Co sprawia, że polski komunikator UseCrypt Messenger jest tak bezpieczny?

Poniedziałek, 30 Października 2017, 13:30
Poniedziałek, 30 Października 2017, 13:30
Poniedziałek, 30 Października 2017, 13:30

W porównaniu do znanych produktów konkurencji, aplikacja korzysta z autorskich zabezpieczeń, gwarantujących pełną prywatność przesyłanych informacji, aby wykluczyć ryzyka podsłuchu czy ataku hackerskiego.

W UseCrypt Messenger, połączenia zestawiane są poprzez serwer pośredniczący, który nie uczestniczy w żadnych operacjach kryptograficznych, co gwarantuje pełną anonimowość użytkownikowi. Co więcej, Dodatkowo jest to jedyna aplikacja pozwalająca sprawdzić, czy telefon nie jest obiektem inwigilacji. Poufność danych użytkownikowi zapewnia też fakt, że usługodawca nie przechowuje na serwerze danych Użytkownika. Wszystko to, czyni UseCrypt Messenger fundamentalnie nowym rozwiązaniem do komunikacji on-line.

Fundamentalnie nowa idea komunikacji

W odróżnieniu od większości obecnych na rynku rozwiązań, komunikator UseCrypt Messenger wykorzystuje mechanizm szyfrujący połączenia głosowe całkowicie niezależny od mechanizmu szyfrującego komunikację tekstową. Wykorzystany protokół ZRTP (Zimmermann Real-Time Protocol) pozwala na negocjację klucza kryptograficznego dopiero w momencie zestawienia połączenia pomiędzy klientami usługi, podczas gdy rozwiązania konkurencyjne korzystają z klucza ustalonego przed wykonaniem połączenia, co pozwala na wprowadzenie tylnych furtek do oprogramowania, umożliwiających odtworzenie prowadzonej komunikacji w konkurencyjnych rozwiązaniach.

Protokół wykorzystywany w UseCrypt Messenger zapewnia pełne szyfrowanie end-to-end, wprowadza także mechanizm wykrywania ataków man-in-the-middle w postaci dodatkowej warstwy ochrony - short authentication string – krótkiego wyrażenia pozwalają na porównanie wynegocjowanie parametrów z drugą stroną połączenia. Po zestawieniu połączenia na ekranie pokazywane są dwa wyrazy. Takie same dwa wyrazy są wyświetlane na ekranie drugiej osoby. Dla pełnego bezpieczeństwa należałoby ropocząć rozmowę od porównania tych ciągów. Jeżeli są takie same – połączenie jest bezpieczne (nikt nie przechwytuje komunikacji pomiędzy punktami). Do szyfrowania komunikacji jest wykorzystywany algorytm szyfrujący AES, dla którego, w odróżnieniu od stosowanych w standardowej komunikacji telefonicznej szyfrów A5/2 i A5/3, nie zostały wykazane praktyczne ataki.

Fot. Usecrypt

Pełna prywatność użytkownika

Produkt firmy Usecrypt S.A., pozwala także na anonimizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Rozwiązanie to pozwala na ukrycie adresu IP przed komunikującymi się ze sobą stronami – każda z nich posiada jedynie adres IP serwera pośredniczącego. W przypadku innych komunikatorów, np. Signal, Viber, czy też WhatsApp użytkownicy mogą swobodnie określić lokalizację drugiej strony komunikacji.

Niespotykana jakość dźwięku

Kompresja sygnału audio dla połączeń głosowych jest realizowana z wykorzystaniem kodeka Speex wyspecjalizowanego w obsłudze mowy. Dźwięk jest próbkowany z częstotliwością 16 kHz, przy stałej przepływności 27800 bps constant bitrate (CBR) - kodek o stałej przepływności.  „CBR powoduje, że każda sekunda rozmowy jest kodowana na stałą ilość danych. W VBR ilość danych jest różna w zależności od treści rozmowy (chwile ciszy, zmiany tonacji itp.). Plus VBR – mniejsza ilość danych, lepsza jakość. Minusy – można zbudować słownik najpopularniejszych słów i ich odpowiedników w postaci ilości danych na słowo. Stąd można deszyfrować większość komunikacji nie posiadając klucza. W UseCrypt atak ten nie ma miejsca.” – mówi Kamil Kaczyński, specjalista kryptolog. W trakcie rozmowy przez UseCrypt Messenger, połączenie przychodzące GSM otrzyma sygnał „zajęty”. Dodatkowo, przełączanie pomiędzy stacjami BTS (stacje przekaźnikowe GSM) nie ma wpływu na połącznie, gdyż IP pozostaje stałe. Powyższe parametry gwarantują transfer sygnału audio w jakości HD Voice.

Side-channel

W odróżnieniu od rozwiązań konkurencyjnych, wykorzystujących kodeki o zmiennej przepływności, w UseCrypt Messenger wykorzystano kodek o stałej przepływności. Podyktowane jest to zwiększeniem poziomu bezpieczeństwa całej usługi. Kodeki o zmiennej przepływności stosowane m.in. w Signal są podatne na ataki typu side-channel. Umożliwiają one odzyskanie większości komunikacji bez potrzeby dokonywania jej dekryptażu. Kodek CBR UseCrypt Messenger jest całkowicie odporny na ten rodzaj ataków.

Czat bardziej poufny niż spotkanie twarzą w twarz

UseCrypt Messenger do ochrony komunikatów tekstowych wykorzystuje protokół zapewniający zachowanie zasady forward-secrecy. Serwer pośredniczący nie przechowuje żadnych komunikatów przesyłanych przez użytkowników. „Klucze kryptograficzne dla danej pary użytkowników posiadają jedynie urządzenia końcowe, zatem administratorzy usługi UseCrypt Messenger nie są w stanie odzyskać żadnej treści prowadzonej komunikacji” – dodaje Kamil Kaczyński. Wiadomości pozostają bezpieczne, zamknięte w szyfrowanym sandbox, do którego dostęp z poziomu innych aplikacji nie jest możliwy. Użytkownik może sam zdecydować, czy chce przechowywać archiwum wiadomości czy bezpowrotnie usunąć. Aplikacja posiada rozwiązanie typu secret-chat, dzięki któremu Klient może sam zadecydować po jakim czasie wiadomości automatycznie są usuwane.

Czytaj więcej: Artur Szachno (CryptoMind S.A) dla CyberDefence24.pl TV: Nasze rozwiązania gwarantują bezpieczeństwo danych (CYBERSEC 2017)

Usługodawca nie przechowuje danych Użytkowników na serwerze

Wszelkie komunikaty przechowywane są jedynie na urządzeniu użytkownika, zaszyfrowane
z wykorzystaniem kluczy kryptograficznych wygenerowanych w momencie instalacji aplikacji i rejestracji użytkownika w systemie.  Oznacza to, iż w momencie usunięcia aplikacji całość prowadzonej komunikacji przestaje być czytelna, także w przypadku pobrania ponownie aplikacji UseCrypt Messenger. Pozwala to zachować pełną pewność co do bezpieczeństwa prowadzonej komunikacji ponieważ przy reinstalacji klucz jest niszczony bezpowrotnie. W przypadku konkurencyjnych rozwiązań – np. WhatsApp wszystkie wiadomości są nadal przechowywane na urządzeniu, podobnie jak potrzebny do ich odszyfrowania klucz kryptograficzny.

Dobór wszystkich parametrów operacyjnych dla algorytmów kryptograficznych UseCrypt Messenger został przeprowadzony przez specjalistów odpowiedzialnych za wytwarzanie wojskowych systemów łączności. Dzięki temu UseCrypt Messenger jest wolny od kleptograficznych dodatków, umożliwiających łatwiejsze złamanie wykorzystanych prymitywów kryptograficznych. Istotność powyższego może być potwierdzona odnalezionymi w innych komunikatorach przejawami wykorzystania właśnie tak źle dobranych parametrów. Przykładowo, komunikator Signal wykorzystuje w procesie negocjacji klucza protokół Diffie-Hellman, dla którego grupy multiplikatywnej modulo p przyjęto generator grupy o wartości 2. W rzeczywistości generatorem tej grupy jest liczba 5. W efekcie zastosowania złej wartości, protokół operuje jedynie na podgrupie wskazanej grupy multiplikatywnej, co w sposób znaczący zmniejsza bezpieczeństwo całego protokołu, a w konsekwencji prowadzonej z jego zastosowaniem komunikacji.

Czytaj więcej:  Szyfrowanie danych sposobem na Ransomware [Cyberdefence24.pl TV]

Komunikacja z wykorzystaniem firmowej infrastruktury

Lokalizacja usługi, a dokładniej rzecz ujmując lokalizacja serwerów pośredniczących ma kluczowe znaczenie dla jakości świadczonych usług, jak i ich dostępności. Zdecydowana większość obecnych na rynku komunikatorów posiada swoje serwery na terytorium Stanów Zjednoczonych. Stwarza to szereg zagrożeń dla przetwarzanych przez nie danych,  w szczególności metadanych połączeń. UseCrypt Messenger jako rozwiązanie opracowane  w Polsce, posiada bazę serwerową zlokalizowaną w Europie. Pozwala to na osiągnięcie dwóch korzyści – po pierwsze brak podległości pod jurysdykcję USA, po drugie wyższa dostępność i lepsza wydajność usługi na terytorium Europy. Dodatkowym atutem produktu, dla największych instytucji, jest możliwość wdrożenia produktu w formule on-premise, w całości utrzymywanej w infrastrukturze klienta. Rozwiązanie takie jest szczególnie przydatne organizacjom, które muszą posiadać pełną kontrolę nad wykorzystywanymi  w organizacji usługami (instytucje finansowe, agendy rządowe). UseCrypt Messenger może pełnić rolę komunikatora wewnętrznego, jak też pozwalać na bezpieczną komunikację
z najważniejszymi partnerami organizacji.

Fot. UseCrypt

Ochrona przed nieuprawnionym dostępem do danych aplikacji.

Bezpieczeństwo prowadzonej z wykorzystaniem smartfonu komunikacji jest zależne od bezpieczeństwa samego urządzenia. Nawet najlepsza kryptografia nie będzie się mogła na nic zdać, jeżeli urządzenie będzie posiadało otwarte luki w zabezpieczeniach pozwalające na ominięcie sandboxingu. UseCrypt Messenger, jako jedyna aplikacja do bezpiecznej komunikacji określa stan zabezpieczeń urządzenia i na tej podstawie podejmuje decyzje, czy może być ono wykorzystywane do bezpiecznej komunikacji. W przypadku wykrycia podatnego urządzenia, użytkownik otrzyma komunikat informujący o podwyższonym ryzyku korzystania z aplikacji. Eskalacja uprawnień to podstawowe narzędzie przejmowania kontroli nad urządzeniami mobilnymi przez agencje wywiadowcze i cyberprzestępców.

Oferowany przez UseCrypt Messenger poziom bezpieczeństwa nie wpłynął negatywnie na funkcjonalności aplikacji i jej ergonomię. Rejestracja użytkownika odbywa się z wykorzystaniem posiadanego numeru telefonu – poprzez kod SMS lub weryfikację głosową. Użytkownik otrzymuje w aplikacji informacje o kontaktach z jego książki telefonicznej, które wykorzystują aplikację. Nie zabrakło także możliwości łatwego dołączania multimediów. Każdy komunikat może mieć również ustalony czas, w którym możliwe jest jego odczytanie – po jego minięciu komunikaty są bezpowrotnie usuwane.

Czytaj więcej:  UseCrypt – jak polska technologia HVKM może zmienić zasady konstrukcji systemów bezpieczeństwa

Wszystko to co czyni UseCrypt Messenger fundamentalnie nową kategorią produktu niedostępną dotąd na rynku cywilnym. Aplikacja UseCrypt Messenger jest już dostępna w Google Play oraz AppStore.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

26 komentarzy

Paw39 Wtorek, 14 Listopada 2017, 16:06
Idealna aplikacja by służby mogły przechwytywać pogawędki naiwniaków, którzy uwierzyli, że coś jest bezpieczne... bo ktoś tak napisał :)
Open source i audyt był? NIE. To znaczy, że autorzy dowolne rzeczy mogą robić w tej aplikacji, w tym szpiegować telefony, magazynować klucze do rozmów i deszyfrować rozmowy i dane. Trzeba mieć iloraz 80 by uwierzyć w takie bajeczki, bo ktos tak powiedział. Nie sądziłem, że ktoś może być tak naiwny w dobie wszechobecnych podsłuchów, afer i skandali z botnetami.
Gregor Wtorek, 14 Listopada 2017, 13:19
Świetna sprawa te znikające wiadomości :)
fddfdffd Wtorek, 07 Listopada 2017, 15:45
Są bezpieczniejsze, DARMOWE komunikatory oparte chociażby na protokole Tor, bez żadnych serwerów pośredniczących (podsłuchujących).
TOR Poniedziałek, 13 Listopada 2017, 10:57
Gdybym był NSA, to miałbym problem z wyłowieniem interesujących ludzi spośród miliardów połączeń. Rozwiązaniem mojego problemu byłoby założenie przez NSA i CIA TOR, bo to zawęża znacznie zakres poszukiwań. Ci którzy uważają, że muszą coś ukryć przed NSA i CIA używają organizowany przez nie TOR, a NSA i CIA muszą tylko automatycznie odsiać pornografie by zostać z paru paranoikami oraz grupą interesujących dla USA ludzi, którzy naiwnie wierzą w TOR.

Tak samo na miejscu NSA i CIA wypuszczałbym zręcznie w świat różne bezpłatne programy szyfrujące, aby ułatwić sobie deszyfrowanie.
fgdfgfd Wtorek, 07 Listopada 2017, 15:43
Tia. Tak bezpieczny, że NSA albo CIA korzystając z backdoorów i zatajanych luk w systemach operacyjnych, może zrobić sobie w dowolnym momencie screenshot komunikacji z tej "super bezpiecznej aplikacji". Brednie.
BFG Wtorek, 07 Listopada 2017, 15:29
Pobrania..
Pobrano ponad 10 razy..
Grzegorz Wtorek, 07 Listopada 2017, 11:54
Lepszy oznacza że ma być płatny?
To może dobrze że wiecej nic Polskiego nie ma bo nawet za uzytkowanie przegladarki użytkownik zapłącił by 100 zł.
Dla mnie to kpina, już wole reklamy niż za to płacić.
Ecik Sobota, 04 Listopada 2017, 10:29
CellCrypt też ma ten sam model sprzedaży, drogi w zakupie i brak możliwości sensownego przetestowania przed zakupem.
Czekam na sensowne ceny dla użytkowników indywidualnych lub możliwość przetestowania przez miesiąc za free.
Ecik Piątek, 03 Listopada 2017, 21:38
Chętnie bym przetestował to cudo... Ale 120 PLN za 2 licencje to..... Ech szkoda gadać. A za 60 zlotych z jedną licencją to z kim przetestuje ten niszowy komunikator? Autorom tego dzieła, nie neguje że jest być oże dobre technicznie, nie starczyło wyobraźni aby pochylić się nad modelem biznesowym sprzedaży.
Do czasu gdy nie zdobędą 10 albo nawet 1% rynku Telegrama lub WhatsApp,a to dla indywidualnych userów powinni obnożyć cenę, bo 60 pln to cena zaporowa, a bez klientów indywidualnych, program będzie programem niszowym i takim pozostanie.
Bono Piątek, 03 Listopada 2017, 21:02
Co na to polska administracja?
Ed Czwartek, 02 Listopada 2017, 19:17
...kompletny kanał z ceną.
xaxa111 Czwartek, 02 Listopada 2017, 14:26
i cena 60zł:) brawo!
f-cala-prawda Środa, 01 Listopada 2017, 21:08
czym sie to roni od telegrama , niczym . niby zestawianie kluczy jest w ostatnim momencie, ale czym sa autoryzowane?
nie jest to nic innowacyjnego. tyle, ze jest nasze i .... zamkniete. sorry ale jak zamkniete to malo kto zaufa
Darek Środa, 01 Listopada 2017, 11:13
Aż strach się bać. A jeszcze nie tak dawno ABW i politycy chcieli "furtki" do oprogramowań typu komunikatory itp. A tu wyskakuje taki Polski wynalazek.
Zenek Poniedziałek, 30 Października 2017, 23:05
Threema polecam, a poza tym dla mnie płatne aplikacje są bardziej wiarygodne. Bardziej ufam komuś kto chce zapłaty za swoją pracę niż komuś kto mi coś daje za darmo, zazwyczaj jest tak że to wcale nie jest za darmo jak w życiu. Jakoś nie przekonuje mnie obraz programistów altruistów którzy slęczą po nocach żeby obdarować ludzkość bezpiecznym komunikatorem :)
Kiks Poniedziałek, 06 Listopada 2017, 14:59
Tylko, że często te darmowe programy najpierw robili dla siebie.
X. Wtorek, 31 Października 2017, 15:47
Są, robią, często lepiej niż ci co tylko się patrzą na pieniądze.
Kiks Poniedziałek, 30 Października 2017, 14:55
I ani słowa, że to coś jest płatne. Dla klientów korporacyjnych to nie jest problem, ale dla indywidualnych użytkowników wybór będzie oczywisty. Dziwi również fakt, że na stronie nie ma odnośników do wersji mobilnych, a jedynie desktopowych. Brak również wersji dla mobilnego Windowsa.
mobile4you Poniedziałek, 30 Października 2017, 17:06
Zrób sobie sam taki program i daj go wszystkim za darmo, razem z własnym serwerem.
Kiks Wtorek, 31 Października 2017, 13:03
@mobile4you
nie rozumiesz zasad rynku. Telegram, Signal, Whatsapp i ich klony.. Wszystkie są darmowe. To kto ci to będzie kupował i to jeszcze za ponad 60? Może tylko firmy. Widzisz chętnych wśród indywidualnych użytkowników? Zresztą po "szokującej" liczbie opinii w sklepie Google łatwo oszacować zainteresowanie.
xyz Wtorek, 31 Października 2017, 22:43
Czym Ty się martwisz? Nie sprzedadzą, to nie zarobią.
Kiks Środa, 01 Listopada 2017, 16:18
Ja nie martwię się. Śmieszy mnie tylko ich model biznesowy. Bo w firmach, które dbają o bezpieczeństwo niespecjalnie możesz ot tak sobie wejść do sklepu i instalować co popadnie i jeszcze płacić za to. Dlatego nie rozumiem sensu umieszczania tych aplikacji w sklepach danej platformy, skoro tak naprawdę oferta jest skierowana do korpo. Poza tym o ile korporacje mogą być skłonne zapłacić za np. wersję bogatszą o pewne funkcje, to dla indywidualnych użytkowników dobrze byłoby mieć wersję darmową. Z czystych powodów marketingowych. Nie znam nikogo wśród znajomych, którzy by znali ten program, zresztą w firmach również.
badum tss! Poniedziałek, 30 Października 2017, 15:49
Mobilny Windows to martwy system. Aplikacja jest w google store i Apple store i nazywa się Usecrypt Messanger. Jest wersja trialowa za darmo na miesiąc. Jeszcze jakieś pytania?
Kiks Poniedziałek, 30 Października 2017, 17:40
Aplikacja jest jak już ją znajdziesz w sklepie danej platformy. Nie ma jednak ani słowa o tym na ich stronie, co jest śmieszne. I jak Ty sobie wyobrażasz wersję trialową zainstalować w wersji mobilnej, skoro musisz od razu aplikację kupić. Ten trial dotyczy wersji desktopowej. A co mobilnego Windowsa, nie jest martwy. Wspierany będzie do końca 2019 roku w trybie "maintenance". A tych telefonów całkiem sporo jest właśnie w firmach. Po co komu hiper bezpieczny komunikator (chyba) na takiej platformie jak Android, która jest dziurawa jak szwajcarski ser. Zresztą iOS też nie jest lepszy.
kopio Czwartek, 02 Listopada 2017, 18:43
A co Windows nie jest dziurawy?
Kiks Poniedziałek, 06 Listopada 2017, 14:56
@kopio
zrobienie roota kiedyś w Androidzie, trzeba było namęczyć się. Teraz, kilkanaście sekund, góra kilku minut. Zrób to samo w mobilnym Windowsie.