Вы добавляете наследника в Apple Legacy Contact, настраиваете Менеджер неактивных аккаунтов Google, выбираете людей, которым доверяете, и считаете, что вопрос цифрового наследования уже решен.
Это, безусловно, лучше, чем не делать ничего. Оба инструмента могут сохранить важные части вашей цифровой жизни и предоставить семье путь к восстановлению доступа, которого иначе не существовало бы.
Но они не создают полноценный план цифрового наследования.
В случае с Apple вы заранее подготавливаете будущий запрос, с помощью которого ваш наследник сможет после вашей смерти попросить доступ к определенным данным аккаунта. В случае с Google вы создаете автоматическую инструкцию: уведомить выбранных людей или передать им определенные данные, если аккаунт станет неактивным.
Это полезные функции, но границы в обоих случаях по-прежнему определяет платформа. Apple и Google решают, какие данные можно раскрыть, что останется недоступным, какое событие запустит процесс, как будет проверяться получатель и какой именно доступ он в итоге получит.
Вы строите план внутри их систем и по их правилам.
Что на самом деле предоставляют Apple и Google
Apple Legacy Contact предназначен для того, чтобы после вашей смерти выбранные люди могли получить доступ к определенной информации, хранящейся в вашем аккаунте Apple.
Доступные данные могут включать фотографии, сообщения, заметки, файлы, резервные копии устройств и другую разрешенную информацию. Однако Apple исключает приобретенный медиаконтент и подписки, а также данные, хранящиеся в Связке ключей iCloud. Это означает, что наследник не сможет получить сохраненные там пароли или ключи доступа.
Чтобы начать процесс, наследнику потребуется уникальный ключ доступа, созданный при его назначении, и копия свидетельства о смерти. После этого Apple проверяет запрос и только затем предоставляет доступ.
Менеджер неактивных аккаунтов Google работает по другой модели. Вы можете выбрать до десяти контактов, определить, какие данные получит каждый из них, и указать, сколько времени Google должен ждать, прежде чем считать аккаунт неактивным.
После истечения заданного срока Google может уведомить выбранных людей и предоставить им ссылку для скачивания указанных вами данных. Номер телефона получателя используется для дополнительной проверки того, что доступ получает нужный человек. Google также прямо указывает, что через эту систему можно передать не всю информацию аккаунта.
Ни один из этих инструментов не предоставляет другому человеку полный доступ к вашему аккаунту, всем учетным данным или ко всем внешним сервисам, связанным с вашей электронной почтой.
Условия передачи все равно определяет платформа
Apple определяет, к каким категориям данных может получить доступ наследник. Компания также решает, какие документы нужно предоставить и соответствует ли запрос ее требованиям.
Google дает больше контроля над тем, кто и какие данные получит, но по-прежнему сам определяет, какие продукты участвуют в программе, какую информацию можно передать, какие сигналы считаются активностью и как получатель должен подтвердить свою личность.
Эта зависимость может не иметь значения, если все проходит точно по стандартному сценарию. Проблема возникает, когда ситуация в него не укладывается.
Компании также могут закрывать продукты, менять интерфейсы, реорганизовывать аккаунты, добавлять или удалять категории данных и изменять процедуры проверки.
Это не означает, что Apple или Google намерены проигнорировать ваши инструкции. Это означает, что ваши инструкции существуют внутри сервиса, которым управляет и который поддерживает другая организация.
Вы когда-нибудь пытались обжаловать решение огромной компании?
Обжаловать решение платформы трудно даже тогда, когда вы живы, ваши устройства находятся у вас и вы можете объяснить всю историю собственного аккаунта.
Теперь представьте, что то же самое должен делать ваш наследник, одновременно доказывая свое право на доступ или объясняя несоответствия в предоставленных документах.
Если стандартный процесс не сработает, ему, возможно, придется столкнуться с автоматизированной поддержкой, проверками личности, незнакомой юридической терминологией и чрезмерно сложной процедурой, почти не учитывающей индивидуальные обстоятельства.
Осторожность компании понятна. Передать личные данные умершего или пропавшего человека не тому заявителю было бы серьезной ошибкой. Но именно компания контролирует проверку, толкование собственных правил и окончательное решение.
Слишком рискованно делать такой процесс единственным путем к важному активу.
Их механизмы запуска могут не соответствовать реальной чрезвычайной ситуации
О цифровом наследовании обычно говорят как о проблеме, которая возникает после смерти. В действительности доступ к вашим ресурсам или инструкциям может понадобиться задолго до появления свидетельства о смерти.
Человек может пропасть во время поездки, попасть в больницу, потерять все устройства, стать недееспособным, оказаться задержанным или просто перестать выходить на связь.
Apple Legacy Contact напрямую не решает такие ситуации. Его механизм запуска — документально подтвержденная смерть. Если вы живы, но не можете общаться, событие, необходимое для активации процесса, еще не наступило.
Модель Google, основанная на неактивности, шире, но неактивность все равно остается лишь косвенным сигналом.
Google учитывает недавние входы, активность в разделе «Мои действия», использование Gmail и обращения Android-устройств к сервисам. Эти сигналы могут показать, что аккаунт используется, но не позволяют установить, кто в действительности им управляет и почему активность прекратилась.
Подключенный телефон может продолжать обращаться к сервисам после того, как его владелец перестал быть доступен. Другой человек может по-прежнему иметь доступ к аккаунту. Рабочее устройство может продолжать создавать активность. Аккаунт может оставаться технически активным, хотя человек, чья доступность действительно важна, уже не отвечает.
Возможна и обратная ситуация. Человек может забросить старый аккаунт Google, перейти к другому провайдеру или перестать пользоваться устройством, хотя с ним ничего не произошло.
Ни одна из систем не задает более практичный вопрос:
Перестал ли владелец отвечать по достаточному числу независимых каналов, чтобы аварийный процесс должен был перейти к следующему этапу?
Для ответа на этот вопрос одного фиксированного триггера недостаточно.
Ни одна платформа не видит все ваше цифровое наследие
Apple может работать только с информацией внутри экосистемы Apple. Google — только с данными, связанными с продуктами Google.
Самый важный цифровой актив может находиться совсем в другом месте.
Это может быть:
- криптовалютный кошелек с самостоятельным хранением ключей;
- аккаунт на криптовалютной бирже;
- портфель доменов;
- сервер, на котором работает онлайн-бизнес;
- репозиторий исходного кода;
- аккаунт у облачного провайдера;
- платежный сервис;
- хранилище менеджера паролей;
- зашифрованный диск;
- аппаратный ключ безопасности;
- монетизируемый канал в социальной сети;
- база данных;
- набор API-ключей;
- или автономный агент, работающий на сервере и управляющий собственным кошельком.
На Google Drive могут храниться сотни документов, но наследнику все равно нужно знать, что искать и где именно. Кроме того, не стоит хранить все пароли, закрытые ключи и seed-фразы на Google Drive в открытом виде: это создало бы еще одну критическую точку отказа.
Цифровое наследование включает как минимум три этапа:
1. Наследник должен узнать, что актив вообще существует.
2. Он должен получить техническую информацию, необходимую для доступа.
3. Ему могут понадобиться юридические полномочия для управления активом или его передачи.
Apple и Google могут помочь на первом этапе и, в ограниченных случаях, частично на втором. Все три этапа они автоматически не решают.
Передача секрета другому человеку уже сегодня создает новую проблему
Когда люди понимают ограничения платформенных инструментов, очевидным решением кажется передать важную информацию кому-то заранее.
Можно отдать seed-фразу родственнику, включить пароли в завещание, оставить документ в сейфе, передать аварийный комплект юристу или разделить секрет между несколькими людьми.
Это повышает вероятность того, что нужная информация будет найдена позже. Но одновременно она становится доступной раньше времени.
Человеку, у которого есть читаемая seed-фраза, не нужно ждать, чтобы воспользоваться ею. Документ в физическом хранилище можно скопировать или сфотографировать. Юрист, исполнитель завещания, родственник, сотрудник или другой хранитель может быть надежным сегодня, но через несколько лет оказаться скомпрометированным, подвергнуться давлению, быть замененным или стать участником конфликта.
Разделение секрета между несколькими людьми меняет риски, но не устраняет их. Один фрагмент может потеряться, один из участников может стать недоступным, группа может перестать сотрудничать, а части секрета могут объединить раньше, чем вы планировали.
В этом и состоит главная сложность безопасного цифрового наследования:
Как подготовить передачу сегодня, не раскрывая секрет уже сегодня?
Получатель должен в итоге получить информацию, но пока вы контролируете ситуацию, никто не должен хранить от вашего имени ее читаемую копию.
Другая модель: условная передача зашифрованной информации
The Digital Heir создан именно для решения этой задачи.
Вместо того чтобы заранее передавать учетные данные другому человеку, вы помещаете нужную информацию в зашифрованный Конверт. В нем могут находиться seed-фразы, пароли, закрытые ключи, инструкции по работе с серверами, данные аккаунтов или просто описание существующих активов и указание, где искать следующий шаг восстановления.
Затем вы настраиваете Pipeline — последовательность проверок, предназначенную для определения того, остаетесь ли вы на связи.
Pipeline может начинаться с проверки вашей недавней активности в Telegram. Если ожидаемой активности нет, система отправляет сообщение в WhatsApp и ждет ответа. Если вы не отвечаете отдельным Okay Password, она может использовать другой подтвержденный канал, снова подождать и продолжить настроенную последовательность.
Если вы отвечаете правильно, Pipeline сбрасывается.
Если все заданные проверки завершаются неудачей, система отправляет выбранному наследнику ограниченную по времени ссылку, по которой он может попытаться расшифровать Конверт. Система не передает сам внешний кошелек, домен, аккаунт или бизнес. Она передает защищенную информацию, необходимую для их обнаружения или получения доступа.
Это создает другую модель отношений между владельцем, платформой и наследником.
Вы сами определяете процесс эскалации
Apple использует документально подтвержденную смерть. Google — неактивность аккаунта.
The Digital Heir позволяет владельцу задать последовательность из нескольких сигналов, каналов связи и периодов ожидания.
Одна неудачная проверка не обязана приводить к раскрытию информации. Отсутствие недавней активности в социальной сети может запустить отправку прямого сообщения. После него может быть отправлено письмо. Для каждого шага можно указать собственный срок ожидания, а правильный ответ останавливает и сбрасывает процесс.
Процесс фиксирует, что владелец не ответил на настроенную им последовательность проверок. Именно это техническое условие он выбрал для отправки наследнику ссылки на страницу расшифровки.
Поэтому система применима не только после смерти, но и при исчезновении, недееспособности, задержании, потере устройств или другой длительной невозможности связаться.
Свидетельство о смерти не требуется, и ни один сотрудник вручную не решает, достаточно ли серьезна ситуация. Момент отправки ссылки наследнику определяется настроенным Pipeline.
Никому не нужно заранее хранить читаемый секрет
Наследнику даже не обязательно знать, что вы его выбрали, пока Pipeline не завершится.
Получив ссылку, он все равно не получает открытый текст автоматически. Ему необходимо ответить на один из персональных вопросов, которые вы подготовили. Вопросы должны быть связаны с общими воспоминаниями: правильному человеку легко вспомнить ответ, а постороннему — трудно его угадать.
Сервис не хранит эти секретные ответы. В базе данных находятся зашифрованный Конверт и криптографические данные, необходимые для расшифровки, но нет копии самого ответа.
Практическое преимущество не в том, что ни один живой человек никогда не может узнать секрет. Вы как владелец знаете, что положили в Конверт, а наследник впоследствии может его расшифровать.
Преимущество в том, что не нужен дополнительный живой хранитель открытого текста.
Ни наследнику, ни юристу не нужно получать его заранее.
Передачу можно подготовить, не создавая читаемую копию в распоряжении другого человека.
Одной базы данных недостаточно
Конверт шифруется в браузере случайным ключом шифрования данных. Дополнительная защита выводится из секретного ответа, а защищенный ключевой материал оборачивается с помощью внешней инфраструктуры управления ключами.
Сервис не хранит ни открытый текст Конверта, ни секретные ответы. Попытки расшифровки ограничиваются по частоте и блокируются на уровне приложения, поэтому злоумышленник, получивший только базу данных, не сможет проверять неограниченное число вариантов в офлайн-режиме.
Несколько поставщиков KMS используются как реплики, чтобы снизить зависимость от одного провайдера и повысить доступность. Это не три части, которые нужно собрать вместе: безопасность по-прежнему зависит от слоя шифрования, производного от ответа, защищенной операции KMS и принудительных ограничений на перебор.
Цель такой архитектуры — сделать так, чтобы компрометации одного компонента было недостаточно для раскрытия Конверта.
Поэтому посторонний не должен иметь возможности приватно проверить миллионы вариантов ответа, не взаимодействуя с работающей системой, где действуют ограничения частоты запросов.
Проект имеет открытый исходный код, поэтому эти заявления и соответствующие участки кода можно проверять, а не принимать исключительно как маркетинговые обещания.
Внешние аудиты безопасности и криптографии по-прежнему входят в дорожную карту, однако The Digital Heir уже доступен и позволяет начать безопасно готовить передачу цифровых активов уже сегодня.