Enkripcija općenito
Psono nije izmislio toplu vodu. U srži Psona koristimo Curve25519 i Salsa20 u obliku NaCl (izgovara se “salt”), “Networking and Cryptography library”. Naš poslužitelj koristi PyNaCl a naš frontend ecma-nacl. Oba su dobro etablirane implementacije NaCl-a. Zašto ne RSA i AES? RSA i AES su mnogo poznatiji, ali ih je lako loše implementirati i znatno su sporiji (ovdje je koristan članak koji govori o razlikama i “opasnostima” korištenja RSA i AES).
Šifriranje vašeg preglednika
Psono šifrira sve podatke (poput lozinki ili bilješki) s NaCl-ovom autentikacijom tajnog ključa prije nego što napuste vaš preglednik i budu pohranjeni na poslužitelj u “secret object”. Ključ za šifriranje se nasumično generira i pohranjuje zajedno s nekim metapodacima vaše tajne u vaš “datastore”. Aplikacija preglednika šifrira vaš “datastore” izvedenicom vaše lozinke. Kao algoritam za ovu izvedenicu lozinke koristimo scrypt. Zašto ne PBKDF2? PBKDF2 je mnogo poznatiji, ali zbog manjeg zahtjeva za resursima (posebno memorijom) “jeftino” se može implementirati u hardveru i lakše je probiti za napadača.
Naše prijenosno šifriranje
Tri sloja enkripcije štite vaše podatke na putu od vašeg preglednika do našeg aplikacijskog poslužitelja. Osnovni sloj je enkripcija samih podataka koju izvršava klijent. Povrh toga, Psono je implementirao srednji sloj, koji obično nazivamo Psono slojem transportne enkripcije. Ovaj sloj djeluje kao tunel (slično VPN tunelu) između web stranice (ili ekstenzije) koja se izvodi unutar vašeg preglednika i našeg aplikacijskog poslužitelja. Dodatno, na vrhu kao vanjski ili zaštitni sloj koristimo HTTPS (u verziji TLS 1.2). Važno je napomenuti i da su oba, i srednji i vanjski sloj, izgrađeni i konfigurirani za podršku perfect forward security (PFS).
Enkripcija u mirovanju
Redovita sigurnosna ažuriranja
Morate održavati svoj softver ažuriranim. To je najbolji savjet za bilo koji računalni sustav i softver. To je najbolja zaštita od zlonamjernog softvera, virusa i hakera te temeljna potreba za zaštitu vaših tajni. Psono je to shvatio i redovito objavljuje ažuriranja s najnovijim sigurnosnim zakrpama i funkcijama.
Načelo otvorenog koda
Psonoova jezgra je otvorenog koda i ostat će otvorenog koda. To znači: Nema licencnih naknada. Nema vremenski rastućih troškova pretplate. Nema skrivenih sigurnosnih propusta. Fleksibilnost za premještanje i hostanje bilo gdje s partnerom po vašem izboru. Javna provjerljivost i sigurnosne provjere. Možete sami ispraviti grešku kad god želite.
Dostupnost usluge
Trebate pristup svojim lozinkama u svakom trenutku. Razumijemo to. Psono ima tri pristupa za rješavanje ovog problema. Prvo, svima nudimo naš server i klijente za lokalno postavljanje, besplatno i s Dockerom jednostavno kao nikada prije. Na našoj stranici za preuzimanje možete pronaći odgovarajuće docker slike za Psono Server i Psono Web Client. Drugo, naša jednostavna funkcija sigurnosne kopije u tekstualnoj datoteci. Treće, radimo u oblaku na Amazonovom AWS i Googleovom GCP minimizirajući rizike od prekida rada podatkovnih centara, gubitka podataka i problema sa serverom.
Dnevne sigurnosne kopije vaših podataka
Svake noći automatski izrađujemo sigurnosne kopije svih podataka usluge Psono.pw Service kako bismo osigurali maksimalnu moguću zaštitu od mogućeg gubitka podataka. Pristup tim sigurnosnim kopijama ima samo vrlo ograničen broj osoba.
Sigurnost koda putem provjera koda
Izvodimo revizije koda za svaki novi kod koji se doda. Kod zahtijeva ručno odobrenje prije nego što se pusti u produkciju. Automatske provjere osiguravaju kvalitetu koda.
Minimizacija problema Automatizirano testiranje
Sav kod automatski testiramo na više faza i mora proći nekoliko provjera kvalitete prije nego što se smatra spremnim za objavu. Trenutni status testova uvijek možete pronaći kao oznaku ovdje za Psono Client i Psono Server.
Automatizirana pretraživanja ranjivosti
Imamo više sigurnosnih i skenera ranjivosti na raspolaganju. To nam omogućuje otkrivanje novih prijetnji i brzi odgovor. Automatska skeniranja izvode se svake noći i automatski šalju obavijesti. Osim toga, ta se skeniranja automatski pokreću u našem procesu izgradnje, blokirajući ranjiva izdanja. Dodatne provjere koje nude treće strane (npr. github.com) šalju upozorenja za svaki novi CVE.
Dizajn mreže s više zona
Naša mreža slijedi najbolje prakse i koristi punu snagu sigurnosnih ograničenja naših pružatelja cloud usluga. Sama mreža je podijeljena u više slojeva s vatrozidima između, kako bi se ograničio pristup i spriječile/odgodile moguće provale.
Napredna DDoS zaštita
DDoS (Denial-of-Service) napadi predstavljaju veliku prijetnju za trenutne online usluge. Zato je Psono poduzeo mjere za zaštitu i koristi Cloudflare kako bi smanjio rizik od prekida rada uzrokovanih DDoS napadima.