Istnieją różne modele nagradzania odkrywców błędów w stronach czy programach. Niektóre firmy wypłacają nagrody, inne wręczają bony do swoich sklepików, a pewna firma postanowiła przekazać 5% swoich akcji osobie, która złamie jej system szyfrowania poczty.
Węgierski startup MySecureZone.com twierdzi, że wymyślił i wdrożył nowy sposób bezpiecznej komunikacji. Aby udowodnić, że naprawdę wierzy w swój system, firma obiecuje, że każdemupierwszemu, kto odczyta zabezpieczoną przez nich wiadomość, odda 5% swoich udziałów. To ciekawa forma bug bounty, gdzie zamiast ignorować zgłaszającego, wręczać eurogąbki czy np. poprawiać cudze oprogramowanie, firma oferuje duży pakiet swoich akcji.
Pomijając filozoficzne pytanie, kto chciałby 5% udziałów w firmie, której produkt nie działa, spójrzmy na sposób działania MySecureZone.com.
Firma zamierza oferować usługi poczty elektronicznej, komunikatora, VPNa, bezpiecznej przeglądarki oraz uwierzytelnienia, jednak to poczta ma być sztandarowym produktem i jej dotyczy konkurs. Jak ma działać ta usługa? Po pierwsze, zaszyfrowana wiadomość nie jest nigdzie – według twórców systemu – przesyłana. Cały czas przechowywana jest na serwerach firmy, a odbiorca otrzymuje jedynie linka. Ma to niby uniemożliwić przechwycenie zaszyfrowanej wiadomości – jednak jako że odbiorca, by ją przeczytać, musi ją zobaczyć na serwerze firmy, twierdzenie „zaszyfrowana wiadomość nie jest przesyłana przez sieć” nie jest do końca prawdziwe.
Szyfrowanie bezpieczniejsze niż PGP
Jak jednak przeczytać zaszyfrowaną wiadomość? Według twórców systemu wystarczy do tego celu hasło, które zna nadawca i odbiorca. To faktycznie rewelacyjny system, który przewraca do góry nogami całą nasza dotychczasową wiedzę o kryptografii. Wystarczy zatem ustalić jedno hasło dla każdego odbiorcy poczty (lub jedno dla wszystkich, a co!) i zapisać je w bezpiecznym miejscu po przekazaniu odbiorcy, by móc swobodnie i wygodnie korespondować z naszymi znajomymi. Faktycznie, pomysł zapowiada się świetnie.
Jak szyfrowana jest wiadomość? Już zapowiedź twórców systemu budzi ciekawość – według nich opracowali autorski system szyfrowania (nazwali go MSEP), który zapewnia silniejszy poziom bezpieczeństwa niż PGP i SSL (cokolwiek to oznacza). Niestety to wszystko, co o tym systemie wiadomo…
Szwajcaria? To musi być bezpieczne!
Kolejnym rewolucyjnym pomysłem Węgrów jest lokalizacja serwerów usługi. Twierdzą, że umieścili je w Szwajcarii, dzięki czemu mogą wdrożyć politykę „zero logów”. Niestety, może się to okazać nie do końca prawdziwe, ponieważ Szwajcaria posiada przepisy dotyczące retencji danych telekomunikacyjnych, a tak czy inaczej zobowiązanie do przechowywania danych zależy od lokalizacji podmiotu świadczącego usługi, a nie jego serwerów. Nie da się jednak ukryć, że z marketingowego punktu widzenia Szwajcaria brzmi całkiem nieźle.
Nie tylko Szwajcaria wydaje się elementem marketingowym – chyba cała strategia firmy na marketingu własnie się opiera. Brak szczegółów technicznych rozwiązania, twierdzenia o bezpieczeństwie lepszym niż PGP i stosowanie symetrycznego szyfrowania opartego na hasłach raczej nie budzi wielkiego zaufania. Nic więc dziwnego, że by zdobyć trochę rozgłosu firma musiała ogłosić chęć przekazania 5% swoich akcji. Pytanie tylko, czy znajdą się chętni do ich przyjęcia.
Komentarze
> każdemu, kto odczyta zabezpieczoną przez nich wiadomość
Chyba pierwszemu
o.O what did i just read?
każdemu, kto odczyta zabezpieczoną przez nich wiadomość
1. Pracuj w 20 osób nad złamaniem zabezpieczeń
2. Podziel się wynikami z kolegami
3. Wszyscy odczytajcie wiadomość
4. ?????
5. PROFIT ! przejęliście firmę w 100%
A co jak grupa będzie 21-osobowa? :-)
„The fastest person to successfully complete the task will receive a 5%” BTW…
„Jak jednak przeczytać zaszyfrowaną wiadomość? Według twórców systemu wystarczy do tego celu hasło, które zna nadawca i odbiorca. To faktycznie rewelacyjny system, który przewraca do góry nogami całą nasza dotychczasową wiedzę o kryptografii.”
Mowa jak rozumiem o kryptografii symetrycznej… Może nie zrozumiałem sarkazmu, ale ta „nowość” jest z nami od ponad 2000 lat.
„opracowali autorski system szyfrowania”
W dekalogu każdego fana kryptografii znajduje się przykazanie, aby wystrzegać się rozwiązań o zamkniętej specyfikacji i kodzie. Ja też mam super rozwiązanie wszystkich problemów bezpieczeństwa w drugiej szufladzie swojego biurka. A jak chcecie, to podeślijcie wiadomość, to wam zaszyfruję.
Te ich bug bounty jest marne, bo:
– trwać będzie niecały miesiąc. Jeżeli są tak pewni swego, niech trwa dekadę. W końcu są dużo lepsi od PGP,
– jak znajdziesz błąd, to firma straci na wartości i w wyniku tego mniej zyskasz :)
Nie zrozumiałeś sarkazmu? :)
Byliście bardzo przekonywujący. :)
To chyba aż za bardzo :)
Zdecydowanie byliście nazbyt przekonujący bo też zrobiłem wielkie oczy i przeczytałem odpowiedni fragment dobre 4 razy czy przypadkiem nie pominąłem jakiegoś rewolucyjnego szczegółu.
Hi Guys,
I’m the CEO of MySecureZone.
My ancestors were Polish, but unfortunately I don’t speak the language.
Our encrypted email works: The encrypted email doesn’t leave our server!
When you connect to our server the SSL SHA256 or 512 layer are established. After that our web application will generate a secure key (private and public), customized for the computer you are using (the keys are unique, generated the current connection). This is the way to use asymmetric and symmetric encyption without any software installation. You can send encrypted email to any addresse with PGP+SSL encryption.
About legalquestions:
The company, who provide the services is Commonwealth of Dominican. The servers are Switzerland (without data retention). The developer are a hungarian company.
The Challenge prize: is
We were trying to figure out a good prize. Thats it :)
Thank you for the article and posts
Attila, thanks for your comment.
Some clarification: you claim that „The encrypted email doesn’t leave our server!” – I understand this is true for the sending phase, but how the recipient can read it? If the encrypted message is sent to the recipient’s browser when he clicks the link, than this statement is not true.
As for the encryption technology – there are multiple stories, when home-made encryption (especially closed-source) failed dramatically. There is a reason that most strong encryption algorithms are public and have been verified by hundreds of independent researchers. Relying on closed source encryption only works if you have a strong team of engineers and mathematicians behind it (and they work for a national security agency).
Claiming your encryption gives stronger protection than PGP, without providing detailed information to support this statement does not sound credible. You could be more specific when you implement something new in cryptography/privacy field, as not reveling the details suggests lack of confidence in the product.
Good luck with your project anyway, there might be customers who prefer this approach. I’m not one of them.
Dear Adam,
Thank you for your post.
There are some misunderstandings.
We are talking about two different things (the new encryption framework and our new iteration and integrity protection algorithm).
Our new encryption framework, which is using some standard encryption algorithms with strong key management, plus our new encryption integrity protection solution. The invention is: PKI key management and additional encryption and integrity layers without any software installation. We can do it via web. So you can send encrypted email to any email account. The email doesn’t leave our servers. When the receiver is opening the encrypted E-mail reader link, the user can establish a strong PKI+SSL+X encrypted connection, so the receiver can read the email via PKI+SSL+X encryption algorithm without PGP or any crypto software installation.
We know, our framework and algorithm is a young solution. We are using it only as an additional protection layer over other strong standard algorithms.
It was worth to check the article for additional comments. Thanks for the clarifications. Not everyday you can see a CEO talking on some web blogs. Good luck with your system!
Thank you for your opinion, attention and the article.
Good luck!