Šifrování obecně
Psono nevynalezl kolo. V jádru Psono používáme Curve25519 a Salsa20 ve formě NaCl (vyslovuje se „sůl“), „Networking and Cryptography library“. Náš server používá PyNaCl a naše frontend ecma-nacl. Obě implementace NaCl jsou dobře zavedené. Proč ne RSA a AES? RSA a AES jsou mnohem známější, ale je snadné je špatně implementovat a jsou mnohem pomalejší (zde je užitečný článek, který hovoří o rozdílech a „nebezpečích“ používání RSA a AES).
Šifrování vašeho prohlížeče
Psono šifruje všechna data (jako hesla nebo poznámky) pomocí NaCl pro tajnou klíčovou autentizaci ještě předtím, než opustí váš prohlížeč a jsou uložena na serveru ve „tajném objektu“. Klíč pro šifrování je generován náhodně a uložen spolu s nějakými metadata vašeho tajemství ve vašem „datastore“. Aplikační prohlížeč šifruje váš „datastore“ s derivátem vašeho hesla. Jako algoritmus pro tuto derivaci hesla používáme scrypt. Proč ne PBKDF2? PBKDF2 je mnohem známější, ale kvůli nižší nárokům na zdroje (zejména paměť) je „levně“ implementovatelný v hardware a pro útočníka snazší prolomit.
Naše transportní šifrování
Tři vrstvy šifrování chrání vaše data při jejich cestě z vašeho prohlížeče na náš aplikační server. Základní vrstva je šifrování samotných dat prováděné klientem. Na to Psono implementovalo střední vrstvu, kterou obvykle označujeme jako transportní šifrovací vrstvu Psono. Tato vrstva je jako tunel (podobně jako tunel VPN) mezi webovou stránkou (nebo rozšířením) běžícím ve vašem prohlížeči a naším aplikačním serverem. Navíc jako vnější vrstvu nebo obalovou vrstvu používáme HTTPS (ve verzi TLS 1.2). Za zmínku také stojí, že jak naše střední, tak vnější vrstva jsou postaveny a konfigurovány tak, aby podporovaly dokonalou dopřednou bezpečnost (PFS).
Pravidelné bezpečnostní aktualizace
Musíte udržovat svůj software aktuální. To je nejlepší rada pro jakýkoli počítačový systém a software. Je to nejlepší ochrana proti malwaru, virům a hackerům a základní nezbytnost pro ochranu vašich tajemství. Psono to pochopilo a vydává pravidelné aktualizace s nejnovějšími bezpečnostními záplatami a funkcemi.
Princip otevřeného zdroje
Jádro Psona je open source a zůstane open source. To znamená: Žádné licenční poplatky. Žádné časem rostoucí náklady na předplatné. Žádné skryté bezpečnostní chyby. Flexibilita přemístit a hostovat kdekoli s partnerem dle vašeho výběru. Veřejná auditovatelnost a bezpečnostní kontroly. Můžete sami opravit chybu, kdykoli chcete.
Dostupnost služby
Potřebujete mít přístup ke svým heslům kdykoliv. Chápeme to. Psono má tři způsoby, jak tento problém vyřešit. Nejprve nabízíme všem náš server a klienty pro on-premise hosting, zdarma a s využitím dockeru co nejjednodušeji. Na naší download page naleznete odpovídající docker obraz pro Psono Server a Psono Web Client. Druhý způsob je naše snadná funkce zálohování souborů. Třetí, běžíme na cloudu Amazon’s AWS a Google’s GCP, čímž minimalizujeme rizika výpadků datových center, ztráty dat a problémů se servery.
Denní zálohy vašich dat
Automaticky zálohujeme všechna data služby Psono.pw Service každou noc, abychom zajistili maximální možnou ochranu proti potenciální ztrátě dat. Přístup k těmto zálohám má pouze velmi omezený počet lidí.
Bezpečnost kódu prostřednictvím auditů kódu
Provádíme audit kódu pro veškerý nový přidaný kód. Kód vyžaduje manuální schválení, než je nasazen do produkce. Automatické kontroly zajišťují kvalitu kódu.
Minimalizace problémů Automatizované testování
Testujeme veškerý kód automaticky v několika fázích a musí projít několika kontrolami kvality, než je považován za připravený k nasazení. Aktuální stav testů vždy naleznete jako odznak zde pro Psono Client a Psono Server.
Automatizované skenování zranitelností
Máme zavedeny více bezpečnostních a zranitelnostních skenerů. To nám umožňuje detekovat nové hrozby a rychle reagovat. Automatizované skenování probíhá každou noc a spouští odpovídající oznámení. Kromě toho jsou tyto skeny automaticky spuštěny v našem build pipeline, což blokuje zranitelné verze. Další kontroly nabízené třetími stranami (např. github.com) házejí upozornění pro každý nový CVE.
Návrh sítě s více zónami
Naše síť se řídí osvědčenými postupy a využívá plný potenciál bezpečnostních omezení našich poskytovatelů cloudu. Síť samotná je rozdělena do více vrstev a mezi nimi jsou umístěny firewally, aby se omezil přístup a předešlo/možně zpozdily možné vniknutí.
Pokročilá ochrana proti DDoS
DDoS (Denial-of-Service) útoky jsou velkou hrozbou pro současné online služby. Proto Psono přijalo opatření na ochranu a používá Cloudflare k zmírnění rizika výpadků způsobených DDoS útoky.