Co sprawia, że polski komunikator UseCrypt Messenger jest tak bezpieczny?

30 października 2017, 14:30
Fot. UseCrypt

W porównaniu do znanych produktów konkurencji, aplikacja korzysta z autorskich zabezpieczeń, gwarantujących pełną prywatność przesyłanych informacji, aby wykluczyć ryzyka podsłuchu czy ataku hackerskiego.

W UseCrypt Messenger, połączenia zestawiane są poprzez serwer pośredniczący, który nie uczestniczy w żadnych operacjach kryptograficznych, co gwarantuje pełną anonimowość użytkownikowi. Co więcej, Dodatkowo jest to jedyna aplikacja pozwalająca sprawdzić, czy telefon nie jest obiektem inwigilacji. Poufność danych użytkownikowi zapewnia też fakt, że usługodawca nie przechowuje na serwerze danych Użytkownika. Wszystko to, czyni UseCrypt Messenger fundamentalnie nowym rozwiązaniem do komunikacji on-line.

Fundamentalnie nowa idea komunikacji

W odróżnieniu od większości obecnych na rynku rozwiązań, komunikator UseCrypt Messenger wykorzystuje mechanizm szyfrujący połączenia głosowe całkowicie niezależny od mechanizmu szyfrującego komunikację tekstową. Wykorzystany protokół ZRTP (Zimmermann Real-Time Protocol) pozwala na negocjację klucza kryptograficznego dopiero w momencie zestawienia połączenia pomiędzy klientami usługi, podczas gdy rozwiązania konkurencyjne korzystają z klucza ustalonego przed wykonaniem połączenia, co pozwala na wprowadzenie tylnych furtek do oprogramowania, umożliwiających odtworzenie prowadzonej komunikacji w konkurencyjnych rozwiązaniach.

Protokół wykorzystywany w UseCrypt Messenger zapewnia pełne szyfrowanie end-to-end, wprowadza także mechanizm wykrywania ataków man-in-the-middle w postaci dodatkowej warstwy ochrony - short authentication string – krótkiego wyrażenia pozwalają na porównanie wynegocjowanie parametrów z drugą stroną połączenia. Po zestawieniu połączenia na ekranie pokazywane są dwa wyrazy. Takie same dwa wyrazy są wyświetlane na ekranie drugiej osoby. Dla pełnego bezpieczeństwa należałoby ropocząć rozmowę od porównania tych ciągów. Jeżeli są takie same – połączenie jest bezpieczne (nikt nie przechwytuje komunikacji pomiędzy punktami). Do szyfrowania komunikacji jest wykorzystywany algorytm szyfrujący AES, dla którego, w odróżnieniu od stosowanych w standardowej komunikacji telefonicznej szyfrów A5/2 i A5/3, nie zostały wykazane praktyczne ataki.

Fot. Usecrypt

Pełna prywatność użytkownika

Produkt firmy Usecrypt S.A., pozwala także na anonimizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Rozwiązanie to pozwala na ukrycie adresu IP przed komunikującymi się ze sobą stronami – każda z nich posiada jedynie adres IP serwera pośredniczącego. W przypadku innych komunikatorów, np. Signal, Viber, czy też WhatsApp użytkownicy mogą swobodnie określić lokalizację drugiej strony komunikacji.

Niespotykana jakość dźwięku

Kompresja sygnału audio dla połączeń głosowych jest realizowana z wykorzystaniem kodeka Speex wyspecjalizowanego w obsłudze mowy. Dźwięk jest próbkowany z częstotliwością 16 kHz, przy stałej przepływności 27800 bps constant bitrate (CBR) - kodek o stałej przepływności.  „CBR powoduje, że każda sekunda rozmowy jest kodowana na stałą ilość danych. W VBR ilość danych jest różna w zależności od treści rozmowy (chwile ciszy, zmiany tonacji itp.). Plus VBR – mniejsza ilość danych, lepsza jakość. Minusy – można zbudować słownik najpopularniejszych słów i ich odpowiedników w postaci ilości danych na słowo. Stąd można deszyfrować większość komunikacji nie posiadając klucza. W UseCrypt atak ten nie ma miejsca.” – mówi Kamil Kaczyński, specjalista kryptolog. W trakcie rozmowy przez UseCrypt Messenger, połączenie przychodzące GSM otrzyma sygnał „zajęty”. Dodatkowo, przełączanie pomiędzy stacjami BTS (stacje przekaźnikowe GSM) nie ma wpływu na połącznie, gdyż IP pozostaje stałe. Powyższe parametry gwarantują transfer sygnału audio w jakości HD Voice.

Side-channel

W odróżnieniu od rozwiązań konkurencyjnych, wykorzystujących kodeki o zmiennej przepływności, w UseCrypt Messenger wykorzystano kodek o stałej przepływności. Podyktowane jest to zwiększeniem poziomu bezpieczeństwa całej usługi. Kodeki o zmiennej przepływności stosowane m.in. w Signal są podatne na ataki typu side-channel. Umożliwiają one odzyskanie większości komunikacji bez potrzeby dokonywania jej dekryptażu. Kodek CBR UseCrypt Messenger jest całkowicie odporny na ten rodzaj ataków.

Czat bardziej poufny niż spotkanie twarzą w twarz

UseCrypt Messenger do ochrony komunikatów tekstowych wykorzystuje protokół zapewniający zachowanie zasady forward-secrecy. Serwer pośredniczący nie przechowuje żadnych komunikatów przesyłanych przez użytkowników. „Klucze kryptograficzne dla danej pary użytkowników posiadają jedynie urządzenia końcowe, zatem administratorzy usługi UseCrypt Messenger nie są w stanie odzyskać żadnej treści prowadzonej komunikacji” – dodaje Kamil Kaczyński. Wiadomości pozostają bezpieczne, zamknięte w szyfrowanym sandbox, do którego dostęp z poziomu innych aplikacji nie jest możliwy. Użytkownik może sam zdecydować, czy chce przechowywać archiwum wiadomości czy bezpowrotnie usunąć. Aplikacja posiada rozwiązanie typu secret-chat, dzięki któremu Klient może sam zadecydować po jakim czasie wiadomości automatycznie są usuwane.

Czytaj więcej: Artur Szachno (CryptoMind S.A) dla CyberDefence24.pl TV: Nasze rozwiązania gwarantują bezpieczeństwo danych (CYBERSEC 2017)

Usługodawca nie przechowuje danych Użytkowników na serwerze

Wszelkie komunikaty przechowywane są jedynie na urządzeniu użytkownika, zaszyfrowane
z wykorzystaniem kluczy kryptograficznych wygenerowanych w momencie instalacji aplikacji i rejestracji użytkownika w systemie.  Oznacza to, iż w momencie usunięcia aplikacji całość prowadzonej komunikacji przestaje być czytelna, także w przypadku pobrania ponownie aplikacji UseCrypt Messenger. Pozwala to zachować pełną pewność co do bezpieczeństwa prowadzonej komunikacji ponieważ przy reinstalacji klucz jest niszczony bezpowrotnie. W przypadku konkurencyjnych rozwiązań – np. WhatsApp wszystkie wiadomości są nadal przechowywane na urządzeniu, podobnie jak potrzebny do ich odszyfrowania klucz kryptograficzny.

Dobór wszystkich parametrów operacyjnych dla algorytmów kryptograficznych UseCrypt Messenger został przeprowadzony przez specjalistów odpowiedzialnych za wytwarzanie wojskowych systemów łączności. Dzięki temu UseCrypt Messenger jest wolny od kleptograficznych dodatków, umożliwiających łatwiejsze złamanie wykorzystanych prymitywów kryptograficznych. Istotność powyższego może być potwierdzona odnalezionymi w innych komunikatorach przejawami wykorzystania właśnie tak źle dobranych parametrów. Przykładowo, komunikator Signal wykorzystuje w procesie negocjacji klucza protokół Diffie-Hellman, dla którego grupy multiplikatywnej modulo p przyjęto generator grupy o wartości 2. W rzeczywistości generatorem tej grupy jest liczba 5. W efekcie zastosowania złej wartości, protokół operuje jedynie na podgrupie wskazanej grupy multiplikatywnej, co w sposób znaczący zmniejsza bezpieczeństwo całego protokołu, a w konsekwencji prowadzonej z jego zastosowaniem komunikacji.

Czytaj więcej:  Szyfrowanie danych sposobem na Ransomware [Cyberdefence24.pl TV]

Komunikacja z wykorzystaniem firmowej infrastruktury

Lokalizacja usługi, a dokładniej rzecz ujmując lokalizacja serwerów pośredniczących ma kluczowe znaczenie dla jakości świadczonych usług, jak i ich dostępności. Zdecydowana większość obecnych na rynku komunikatorów posiada swoje serwery na terytorium Stanów Zjednoczonych. Stwarza to szereg zagrożeń dla przetwarzanych przez nie danych,  w szczególności metadanych połączeń. UseCrypt Messenger jako rozwiązanie opracowane  w Polsce, posiada bazę serwerową zlokalizowaną w Europie. Pozwala to na osiągnięcie dwóch korzyści – po pierwsze brak podległości pod jurysdykcję USA, po drugie wyższa dostępność i lepsza wydajność usługi na terytorium Europy. Dodatkowym atutem produktu, dla największych instytucji, jest możliwość wdrożenia produktu w formule on-premise, w całości utrzymywanej w infrastrukturze klienta. Rozwiązanie takie jest szczególnie przydatne organizacjom, które muszą posiadać pełną kontrolę nad wykorzystywanymi  w organizacji usługami (instytucje finansowe, agendy rządowe). UseCrypt Messenger może pełnić rolę komunikatora wewnętrznego, jak też pozwalać na bezpieczną komunikację
z najważniejszymi partnerami organizacji.

Fot. UseCrypt

Ochrona przed nieuprawnionym dostępem do danych aplikacji.

Bezpieczeństwo prowadzonej z wykorzystaniem smartfonu komunikacji jest zależne od bezpieczeństwa samego urządzenia. Nawet najlepsza kryptografia nie będzie się mogła na nic zdać, jeżeli urządzenie będzie posiadało otwarte luki w zabezpieczeniach pozwalające na ominięcie sandboxingu. UseCrypt Messenger, jako jedyna aplikacja do bezpiecznej komunikacji określa stan zabezpieczeń urządzenia i na tej podstawie podejmuje decyzje, czy może być ono wykorzystywane do bezpiecznej komunikacji. W przypadku wykrycia podatnego urządzenia, użytkownik otrzyma komunikat informujący o podwyższonym ryzyku korzystania z aplikacji. Eskalacja uprawnień to podstawowe narzędzie przejmowania kontroli nad urządzeniami mobilnymi przez agencje wywiadowcze i cyberprzestępców.

Oferowany przez UseCrypt Messenger poziom bezpieczeństwa nie wpłynął negatywnie na funkcjonalności aplikacji i jej ergonomię. Rejestracja użytkownika odbywa się z wykorzystaniem posiadanego numeru telefonu – poprzez kod SMS lub weryfikację głosową. Użytkownik otrzymuje w aplikacji informacje o kontaktach z jego książki telefonicznej, które wykorzystują aplikację. Nie zabrakło także możliwości łatwego dołączania multimediów. Każdy komunikat może mieć również ustalony czas, w którym możliwe jest jego odczytanie – po jego minięciu komunikaty są bezpowrotnie usuwane.

Czytaj więcej:  UseCrypt – jak polska technologia HVKM może zmienić zasady konstrukcji systemów bezpieczeństwa

Wszystko to co czyni UseCrypt Messenger fundamentalnie nową kategorią produktu niedostępną dotąd na rynku cywilnym. Aplikacja UseCrypt Messenger jest już dostępna w Google Play oraz AppStore.

KomentarzeLiczba komentarzy: 17
xyz
czwartek, 2 listopada 2017, 12:06

Marketingowe pierdoły. Klasyczne rozwiązania znane od 20 lat. Nic nowego.

Tor
poniedziałek, 13 listopada 2017, 11:58

Gdybym był NSA, to miałbym problem z wyłowieniem interesujących ludzi spośród miliardów połączeń. Rozwiązaniem mojego problemu byłoby założenie przez NSA i CIA TOR, bo to zawęża znacznie zakres poszukiwań. Ci którzy uważają, że muszą coś ukryć przed NSA i CIA używają organizowany przez nie TOR, a NSA i CIA muszą tylko automatycznie odsiać pornografie by zostać z paru paranoikami oraz grupą interesujących dla USA ludzi, którzy naiwnie wierzą w TOR. Tak samo na miejscu NSA i CIA wypuszczałbym zręcznie w świat różne bezpłatne programy szyfrujące, aby ułatwić sobie deszyfrowanie.

Szyderca
wtorek, 31 października 2017, 11:12

Islamiści mają równie a może nawet bardziej bezpieczne komunikatory i udostępniają je do pobrania za darmo! :-)))))))))))))))))

elJakub
czwartek, 2 listopada 2017, 16:44

Czy adblock blokuje mi informację, że to artykuł sponsorowany?

ktos
piątek, 24 listopada 2017, 08:28

A ile jeszcze artykul sponsorowany bedzie na pierwszej stronie?

syca
czwartek, 2 listopada 2017, 22:56

Korzystajcie, będziecie bezpieczni. Pozdrawiam. Antoni.

Paw39
wtorek, 14 listopada 2017, 17:02

Co za głupoty. A kto zagwarantuje, że ten operator czegoś nie przechowuje, a coś przechowuje, ze aplikacja nie wysyła szyfrow do serwera, że dane nie są przechwytywane? To jest artykuł dla 3 latków, bo nikt dorosły w takie głupoty nie uwierzy

TowariszczJacho
poniedziałek, 30 października 2017, 14:46

Ta firma stara się jak może ... zaistnieć na rynku CyberSecurity, jednakże jak zwykle bzdury opowiadają "jej" przedstawiciele a nierozumiejący "opisują tu i tam" ... nikt nie będzie traktował poważnie tej firmy jeśli "Bezpieczeństwo" będzie opierało się na "utajnieniu algorytmu szyfrowania ... " a nie ujawniając metody szyfrowania jak również algorytmów po prostu naraża się na śmieszność, zasada Kerckhoffsa jasno precyzuje co stanowi o "sile" kryptosystemu - zatem silenie się przez tę firmę na oryginalność zaczyna być po prostu śmieszne ... zwłaszcza, że może chodzić o "cudze pomysły" i własność intelektualną ...

Szpion Toaletowy
środa, 15 listopada 2017, 18:03

Za tą cenę, to wolę być podsłuchiwanym przez dowolną służbę wywiadowczą. Tajemnice moich zatwardzeń i preferencji seksualnych mogą kolekcjonować do woli :))

hihi
czwartek, 30 listopada 2017, 08:40

A pseudo artykul nadal na glownej. Posty tez kasujecie... widac taka polityka portalu. Nie glupio wam? Nawet na Onecie jak jest artykul sponsorowany to jest to jasno napisane.

ktos
poniedziałek, 27 listopada 2017, 11:16

A artykul ciagle na glownej wisi... taka ukryta reklama.

TowariszczJacho
poniedziałek, 6 listopada 2017, 21:21

... no po prostu "cudo" ... niezastąpiony i CyberBezpieczny, jest już kilka wersji tego samego produktu w opisach i wszystkie są "super" i nie do zastapienia ... po prostu musi to mieć ... a w negocjacji kluczy uczestniczy serwer czy może jednak nie ... bo jesli uczestniczy, jak na rysunku to czy jest to "maam-in-the-midle" ...? chyba nie

TowariszczJacho
wtorek, 31 października 2017, 01:42

Uwierzytelnianie lub raczej potwierdzenie tożsamości "telefonu" przez kod SMS - jako CyberBezpieczne innowacyjne rozwiązanie - to chyba raczej kolejny żart - w tym art jest ich raczej wiele. Atak M-T-M to nie w AES ale pomysł wyświetlania dwu wyrazów w przypadku gdy i tak serwer pośredniczy nawet w negocjacji klucza tutaj raczej AES - to jakiś żart ... ? Klucze są przechowywane u urzytkowników to po co mi zatem "pośrednik", gdy załóżmy wynegocjowanie DFH czy też odmianą ZRTP kluczy to po co mi pośredniczący serwer ... ?, Sprawdzenie "klucza" innym kanałem jest oczywistością nie od dziś ale interesujący jest pomysł "potwierdzany zostaje komunikatem" może tym samym kanałem komunikacyjnym "pośrednika" i najlepiej "krzyknąć do słuchawki" czyli inwigilacja pełna ? To może lepiej byłoby po prostu "krzyknąć" do rozmówcy jaki klucz ustalono ...? Najlepszym dowcipem jest już mówienie o generatorze grupy 2 lub 5 - to już zupełny odlot lepszy niż kabaret ... ? Wygląda to jakby "nakłanianie" do korzystania z "kontrolowanych" narzędzi komunikacyjnych, tylko co się wydarzyło, że w taki sposób ... ?