Versleuteling in het algemeen
Psono heeft het wiel niet opnieuw uitgevonden. In de kern van Psono gebruiken we Curve25519 en Salsa20 in de vorm van NaCl (uitgesproken als “zout”), de “Networking and Cryptography library”. Onze server gebruikt PyNaCl en onze frontend ecma-nacl. Beide zijn goed gevestigde implementaties van NaCl. Waarom niet RSA en AES? RSA en AES zijn veel bekender, maar zijn gemakkelijk verkeerd te implementeren en veel langzamer (hier is een nuttig artikel dat spreekt over de verschillen en de “gevaren” van het gebruik van RSA en AES).
Uw Browserversleuteling
Psono versleutelt alle gegevens (zoals wachtwoorden of notities) met NaCl’s geheime sleutel authenticatie voordat ze je browser verlaten en worden opgeslagen op de server in een “geheim object”. De sleutel voor de versleuteling wordt willekeurig gegenereerd en samen met wat metadata van je geheim opgeslagen in je “datastore”. De browserapplicatie versleutelt je “datastore” met een afgeleide van je wachtwoord. Als algoritme voor deze wachtwoordsafleiding gebruiken we scrypt. Waarom niet PBKDF2? PBKDF2 is veel bekender, maar vanwege de lagere resource vraag (vooral geheugen) “goedkoop” implementeerbaar in hardware en makkelijker te kraken voor een aanvaller.
Onze Transportversleuteling
Drie encryptielagen beschermen uw gegevens op hun weg van uw browser naar onze applicatieserver. De basislaag is de encryptie van de gegevens zelf die door de cliënt wordt uitgevoerd. Daarbovenop heeft Psono een mid-laag geïmplementeerd, die we meestal de transportencryptielaag van Psono noemen. Deze laag is als een tunnel (vergelijkbaar met een VPN-tunnel) tussen de website (of extensie) die in uw browser draait en onze applicatieserver. Bovendien, bovenop als buitenlaag of schellaag gebruiken we HTTPS (in versie TLS 1.2). Vermeldenswaard is ook dat zowel onze middellaag als buitenlaag zijn gebouwd en geconfigureerd om perfect forward security (PFS) te ondersteunen.
De encryptie bij rust
De applicatieserver versleutelt alle privégegevens (bijv. je e-mailadres), voordat het in de database wordt opgeslagen. We gebruiken hier de Salsa20 stream cipher samen met een Poly1305 with, waardoor het noodzakelijke vertrouwensniveau van onze , reducing the necessary trust level of our tot een minimum wordt beperkt.
Regelmatige veiligheidsupdates
Je moet je software up-to-date houden. Dat is het beste advies voor elk computersysteem en software. Het is de beste bescherming tegen malware, virussen en hackers en een fundamentele noodzaak om je geheimen te beschermen. Psono heeft dit begrepen en brengt regelmatige updates uit met de nieuwste beveiligingspatches en functies.
Principe van open source
Psono’s kern is open source en zal open source blijven. Dit betekent: Geen licentiekosten. Geen over de tijd toenemende abonnementskosten. Geen verborgen beveiligingsfouten. Flexibiliteit om overal te verplaatsen en te hosten met de partner van uw keuze. Publieke controleerbaarheid en veiligheidstests. U kunt zelf op elk moment een bug oplossen als u dat wilt.
Beschikbaarheid van de dienst
Je hebt altijd toegang tot je wachtwoorden nodig. Dat begrijpen we. Psono heeft drie benaderingen om dit probleem op te lossen. Ten eerste bieden we iedereen onze server en clients voor on-premise hosting, gratis en met docker zo eenvoudig als het maar kan. Op onze downloadpagina kun je de bijbehorende docker images vinden voor de Psono Server en Psono Web Client. Ten tweede, onze eenvoudige tekstbestand-backupfunctie. Ten derde, we draaien in de cloud op Amazon’s AWS en Google’s GCP waardoor de risico’s van datacenterstoringen, gegevensverlies en serverproblemen worden geminimaliseerd.
Dagelijkse back-ups van uw gegevens
We maken elke nacht automatisch een back-up van alle gegevens van de Psono.pw Service om maximale bescherming tegen mogelijk gegevensverlies te garanderen. Toegang tot die back-ups is alleen toegestaan voor een zeer beperkt aantal mensen.
Codeveiligheid door Code Audits
We voeren code-audits uit op alle nieuwe code die wordt toegevoegd. De code vereist handmatige goedkeuring voordat deze in productie wordt genomen. Automatische controles waarborgen de kwaliteit van de code.
Probleem minimalisatie Geautomatiseerd Testen
We testen alle code automatisch in meerdere stadia en het moet verschillende kwaliteitscontroles doorstaan voordat het als live wordt beschouwd. Je kunt de huidige status van tests altijd hier als een badge vinden voor Psono Client en de Psono Server.
Geautomatiseerde Kwetsbaarheidsscans
We hebben meerdere beveiligings- en kwetsbaarheidsscanners. Hierdoor kunnen we nieuwe dreigingen detecteren en snel reageren. Geautomatiseerde scans worden 's nachts uitgevoerd en activeren dienovereenkomstig meldingen. Bovendien worden die scans automatisch uitgevoerd in onze buildpijplijn, waardoor kwetsbare releases worden geblokkeerd. Aanvullende controles aangeboden door derden (bijv. github.com) geven waarschuwingen voor elke nieuwe CVE.
Netwerkontwerp met meerdere zones
Ons netwerk volgt best practices en maakt volledig gebruik van de beveiligingsbeperkingen van onze cloudproviders. Het netwerk zelf is opgesplitst in meerdere lagen en firewalls ertussen om toegang te beperken en mogelijke inbraken te voorkomen/vertragen.
Geavanceerde DDoS-bescherming
DDoS (Denial-of-Service) aanvallen zijn een grote bedreiging voor huidige online diensten. Daarom heeft Psono maatregelen genomen om zichzelf te beschermen en gebruikt Cloudflare om het risico op uitval als gevolg van DDoS aanvallen te verminderen.