Co sprawia, że polski komunikator UseCrypt Messenger jest tak bezpieczny?

30 października 2017, 14:30

W porównaniu do znanych produktów konkurencji, aplikacja korzysta z autorskich zabezpieczeń, gwarantujących pełną prywatność przesyłanych informacji, aby wykluczyć ryzyka podsłuchu czy ataku hackerskiego.

W UseCrypt Messenger, połączenia zestawiane są poprzez serwer pośredniczący, który nie uczestniczy w żadnych operacjach kryptograficznych, co gwarantuje pełną anonimowość użytkownikowi. Co więcej, Dodatkowo jest to jedyna aplikacja pozwalająca sprawdzić, czy telefon nie jest obiektem inwigilacji. Poufność danych użytkownikowi zapewnia też fakt, że usługodawca nie przechowuje na serwerze danych Użytkownika. Wszystko to, czyni UseCrypt Messenger fundamentalnie nowym rozwiązaniem do komunikacji on-line.

Fundamentalnie nowa idea komunikacji

W odróżnieniu od większości obecnych na rynku rozwiązań, komunikator UseCrypt Messenger wykorzystuje mechanizm szyfrujący połączenia głosowe całkowicie niezależny od mechanizmu szyfrującego komunikację tekstową. Wykorzystany protokół ZRTP (Zimmermann Real-Time Protocol) pozwala na negocjację klucza kryptograficznego dopiero w momencie zestawienia połączenia pomiędzy klientami usługi, podczas gdy rozwiązania konkurencyjne korzystają z klucza ustalonego przed wykonaniem połączenia, co pozwala na wprowadzenie tylnych furtek do oprogramowania, umożliwiających odtworzenie prowadzonej komunikacji w konkurencyjnych rozwiązaniach.

Protokół wykorzystywany w UseCrypt Messenger zapewnia pełne szyfrowanie end-to-end, wprowadza także mechanizm wykrywania ataków man-in-the-middle w postaci dodatkowej warstwy ochrony - short authentication string – krótkiego wyrażenia pozwalają na porównanie wynegocjowanie parametrów z drugą stroną połączenia. Po zestawieniu połączenia na ekranie pokazywane są dwa wyrazy. Takie same dwa wyrazy są wyświetlane na ekranie drugiej osoby. Dla pełnego bezpieczeństwa należałoby ropocząć rozmowę od porównania tych ciągów. Jeżeli są takie same – połączenie jest bezpieczne (nikt nie przechwytuje komunikacji pomiędzy punktami). Do szyfrowania komunikacji jest wykorzystywany algorytm szyfrujący AES, dla którego, w odróżnieniu od stosowanych w standardowej komunikacji telefonicznej szyfrów A5/2 i A5/3, nie zostały wykazane praktyczne ataki.

Fot. Usecrypt

Pełna prywatność użytkownika

Produkt firmy Usecrypt S.A., pozwala także na anonimizację adresu sieciowego użytkowników usługi. Aplikacja wykorzystuje węzły pośredniczące, które rozdzielają ruch pomiędzy użytkownikami końcowymi. Rozwiązanie to pozwala na ukrycie adresu IP przed komunikującymi się ze sobą stronami – każda z nich posiada jedynie adres IP serwera pośredniczącego. W przypadku innych komunikatorów, np. Signal, Viber, czy też WhatsApp użytkownicy mogą swobodnie określić lokalizację drugiej strony komunikacji.

Niespotykana jakość dźwięku

Kompresja sygnału audio dla połączeń głosowych jest realizowana z wykorzystaniem kodeka Speex wyspecjalizowanego w obsłudze mowy. Dźwięk jest próbkowany z częstotliwością 16 kHz, przy stałej przepływności 27800 bps constant bitrate (CBR) - kodek o stałej przepływności.  „CBR powoduje, że każda sekunda rozmowy jest kodowana na stałą ilość danych. W VBR ilość danych jest różna w zależności od treści rozmowy (chwile ciszy, zmiany tonacji itp.). Plus VBR – mniejsza ilość danych, lepsza jakość. Minusy – można zbudować słownik najpopularniejszych słów i ich odpowiedników w postaci ilości danych na słowo. Stąd można deszyfrować większość komunikacji nie posiadając klucza. W UseCrypt atak ten nie ma miejsca.” – mówi Kamil Kaczyński, specjalista kryptolog. W trakcie rozmowy przez UseCrypt Messenger, połączenie przychodzące GSM otrzyma sygnał „zajęty”. Dodatkowo, przełączanie pomiędzy stacjami BTS (stacje przekaźnikowe GSM) nie ma wpływu na połącznie, gdyż IP pozostaje stałe. Powyższe parametry gwarantują transfer sygnału audio w jakości HD Voice.

Side-channel

W odróżnieniu od rozwiązań konkurencyjnych, wykorzystujących kodeki o zmiennej przepływności, w UseCrypt Messenger wykorzystano kodek o stałej przepływności. Podyktowane jest to zwiększeniem poziomu bezpieczeństwa całej usługi. Kodeki o zmiennej przepływności stosowane m.in. w Signal są podatne na ataki typu side-channel. Umożliwiają one odzyskanie większości komunikacji bez potrzeby dokonywania jej dekryptażu. Kodek CBR UseCrypt Messenger jest całkowicie odporny na ten rodzaj ataków.

Czat bardziej poufny niż spotkanie twarzą w twarz

UseCrypt Messenger do ochrony komunikatów tekstowych wykorzystuje protokół zapewniający zachowanie zasady forward-secrecy. Serwer pośredniczący nie przechowuje żadnych komunikatów przesyłanych przez użytkowników. „Klucze kryptograficzne dla danej pary użytkowników posiadają jedynie urządzenia końcowe, zatem administratorzy usługi UseCrypt Messenger nie są w stanie odzyskać żadnej treści prowadzonej komunikacji” – dodaje Kamil Kaczyński. Wiadomości pozostają bezpieczne, zamknięte w szyfrowanym sandbox, do którego dostęp z poziomu innych aplikacji nie jest możliwy. Użytkownik może sam zdecydować, czy chce przechowywać archiwum wiadomości czy bezpowrotnie usunąć. Aplikacja posiada rozwiązanie typu secret-chat, dzięki któremu Klient może sam zadecydować po jakim czasie wiadomości automatycznie są usuwane.

Czytaj więcej: Artur Szachno (CryptoMind S.A) dla CyberDefence24.pl TV: Nasze rozwiązania gwarantują bezpieczeństwo danych (CYBERSEC 2017)

Usługodawca nie przechowuje danych Użytkowników na serwerze

Wszelkie komunikaty przechowywane są jedynie na urządzeniu użytkownika, zaszyfrowane
z wykorzystaniem kluczy kryptograficznych wygenerowanych w momencie instalacji aplikacji i rejestracji użytkownika w systemie.  Oznacza to, iż w momencie usunięcia aplikacji całość prowadzonej komunikacji przestaje być czytelna, także w przypadku pobrania ponownie aplikacji UseCrypt Messenger. Pozwala to zachować pełną pewność co do bezpieczeństwa prowadzonej komunikacji ponieważ przy reinstalacji klucz jest niszczony bezpowrotnie. W przypadku konkurencyjnych rozwiązań – np. WhatsApp wszystkie wiadomości są nadal przechowywane na urządzeniu, podobnie jak potrzebny do ich odszyfrowania klucz kryptograficzny.

Dobór wszystkich parametrów operacyjnych dla algorytmów kryptograficznych UseCrypt Messenger został przeprowadzony przez specjalistów odpowiedzialnych za wytwarzanie wojskowych systemów łączności. Dzięki temu UseCrypt Messenger jest wolny od kleptograficznych dodatków, umożliwiających łatwiejsze złamanie wykorzystanych prymitywów kryptograficznych. Istotność powyższego może być potwierdzona odnalezionymi w innych komunikatorach przejawami wykorzystania właśnie tak źle dobranych parametrów. Przykładowo, komunikator Signal wykorzystuje w procesie negocjacji klucza protokół Diffie-Hellman, dla którego grupy multiplikatywnej modulo p przyjęto generator grupy o wartości 2. W rzeczywistości generatorem tej grupy jest liczba 5. W efekcie zastosowania złej wartości, protokół operuje jedynie na podgrupie wskazanej grupy multiplikatywnej, co w sposób znaczący zmniejsza bezpieczeństwo całego protokołu, a w konsekwencji prowadzonej z jego zastosowaniem komunikacji.

Czytaj więcej:  Szyfrowanie danych sposobem na Ransomware [Cyberdefence24.pl TV]

Komunikacja z wykorzystaniem firmowej infrastruktury

Lokalizacja usługi, a dokładniej rzecz ujmując lokalizacja serwerów pośredniczących ma kluczowe znaczenie dla jakości świadczonych usług, jak i ich dostępności. Zdecydowana większość obecnych na rynku komunikatorów posiada swoje serwery na terytorium Stanów Zjednoczonych. Stwarza to szereg zagrożeń dla przetwarzanych przez nie danych,  w szczególności metadanych połączeń. UseCrypt Messenger jako rozwiązanie opracowane  w Polsce, posiada bazę serwerową zlokalizowaną w Europie. Pozwala to na osiągnięcie dwóch korzyści – po pierwsze brak podległości pod jurysdykcję USA, po drugie wyższa dostępność i lepsza wydajność usługi na terytorium Europy. Dodatkowym atutem produktu, dla największych instytucji, jest możliwość wdrożenia produktu w formule on-premise, w całości utrzymywanej w infrastrukturze klienta. Rozwiązanie takie jest szczególnie przydatne organizacjom, które muszą posiadać pełną kontrolę nad wykorzystywanymi  w organizacji usługami (instytucje finansowe, agendy rządowe). UseCrypt Messenger może pełnić rolę komunikatora wewnętrznego, jak też pozwalać na bezpieczną komunikację
z najważniejszymi partnerami organizacji.

Fot. UseCrypt

Ochrona przed nieuprawnionym dostępem do danych aplikacji.

Bezpieczeństwo prowadzonej z wykorzystaniem smartfonu komunikacji jest zależne od bezpieczeństwa samego urządzenia. Nawet najlepsza kryptografia nie będzie się mogła na nic zdać, jeżeli urządzenie będzie posiadało otwarte luki w zabezpieczeniach pozwalające na ominięcie sandboxingu. UseCrypt Messenger, jako jedyna aplikacja do bezpiecznej komunikacji określa stan zabezpieczeń urządzenia i na tej podstawie podejmuje decyzje, czy może być ono wykorzystywane do bezpiecznej komunikacji. W przypadku wykrycia podatnego urządzenia, użytkownik otrzyma komunikat informujący o podwyższonym ryzyku korzystania z aplikacji. Eskalacja uprawnień to podstawowe narzędzie przejmowania kontroli nad urządzeniami mobilnymi przez agencje wywiadowcze i cyberprzestępców.

Oferowany przez UseCrypt Messenger poziom bezpieczeństwa nie wpłynął negatywnie na funkcjonalności aplikacji i jej ergonomię. Rejestracja użytkownika odbywa się z wykorzystaniem posiadanego numeru telefonu – poprzez kod SMS lub weryfikację głosową. Użytkownik otrzymuje w aplikacji informacje o kontaktach z jego książki telefonicznej, które wykorzystują aplikację. Nie zabrakło także możliwości łatwego dołączania multimediów. Każdy komunikat może mieć również ustalony czas, w którym możliwe jest jego odczytanie – po jego minięciu komunikaty są bezpowrotnie usuwane.

Czytaj więcej:  UseCrypt – jak polska technologia HVKM może zmienić zasady konstrukcji systemów bezpieczeństwa

Wszystko to co czyni UseCrypt Messenger fundamentalnie nową kategorią produktu niedostępną dotąd na rynku cywilnym. Aplikacja UseCrypt Messenger jest już dostępna w Google Play oraz AppStore.

Artykuł powstał na postawie materiałów dostarczonych przez firmę CryptoMind.

CyberDefence24
CyberDefence24
Reklama C24-A1
Reklama
Tweets CyberDefence24