Bringing privacy back
“Pragnienie bezpieczeństwa jest podstawą każdego wielkiego
przedsięwzięcia.”
TACITUSc.100AD
Od tysiącleci ludzkość
wiedziała, że prywatność jest czymś ważnym.
Nawet, gdy trudno było ją zdefiniować.
03
private (przysł.), koniec XIV w.
odnoszący się albo należący do kogoś, osobisty; nieupubliczniony.
Pierwsza definicja 14c.
prywatności pochodzi
z języka średnioangielskiego:
04
Kiedyś była czymś
oczywistym. Dziś trzeba ją chronić. Dlatego
stworzyliśmy najsilniejszy
system szyfrowania danych.
Chcemy odzyskać Twoją prywatność.
05
Enigma była nowoczesną maszyną kryptograficzną, używaną podczas II wojny światowej do generowania zaszyfrowanych wiadomości. Posiadała około 158 trylionów możliwych
rozwiązań, przez co jej szyfr był uznawany za niemożliwy do złamania.
I tak było. Aż do 1932 roku, kiedy trzech polskich
matematyków zdołało złamać kod Enigmy. Był to kamień milowy w historii. Zgadza się z tym nawet CIA.
To nasze
dziedzictwo
Zdjęcie: PAP 06
Dziś, 85 lat po złamaniu Enigmy, walczymy
z innym wrogiem.
Wirtualnym.
Jak zabezpieczyć się przed kimś, kogo nie można zobaczyć?
07
Hybrid Virtual Key Management to unikalna metoda
szyfrowania wszystkich rodzajów danych cyfrowych. Polega na kryptograficznym podziale prywatnego klucza szyfrującego RSA na dwie części. Technologia HVKM jest zarejestrowana
w Urzędzie Unii Europejskiej ds. Własności Intelektualnej oraz w Międzynarodowym Biurze Światowej Organizacji Własności Intelektualnej (USA). Nasza rewolucyjna metoda opiera się na dystrybucji kluczy kryptograficznych.
Klucz używany do szyfrowania każdego pliku działa tylko
wtedy, kiedy jesteś w posiadaniu kluczy częściowych. Unikalna połówka klucza znajduje się na Twoim urządzeniu, drugą
połową dysponuje serwer. Rozszyfrowanie możliwe jest
wyłącznie po połączeniu obu części w trybie online. Twoją
połowę klucza chroni Twój komputer, który posiada dodatkowe klucze szyfrujące, drugą część klucza zabezpiecza serwer, który ściśle kontroluje integralność całego procesu. Żadna strona nie jest w stanie wykonać rozszyfrowania samodzielnie.
Co sprawia, że Twoje pliki
są widoczne tylko dla Ciebie?
Odpowiedzią jest HVKM.
HVKM
08
Zarówno producent oprogramowania, jak i administrator IT, nie mają technicznej możliwości dostępu do Twoich danych, ponieważ nie posiadają Twojej unikalnej części klucza.
Dodatkowo szyfrujemy nie tylko same pliki, ale również ich nazwy. Jedyne co widzimy, to przestrzeń jaką zajmują.
Dzięki HVKM nikt nie widzi Twoich
plików. Nawet my.
CO NAS WYRÓŻNIA
09
10
Privacy by design
NOWY ELEMENT SYSTEMU BEZPIECZEŃSTWASzyfrowanie metodą end-to-end
Szyfrowanie w środowisku SaaS lub
na infrastrukturze klienta (on-premise) W pełni polskie rozwiązanie,
nieposiadające backdoorów
Ścisłe powiązanie urządzenia klienta
z kontem usługi (autentykacja urządzenia)
Rewolucyjny mechanizm HVKM, gwarantujący pełną poufność danych
01
02
03 04
05
Usecrypt to aplikacja desktopowa, szyfrująca dane w połączeniu z serwerem dzięki technologii HVKM.
Za pomocą szyfrowania end-to-end możesz z łatwością zabezpieczyć swoje dane, a następnie:
Klucz do świata prywatności
USECRYPT SAFE
Przechowywać Wysyłać
Udostępniać
Archiwizuj pliki na swoim
komputerze lub w bezpiecznej chmurze.
Udostępniaj dane wybranym osobom lub zespołom.
Dostępne na:
Wysyłaj pliki do zaufanych odbiorców.
01 02
03
11
Szyfrowanie lokalne
Dane zostają zaszyfrowane na Twoim urządzeniu przy użyciu HVKM. Następnie są zapisane
w zaszyfrowanym formacie (*enc) w wybranym przez Ciebie folderze.
Bezpieczny serwer
Otrzymujesz bezpieczną przestrzeń dyskową dla swoich plików. Możesz usunąć oryginalny
plik ze swojego urządzenia, zachowując jedynie zaszyfrowaną kopię w chmurze.
Przechowywanie i archiwum
12
13
Każdy zaszyfrowany plik możesz wysłać
do zaufanego odbiorcy i śledzić jego historię.
To Ty jesteś właścicielem swoich danych,
więc decydujesz, kto ma do nich dostęp. Pliki
są zaszyfrowane przez HVKM i wysłane poprzez Usecrypt Secure Tunnel. Odbiorcy zostaną
powiadomieni e-mailem o tym, że otrzymali do nich dostęp.
Dodatkowe funkcje:
1. możliwość odebrania dostępu do wysłanych plików,
2. elektroniczne potwierdzenie dostarczenia i odczytu dokumentu,
3. nieograniczony rozmiar wysyłanego pliku.
Wysyłanie
14
Możesz bezpiecznie dzielić się danymi w obrębie grupy zaufanych odbiorców oraz tworzyć
większe zespoły i przydzielać im konkretne pliki.
Aplikacja pozwala na przypisanie trzech różnych poziomów dostępu: właściciel danych, operator i użytkownik. Możesz śledzić historię dostępu
każdego z plików.
Dodatkowe funkcje:
1. kategoryzacja uprawnień do zasobów, 2. elementy polityki obiegu dokumentów,
3. oszczędność miejsca – raz umieszczony na serwerze plik nie multiplikuje
zajętości dysków.
Udostępnianie
Usecrypt używa serwerów Bluemix Bare Metal Servers firmy IBM, co gwa- rantuje globalny zasięg i ogromną moc obliczeniową. IBM Bluemix pozwala
największym korporacjom na fizyczne oddzielenie serwerów od tych należą- cych do innych klientów.
Usecrypt został zakwalifikowany do programu EYnovation dla najszybciej rozwijających się i najbardziej innowa- cyjnych polskich firm technologicznych.
EY i Usecrypt wspólnie pracują nad wdrażaniem systemu ochrony danych w przedsiębiorstwach.
Usecrypt otrzymał pozytywną opin- ię WAT dotyczącą protokołu kryp- tograficznego wykorzystywanego
w narzędziu HVKM. Administracja WAT używa aplikacji do przechowywania
i udostępniania danych.
“Narzędzie Usecrypt spełnia wymogi szyfrowania danych i może być wspar- ciem dla kompleksowych systemów bezpieczeństwa w firmowych opro- gramowaniach”.
Oni traktują swoją
prywatność poważnie
NASI PARTNERZY
15
Wszystkie dane zaszyfrowane w Usecrypt są bezpiecznie
przechowywane w chmurze IBM Bluemix na serwerach typu bare metal. Usecrypt jest pierwszą polską firmą oferującą
w pełni zabezpieczoną i zaszyfrowaną infrastrukturę IT,
odporną na wszystkie (znane dziś) metody kryptograficzne.
Najbezpieczniejsza chmura na świecie
ZASZYFROWANA INFRASTRUKTURA IT
16
Wybrane, najlepsze modele laptopów Dell posiadają w standar- dzie preinstalowaną aplikację Usecrypt. Dzięki temu, użytkownicy Dell są gotowi na nadchodzącą implementację dyrektywy RODO już w momencie zakupu urządzenia.
Pracujemy
z najlepszymi
markami na świecie
USECRYPT X DELL
17
Dowiedz się co sprawia,
że nasza technologia jest nie do złamania.
TECHNOLOGIA
18
Osiem poziomów bezpieczeństwa
Gwarantujemy najwyższy poziom bezpieczeństwa, dzięki
użyciu znanych mechanizmów kryptograficznych. Wszystkie używane przez nas algorytmy i protokoły kryptograficzne są certyfikowane przez wyspecjalizowane instytucje.
HVKM
UST KDF
AES RSA
E2EE
DH MAC
Hybrid Virtual Key Management
Usecrypt Secure Tunnel Key Derivation Function
The Advanced Encryption Standard Rivest–Shamir–Adleman End-to-end encryption
Diffie-Hellman Message Authentication Code
TECHNOLOGIA
01 02 03 04
05 06 07 08
19
Hybrid Virtual Key Management
HVKM to nasza autorska technologia dotycząca procesu asymetrycznego szyfrowania kluczy. Szyfrujesz pliki
kluczem publicznym, a ich odbiorca rozszyfrowuje je za pomocą klucza prywatnego. Klucz prywatny składa się z dwóch części. Jedna z nich jest przechowywana na Twoim urządzeniu, a druga zapisana na serwerze.
HVKM
End-to-end encryption
System komunikacji, w którym tylko komunikujący się użytkownicy mogą odczytywać wysyłane wiadomości.
Twoje dane są zawsze zabezpieczone, niezależnie od
tego, czy chcesz je przechować, udostępnić czy przesłać za pomocą Usecrypt. Tylko Ty i wybrani przez Ciebie
użytkownicy możecie rozszyfrować i otworzyć pliki.
Wszystkie pliki, które opuszczają Twoje urządzenie, są od razu szyfrowane przez Usecrypt.
E2EE
20
21
Najsilniejsze szyfrowanie
Advanced Encryption Standard jest używanym na całym świecie algorytmem, znanym także pod nazwą Rijndael.
To specyfikacja używana przy szyfrowaniu danych, oparta na najsilniejszym, 256-bitowym kluczu, wybieranym
losowo przez Twoje urządzenie (zgodnie z normą FIPS 197, certyfikat w formie X.509).
AES
Sprawdzone rozwiązania
RSA to znany i powszechnie używany algorytm, polegający na tym, że klucz kryptograficzny jest publiczny i różni się
od prywatnego klucza rozszyfrowującego (w zgodzie ze standardem PKCS#1 2.1).
Klucz RSA, razem z techniką szyfrowania kapsułkowego KEM, eliminują procesy schematów paddingowych.
RSA
22
Usecrypt Secure Tunnel
Kojarzysz małe kłódki, które możesz zobaczyć w pasku przeglądarki podczas przeglądania? To oznaczenie pro- tokołu SSL, które wskazuje, że Twoje dane są wysyłane
w bezpieczny sposób. W teorii. Protokół SSL ma luki, które mogą umożliwić przejęcie Twoich danych. Usecrypt używa swojego własnego tunelu komunikacyjnego, opartego na silnych algorytmach asymetrycznych i symetrycznych.
UST
Bezpieczne połączenie
Diffie-Hellman jest metodą bezpiecznej wymiany kluczy kryptograficznych poprzez publiczne kanały. Usecrypt używa jej przy pierwszym połączeniu urządzenia
z serwerem, tworząc Usecrypt Secure Tunnel
(w oparciu o standardy RFC 2631, IEEE 1363-2000 oraz ANSI X9.42:2003).
DH
Odporny na hakerów
Usecrypt stosuje do każdego pliku metodę Message Authentication Code (MAC). Każdy plik ma przypisany losowo wygenerowany klucz. Nawet jeżeli ktoś włamie się do Twojego systemu, nie będzie mógł otworzyć
i zmodyfikować Twoich plików. Klucz do plików jest zaszyfrowany i można go odtworzyć tylko
z Twojego urządzenia.
MAC
Bezpieczne
generowanie klucza
KDF jest mechanizmem tworzenia kluczy
kryptograficznych. Jest ważnym składnikiem systemu szyfrowania. Przetwarza hasło czytelne dla człowieka
w sekwencję bitów i bajtów, które następnie są używane jako klucze w algorytmie kryptograficznym (zgodność
ze standardem IEEE 1363-2000).
KDF
23
Rozporządzenie Ogólne o Ochronie Danych (RODO) jest
dyrektywą Unii Europejskiej o ochronie danych osobowych, która wchodzi w życie 25 maja 2018 r. Zmieni powszechne praktyki przechowywania danych osobowych i informacji
o użytkownikach w biznesie i sektorze publicznym.
W przypadku naruszenia bezpieczeństwa danych, organizacja może być ukarana grzywną w wysokości aż do 20 milionów
euro. Kwota jest naprawdę wysoka. Aby zapobiec wyciekom, dane należy skutecznie szyfrować.
Wolisz szyfrować teraz czy płakać później?
RODO
24
Usecrypt spełnia wszystkie
techniczne wymogi dotyczące RODO:
RODO
Szyfrowanie danych osobowych
Polityka dostępu
do danych Prawo do bycia
zapomnianym Ochrona urządzeń
Bezpieczna
archiwizacja danych
Ochrona transferu danych osobowych
01 02 03
06
04 05
25
Jak działa Usecrypt?
DEDYKOWANA APLIKACJA DESKTOPOWA
W przeciwieństwie do wielu innych produktów typu
Dropbox, Usecrypt to autorska aplikacja, która pozwoliła w całości wyeliminować ryzyko występujące podczas uży- wania przeglądarki internetowej. Ponadto użytkownik ma gwarancję, że dostawca usługi nie będzie miał dostępu do jego danych.
Dropbox wykorzystuje szyfrowanie w modelu „at-rest”.
Oznacza to, że dane zostają zaszyfrowane dopiero na serwerze. W trakcie transmisji są chronione wyłącznie
poprzez SSL. Nie można jednoznacznie określić, w którym momencie dane zostają zaszyfrowane, ponieważ definicja
„encryption-at-rest”
pozwala na jej szeroką interpretację. Model „at-rest” ozna- cza również brak poufności, ponieważ klucze szyfrujące
dane pozostają w posiadaniu dostawcy usługi. Powoduje to, że w dowolnym momencie usługodawca może uzyskać
dostęp do tych danych.
Usecrypt szyfruje dane już na stacji roboczej, następnie
przesyła je w wersji zaszyfrowanej bezpiecznym, autorskim kanałem komunikacji UST. Nikt nie jest w stanie ich odszy- frować i nie ma dostępu do danych klienta.
26
SZCZEGÓŁY TECHNICZNE
SZYFROWANY KANAŁ KOMUNIKACJI UST
Po pobraniu i uruchomieniu aplikacji ustanawiany jest szyfrowany kanał komunikacji UST (Usecrypt Secure
Tunnel) w oparciu o algorytm uzgadniania klucza metodą
Diffiego-Hellmana (określony w standardzie RFC 2631, IEEE 1363-2000 lub ANSI X9.42:2003) co gwarantuje bezpie-
czeństwo wymiany danych pomiędzy aplikacją a serwerem.
GENEROWANIE I PODZIAŁ UNIKALNEGO KLUCZA SZYFRUJĄCEGO
W momencie rejestracji generowane są dwa długie i silne prywatne, losowo przydzielane klucze RSA 2048, w wyniku kryptograficznego podziału na dwie części – opisany wcze- śniej HVKM. Unikalna „połówka” użytkownika przechowywa- na jest na stacji roboczej, w postaci zaszyfrowanej kluczem AES256, podczas gdy druga część znajduje się na serwerze również w wersji zaszyfrowanej, która nigdy nie opuszcza
serwera. Podczas pracy użytkownika z aplikacją oba klucze
są zawsze odseparowane. W przypadku utraty stacji robo- czej lub zapomnienia hasła użytkownik może wygenero-
wać „recovery key”. Recovery key to kopia połówki klucza z urządzenia użytkownika. Wygenerowany jest w postaci pli- ku, który użytkownik przechowuje na oddzielnym, zewnętrz- nym urządzeniu, najlepiej w postaci zaszyfrowanej i w bez- piecznym miejscu (np. w sejfie). Każdy recovery key jest
dodatkowo zabezpieczony jednorazowym losowo wygenero- wanym hasłem, które użytkownik powinien przechowywać w oddzielnym miejscu. Taki proces zabezpiecza dodatkowo recovery key na wypadek jego przejęcia.
Ponadto konfiguracja aplikacji na danym urządzeniu zawiera w sobie parametry konkretnej stacji roboczej, na której Usecrypt jest rejestrowany (autentykacja
konkretnego urządzenia).
27
MECHANIZM KAPSUŁKOWANIA KLUCZA
Szyfrowanie pliku odbywa się na stacji roboczej użytkowni- ka (stacja robocza musi być w trybie on-line) przy użyciu al- gorytmu AES256, który generowany jest za pomocą funkcji KDF. Odszyfrowywanie odbywa się dwuetapowo przy użyciu kluczy RSA. Pierwszy etap ma miejsce przy użyciu „połów- ki” znajdującej się na serwerze, a drugi na stacji roboczej.
Dodatkowo każdy plik zaszyfrowany w Usecrypt jest zaszy- frowany oddzielnym kluczem AES256, a każdy klucz AES za- szyfrowany jest kluczem publicznym RSA.
Współdzielenie zaszyfrowanego pliku polega na stworzeniu zaszyfrowanej kapsułki (KEM- Key Encapsulation Mecha-
nism) przechowywanej na serwerze, która powstaje w mo- mencie przesłania do serwera zaszyfrowanego klucza AES pliku. Podczas udostępniania pliku innemu użytkownikowi,
plik jest szyfrowany kluczem publicznym RSA odbiorcy,
a następnie w bezpieczny sposób umieszczany ponownie na serwerze jako zaszyfrowana bezpieczna kapsułka
przypisana do wskazanego odbiorcy.
W przypadku, gdy chcemy odebrać użytkownikowi dostęp do pliku, jego kapsułka jest usuwana z serwera i natychmia- stowo przestaje on mieć dostęp do pliku, czyli nie
ma możliwości jego pobrania i odszyfrowania. Jest to
dodatkowa przewaga Usecrypt nad standardową pocztą, gdzie w przypadku e-maila skierowanego do błędnie
wybranego odbiorcy nie mamy już możliwości cofnięcia
tego procesu i krytyczny załącznik pozostaje w archiwach serwerów pocztowych.
28
SECURE BY DESIGN
System jest projektowany w ramach tzw. secure by desi-
gn, czyli system w fazie projektu jest tworzony tak, aby był przestrzenią bezpieczną wykluczającą możliwość zewnętrz- nej ingerencji, ukrycia back-doorów umożliwiających nie-
autoryzowany dostęp do zasobów systemu. Zastosowa-
ne w rozwiązaniu algorytmy, mechanizmy i użyte protokoły kryptograficzne powodują – według deklaracji producenta
– że jest ono odporne na znane metody kryptoanalizy, a sam producent nie ma technicznej możliwości dostępu do da-
nych klientów.
KORZYŚCI DLA DYREKTORÓW IT
Oprogramowanie klienckie systemu można zainstalować na komputerach oraz smartfonach z systemem operacyj-
nym: Windows, Android, iOS oraz Mac OS. System Usecrypt ma funkcjonalność pozwalającą na przyznawanie uprawnień dostępu na poziomie plików oraz folderów za pomocą me-
chanizmu zarządzania uprawnieniami, które przydzielane
są przez właściciela danego dokumentu w ramach wdrożo- nej polityki. Usecrypt nie integruje się z usługami katalogo- wymi. Cryptomind wychodzi z założenia, że integrowanie jego rozwiązania z innym narzędziem typu active directory opartym na Lightweight Directory Access Protocol (LDAP) może być związane z propagowaniem dodatkowych po-
datności i wykorzystaniem tych usług do przejęcia danych.
Znane są ataki oparte o podat ności Active Directory.
Kolejnym etapem rozwoju systemu będzie wdrożenie Usecrypt API, które umożliwi integrację z systemami ze- wnętrznymi takimi jak obiegi dokumentów lub rejestrato- ry pism kancelaryjnych i podnosząc poziom bezpieczeń-
stwa tych systemów. System umożliwia gradację poziomów uprawnień – w prosty i bezpieczny sposób można wy-
kreować kilka poziomów dostępu użytkowników. Nada-
ne uprawnienia mogą mieć uporządkowaną, hierarchiczną strukturę, którą można dowolnie rozbudować.
29
Właściciel danych znajduje się na szczycie hierarchii, a po- niżej umiejscowieni są operatorzy, którzy mogą nadawać uprawnienia dotyczące konkretnych danych. Ponadto każ- da operacja wykonana przez użytkownika potwierdzana jest złożeniem podpisu cyfrowego, co pozwala na wyeliminowa- nie sytuacji, w której użytkownik zaprzecza wykonaniu okre- ślonej czynności w systemie.
Usecrypt zmienia sytuację dyrektorów IT, szefów bezpie- czeństwa i administratorów. W systemach, w których roz- wiązanie to nie jest stosowane, dyrektor IT ma dostęp do
wszystkich danych firmy. Zastosowanie Usecrypt powoduje, że dyrektor IT nie ma technicznej możliwości podglądu
danych szyfrowanych przez pracowników. Oznacza to,
że ewentualny atak na jego konto nie daje technicznej możli- wości dostępu do zasobów całej firmy. Dzięki temu pracow- nicy działów IT przestają być głównym celem ataków
skierowanych na uzyskanie dostępu do wrażliwych danych.
Wszystko to powoduje, że Usecrypt stanowi istotny nowy element konstrukcji systemów bezpieczeństwa, który przy- nosi korzyści zarówno dyrektorom IT, jak również całej orga- nizacji, zapewniając znaczne bezpieczeństwo przy wymianie i przechowywaniu plików.
30
Po co kupować drogi hardware, kiedy możesz mieć niedrogi
software?
SUBSKRYPCJE
Oferta Pro
50 PLN
netto / za użytkownika / miesiąc
• od 1 do 25 licencji
od 100 GB za użytkownika
• do użytku osobistego lub komercyjnego
• pomoc 24/7
Custom
$
Niestandardowy plan dla większych zespołów
Potrzebujesz niestandardowej oferty dla swojej firmy? Przygotujemy dla Ciebie dopasowane rozwiązanie.
31
Dodatkowa przestrzeń w chmurze: 225 PLN / 1TB / miesiąc Szyfrowanie na infrastrukturze klienta: 100 PLN / 1TB / miesiąc
Twoja prywatna tajna linia
USECRYPT MESSENGER
Usecrypt Messenger to poufny komunikator, dostępny na
smartfonach. Zupełnie nowy poziom bezpieczeństwa szyfrowania wiadomości, osiągnięty dzięki szyfrowaniu end-to-end. Wszystkie operacje kryptograficzne przeprowadzane są na Twoim urządzeniu, co gwarantuje pełną poufność, jeśli chodzi o pisanie, połączenia
głosowe i rozmowy video w standardzie HD.
32
Bardziej poufny niż rozmowa
twarzą w twarz
USECRYPT MESSENGER
• brak technicznej możliwości sprawdzenia IP drugiej strony konwersacji
• stała przepływność (brak możliwości przeprowadzenia ataku typu side-channel)
• żadne dane, dotyczące konwersacji, nie są przechowywane na serwerach
• możliwość sprawdzenia, czy urządzenie jest bezpieczne, przed rozpoczęciem rozmowy
33
Dołącz do świata prywatności
USECRYPT MESSENGER
34
Masz więcej pytań?
Q&A
To dobrze, bo chętnie na nie odpowiemy. Zajrzyj na:
USECRYPT.COM
35
Tel.: (+48) 22 213 96 44
Email: office@usecrypt.com www.usecrypt.com
ul. Twarda 18
00-105 Warszawa Polska
Jesteśmy tu, by chronić Twoją prywatność
KONTAKT
36