Šifrovanie vo všeobecnosti
Psono nevynachádza koleso znova. V jadre Psono používame Curve25519 a Salsa20 vo forme NaCl (vyslovuje sa „sól“), teda „Networking and Cryptography library“. Náš server používa PyNaCl a naše frontendové rozhranie ecma-nacl. Obe sú dobre zavedené implementácie NaCl. Prečo nie RSA a AES? RSA a AES sú oveľa známejšie, ale dajú sa ľahko nesprávne implementovať a sú oveľa pomalšie (tu je užitočný článok, ktorý hovorí o rozdieloch a „nebezpečenstvách” používania RSA a AES).
Šifrovanie vášho prehliadača
Psono šifruje všetky údaje (napríklad heslá alebo poznámky) pomocou NaCl’s secret key authentication ešte pred tým, ako opustia váš prehliadač a sú uložené na serveri v „tajnom objekte“. Kľúč na šifrovanie je náhodne vygenerovaný a uložený spolu s niektorými metaúdajmi vášho tajomstva vo vašom „datastore“. Aplikácia v prehliadači šifruje váš „datastore“ pomocou derivácie vášho hesla. Ako algoritmus na túto deriváciu hesla používame scrypt. Prečo nie PBKDF2? PBKDF2 je oveľa známejší, ale kvôli nižším nárokom na zdroje (najmä pamäť) je „lacno“ implementovateľný v hardvéri a pre útočníka ľahšie prelomiteľný.
Naše transportné šifrovanie
Tri vrstvy šifrovania chránia vaše údaje na ceste z vášho prehliadača do nášho aplikačného servera. Základná vrstva je šifrovanie samotných údajov vykonávané klientom. Nad touto vrstvou Psono implementoval strednú vrstvu, ktorú zvyčajne označujeme ako transportnú šifrovaciu vrstvu Psona. Táto vrstva je ako tunel (podobný VPN tunelu) medzi webstránkou (alebo rozšírením) bežiacou vo vašom prehliadači a naším aplikačným serverom. Okrem toho na vrchu, ako vonkajšiu vrstvu alebo ochranný obal, používame HTTPS (vo verzii TLS 1.2). Za zmienku stojí aj to, že obidve naše stredná a vonkajšia vrstva sú navrhnuté a nakonfigurované tak, aby podporovali perfect forward security (PFS).
Pravidelné bezpečnostné aktualizácie
Musíte udržiavať svoj softvér aktuálny. To je najlepšia rada pre akýkoľvek počítačový systém a softvér. Je to najlepšia ochrana pred malvérom, vírusmi a hackermi a základná nevyhnutnosť na ochranu vašich tajomstiev. Psono to pochopilo a pravidelne vydáva aktualizácie s najnovšími bezpečnostnými záplatami a funkciami.
Princíp otvoreného zdroja
Jadro Psona je open source a vždy ním aj zostane. To znamená: Žiadne licenčné poplatky. Žiadne postupne rastúce náklady na predplatné. Žiadne skryté bezpečnostné chyby. Flexibilita presunu a hostovania kdekoľvek s partnerom podľa vášho výberu. Verejná kontrolovateľnosť a bezpečnostné kontroly. Ak chcete, môžete kedykoľvek opraviť chybu sami.
Dostupnosť služby
Potrebujete mať prístup k svojim heslám vždy. Rozumieme tomu. Psono má tri prístupy na vyriešenie tohto problému. Po prvé, každému ponúkame náš server a klientov na on-premise hostovanie, zadarmo a s dockerom tak jednoducho, ako to len ide. Na našej stránke na stiahnutie nájdete príslušné docker obrazy pre Psono Server a Psono Web Client. Po druhé, naša jednoduchá funkcia zálohovania do textového súboru. Po tretie, bežíme v cloude na Amazone AWS a Google GCP, čím minimalizujeme riziká výpadkov dátových centier, straty dát a problémov so serverom.
Denné zálohovanie vašich údajov
Každú noc automaticky zálohujeme všetky údaje služby Psono.pw Service, aby sme zaistili maximálnu možnú ochranu pred potenciálnou stratou dát. Prístup k týmto zálohám má len veľmi obmedzený počet osôb.
Bezpečnosť kódu prostredníctvom auditov kódu
Pre akýkoľvek nový pridaný kód vykonávame kódové audity. Kód vyžaduje manuálne schválenie pred nasadením do produkcie. Automatické kontroly zabezpečujú kvalitu kódu.
Minimalizácia problémov Automatizované testovanie
Všetok kód automaticky testujeme na viacerých úrovniach a musí prejsť niekoľkými kontrolami kvality, kým sa považuje za pripravený na uvedenie do prevádzky. Aktuálny stav testov vždy nájdete ako odznak tu pre Psono Client a Psono Server.
Automatizované skenovanie zraniteľností
Máme zavedených viacero bezpečnostných a zraniteľnostných skenerov. To nám umožňuje detegovať nové hrozby a rýchlo reagovať. Automatizované skenovania prebiehajú každú noc a zodpovedajúco vyvolávajú notifikácie. Okrem toho sa tieto skenovania spúšťajú automaticky v našom build pipeline, čím blokujú vydanie zraniteľných verzií. Dodatočné kontroly ponúkané tretími stranami (napr. github.com) vyvolávajú upozornenia pri každom novom CVE.
Návrh siete s viacerými zónami
Naša sieť dodržiava najlepšie postupy a využíva plný potenciál bezpečnostných obmedzení našich poskytovateľov cloudových služieb. Sieť je rozdelená na viacero vrstiev so zapojenými firewallmi na obmedzenie prístupu a zabránenie alebo oneskorenie možných preniknutí.
Pokročilá DDoS ochrana
DDoS (Denial-of-Service) útoky predstavujú veľkú hrozbu pre súčasné online služby. Preto Psono prijalo opatrenia na svoju ochranu a používa Cloudflare na zmiernenie rizika výpadkov spôsobených DDoS útokmi.