelle oder absolute Sicherheit zu liefern. Es liefert klare Garantien, wo möglich und klare Warnungen, wo nicht.

← Zurück zur Doku