VaultSort V4 liga a criptografia ao hardware e integra Touch ID

23 de junho de 2026

Resumo

VaultSort V4 torna a criptografia de arquivos no macOS vinculada ao hardware e adiciona o Touch ID como chave de primeira classe, passando a criptografia por impressão digital pela mesma trilha apoiada pelo Secure Enclave usada por uma YubiKey. Na cadeia do V4, uma wrap key por arquivo é derivada a partir da saída de uma PRF de hardware via HKDF-SHA-256, um arquivo aleatório de 256 bits é selado com AES-256-KWP e o corpo é criptografado com AES-256-GCM sob um header autenticado, o que corrige uma lacuna do V3 em que o toque da YubiKey era apenas uma barreira na camada de aplicação e o file key podia ser derivado offline do repositório local de credenciais do VaultSort. O Touch ID exige macOS 14 Sonoma ou posterior e, como se trata de uma divulgação do próprio fornecedor para um produto fechado de US$ 24,99, as garantias no nível de bytes dependem do Security Design Document gratuito do próprio VaultSort, e não de uma revisão independente.

Aprofundamento CEVIU

Aprofundamento

O VaultSort V4 não é só mais uma atualização de interface: é uma correção estrutural de um defeito de projeto crítico na versão anterior. Na V3, o toque físico no YubiKey era apenas um bloqueio na camada de aplicação, o key derivation ainda dependia de dados armazenados localmente (IDs de credenciais e chaves públicas), o que permitia, em teoria, a derivação offline da file key se um atacante obtivesse tanto os arquivos criptografados quanto o repositório local de credenciais. A V4 elimina essa lacuna ao tornar o hardware parte obrigatória da cadeia criptográfica: o PRF é executado exclusivamente dentro do Secure Enclave (Touch ID) ou do chip do YubiKey, e sua saída é usada diretamente como entrada para o HKDF-SHA-256, sem nenhuma representação persistente no disco.

A escolha por AES-256-KWP para encapsular a file key (em vez de simplesmente cifrá-la com AES-CBC ou derivá-la via PBKDF2) garante autenticação explícita da chave de envoltório, enquanto o AES-256-GCM no corpo do arquivo protege integridade e confidencialidade sob um header autenticado. Isso corrige uma fraqueza clássica de formatos anteriores: a possibilidade de manipulação do header para forçar falhas de decodificação ou ataques de oracle.

O que mudou

A mudança entre V3 e V4 é técnica e conceitual: antes, o hardware era um 'gatekeeper' de UI; agora, é um 'co-signatário criptográfico'. O que era rumor em abril, sobre vulnerabilidades de derivação offline em ferramentas baseadas em hardware, virou realidade com a própria admissão da equipe do VaultSort na análise interna. Não houve vazamento nem exploração pública, mas a empresa reconheceu que o modelo V3 não cumpria o que prometia: 'hardware-bound encryption'. A V4 entrega isso, e, com ela, a primeira implementação prática de Touch ID como mecanismo de key derivation compatível com FIDO2 PRF e com garantias equivalentes às de uma YubiKey física.

Por que isso importa

Para empresas que usam macOS em ambientes regulados (como financeiras ou órgãos públicos), a V4 muda o jogo: agora é possível auditar e validar que a criptografia de arquivos sensíveis depende de um fator físico intransferível, e não de uma senha ou de um banco de dados local que pode ser copiado. Isso alinha o VaultSort com exigências de frameworks como NIST SP 800-53 (SC-12, SC-28) e LGPD Art. 46, que exigem proteção 'por design' e 'por padrão'. E, diferentemente de soluções baseadas em FileVault ou iCloud Keychain, o VaultSort mantém o controle total sobre o ciclo de vida da chave, sem dependência de serviços em nuvem ou de políticas de terceiros.

Linha do tempo

2026-04-27
HashiCorp Vault 2.0 introduz federação de identidade de workload com tokens de curta duração para nuvens
2026-05-01
IBM Vault integra ACME para unificar PKI pública e privada
2026-05-08
CEVIU analisa convergência entre biometria, pagamentos e controle de ativos em apps de cripto
2026-06-22
VaultSort lança V4 com criptografia vinculada ao hardware e suporte nativo a Touch ID

Perguntas frequentes

O VaultSort V4 substitui o FileVault?

Não. O FileVault criptografa todo o disco; o VaultSort V4 criptografa arquivos individuais com chaves vinculadas ao hardware. São camadas complementares: você pode usar ambos ao mesmo tempo, FileVault protege contra roubo físico do Mac, e VaultSort protege contra acesso não autorizado a arquivos específicos mesmo com o sistema ligado.

Se eu perder meu Mac com Touch ID ativado, posso recuperar meus arquivos criptografados?

Sim, desde que tenha salvo o código de recuperação de uma vez oferecido durante o cadastro do Touch ID. Esse código permite derivar uma nova wrap key sem hardware. Ele não é armazenado no iCloud nem no dispositivo: é gerado localmente e entregue uma única vez. Se perdido, não há recuperação, o que reforça o caráter 'hardware-bound' do sistema.

A V4 é compatível com backup em nuvem?

Sim, mas com ressalvas. Os arquivos criptografados podem ser enviados para qualquer serviço de nuvem (Dropbox, iCloud Drive etc.), pois são autocontidos. Porém, o repositório local de credenciais do VaultSort (que contém salts e metadados) não deve ser sincronizado, ele é vinculado ao hardware específico do Mac. Se restaurar esse repositório em outro dispositivo, a decodificação falhará.

Por que usar HKDF-SHA-256 em vez de HKDF-SHA-384 ou BLAKE3?

A escolha segue o NIST SP 800-108 e é coerente com a stack de segurança do Secure Enclave da Apple, que já usa SHA-256 em operações de PRF. Usar um hash diferente exigiria adaptações no firmware do enclave, algo fora do escopo do VaultSort. Além disso, o SHA-256 é suficiente para 256 bits de segurança quando combinado com uma PRF de hardware verdadeiramente secreta.

Links relacionados

Fontes

vaultsort.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 23 de junho de 2026
Editoria: CEVIU Segurança da Informação