Kryptering generelt
Psono har ikke genopfundet hjulet. I Psono’s kerne bruger vi Curve25519 og Salsa20 i form af NaCl (udtales "salt") "Networking and Cryptography library". Vores server bruger PyNaCl og vores frontend ecma-nacl. Begge er veletablerede implementeringer af NaCl. Hvorfor ikke RSA og AES? RSA og AES er langt mere kendte, men er nemme at implementere forkert og langt langsommere (her er en nyttig artikel, der taler om forskelle og “farerne” ved at bruge RSA og AES).
Din browserkryptering
Psono krypterer alle data (som adgangskoder eller noter) med NaCl’s hemmelige nøgleautentificering, før de forlader din browser og gemmes på serveren i et "hemmeligt objekt". Nøglen til krypteringen genereres tilfældigt og gemmes sammen med nogle metadata om din hemmelighed i din "datastore". Browser-applikationen krypterer din "datastore" med en afledning af din adgangskode. Som algoritme til denne adgangskodeafledning bruger vi scrypt. Hvorfor ikke PBKDF2? PBKDF2 er langt mere berømt, men på grund af det lavere ressourceforbrug (især hukommelse) "billigt" implementerbart i hardware og lettere at bryde for en angriber.
Vores transportkryptering
Tre krypteringslag beskytter dine data på vej fra din browser til vores applikationsserver. Grundlaget er krypteringen af selve dataene, der udføres af klienten. Ud over dette har Psono implementeret et mellemlag, som vi normalt refererer til som Psonos transportkrypteringslag. Dette lag er som en tunnel (svarende til en VPN-tunnel) mellem hjemmesiden (eller udvidelsen), der kører inde i din browser, og vores applikationsserver. Derudover bruger vi som yderste lag eller skalag HTTPS (i version TLS 1.2). Bemærkelsesværdigt er også, at både vores mellem- og yderste lag er bygget og konfigureret til at understøtte perfect forward security (PFS).
Kryptering i Hvile
Regelmæssige sikkerhedsopdateringer
Du skal holde din software opdateret. Det er det bedste råd for ethvert computersystem og software. Det er den bedste beskyttelse mod malware, vira og hackere og en grundlæggende nødvendighed for at beskytte dine hemmeligheder. Psono har forstået dette og frigiver regelmæssige opdateringer med de nyeste sikkerhedsrettelser og funktioner.
Åben Kilde Princip
Psono's kerne er open source og vil forblive open source. Dette betyder: Ingen licensgebyr. Ingen stigende abonnementsomkostninger over tid. Ingen skjulte sikkerhedsfejl. Fleksibilitet til at flytte og hoste overalt med den partner, du vælger. Offentlig gennemsigtighed og sikkerhedskontroller. Du kan selv rette en fejl, hvis du vil, til enhver tid.
Tilgængelighed af tjenester
Du har brug for adgang til dine adgangskoder hele tiden. Det forstår vi. Psono har tre tilgange til at løse dette problem. For det første tilbyder vi alle vores server og klienter til on-premise hosting gratis og med docker så nemt som det kan blive. På vores download side kan du finde de tilsvarende docker images for Psono Server og Psono Web Client. For det andet har vi vores nemme backup-funktion med tekstfil. For det tredje kører vi i skyen på Amazons AWS og Googles GCP og minimerer risikoen for datacenter-nedbrud, datatab og serverproblemer.
Daglige sikkerhedskopier af dine data
Vi sikkerhedskopierer automatisk alle data fra Psono.pw Service hver nat for at sikre maksimal beskyttelse mod potentiel datatab. Adgang til disse backups gives kun til et meget begrænset antal personer.
Kodesikkerhed gennem kodegennemgange
Vi udfører kodegennemgang på enhver ny kode, der tilføjes. Koden kræver manuel godkendelse, før den sættes i produktion. Automatiske tjek sikrer kvaliteten af koden.
Problemmæssig minimering Automatiseret Testning
Vi tester al kode automatisk i flere trin, og det skal bestå flere kvalitetskontroller, før det anses for at være klar til at gå live. Du kan altid finde den aktuelle status for testene som et badge her for Psono Client og Psono Server.
Automatiske sårbarhedsscanninger
Vi har flere sikkerheds- og sårbarhedsscannere på plads. Dette giver os mulighed for at opdage nye trusler og reagere hurtigt. Automatiske scanninger kører natligt og udløser tilsvarende meddelelser. Derudover kører disse scanninger automatisk i vores build-pipeline, hvilket blokerer sårbare udgivelser. Yderligere kontrol tilbudt af tredjeparter (f.eks. github.com) udsender advarsler for hver ny CVE.
Multizone netværksdesign
Vores netværk følger bedste praksis og udnytter fuldt ud sikkerhedsrestriktionerne fra vores cloud-udbydere. Selve netværket er opdelt i flere lag og firewalls imellem for at begrænse adgang og forhindre/forsinke mulige indtrængen.
Avanceret DDoS-beskyttelse
DDoS (Denial-of-Service) angreb er en stor trussel for nuværende online tjenester. Derfor har Psono taget foranstaltninger for at beskytte sig selv og bruger Cloudflare til at mindske risikoen for driftsafbrydelser på grund af DDoS-angreb.