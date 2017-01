Kívülről behúzható megoldásként kínálja biztonsági eszköztárát a Tresorit - jelentette be a budapesti cég tegnap. A ZeroKit névre keresztelt, szolgáltatásként igénybe vehető biztonsági rendszer alkalmazásfejlesztőknek kínál egyszerűen beépíthető megoldást a különösen kényes adatok kezelésére.

Az egyik ilyen, kimondottan kényes terület az egészségügyi adatoké, nem véletlen, hogy a Tresorit megoldását első körben az Apple vette támogató szárnyai alá és bejelentette, hogy integrálja azt saját CareKit platformjával. A CareKit kimondottan egészségügyi alkalmazásokhoz készült, diagnosztikai és egyéb appok építhetőek rá, amelyek például háziorvosok vagy épp kórházak munkáját segítik és egészségügyi információkat tárolnak a betegekről.

Az adatok biztonságáról azonban eddig az app fejlesztőjének kellett gondoskodnia - ez pedig híresen nehéz feladat, az egyszeri appkészítő kompetenciáit bizony néha meghaladja. A problémát felismerve az Apple összefogott a Tresorittal és integrálja a CareKit platformot a hiánypótló ZeroKit szolgáltatással.

Utóbbi két (nagyon fontos) funkciót kínál a fejlesztőknek: egyrészt "zero-knowledge" beléptetést kínál, másrészt egy dedikált SDK segítségével az adatok titkosítását is képes saját hatáskörben elvégezni. Mivel a terület erősen szabályozott, fontos szempont, hogy a ZeroKit megfelelőség (compliance) szempontjából is leveszi a terhet a fejlesztő válláról, így az engedélyeztetési eljárás is egyszerűsödhet. A rendszer implementálásához ugyanis nem kellenek mély kriptográfiai ismeretek, az előre bekészített snippet bemásolásával és testreszabásával életre kelthető a szolgáltatás.

A beléptetésre a rendszer PAKE megközelítést használ, ennek előnye, hogy a szerveren nincs letárolt jelszó hash, így ha az adatbázist fel is töri egy támadó, a jelszavakat semmilyen formában nem tudja ebből visszaállítani - a brute force (különösen szótár alapon) továbbra is működik, a hatékonyságot viszont a költséges számítások nagyon megnehezítik. A beléptetés egyébként a TouchID-t is támogatja, tehát még jelszóra sincs folyamatosan szükség a hozzáféréshez.

A második elem a különleges titkosítás, amely még kliensoldalon bezárja az adatot, így az a hálózati forgalomban, a szerveren és tárolás közben is védettséget élvez. Annyira, hogy ahhoz maga a fejlesztő sem fér hozzá, így értelemszerűen adatszivárgás esetén is védettek maradnak az információk (ez a zero-knowledge előnye). A csavar a Tresorit megoldásában, hogy ennek ellenére a rendszer lehetővé teszi, hogy a felhasználó az adatokat megossza másokkal (például eltárolt digitális kartotékját a háziorvosával) - ez pontosan a CareKit-appok lényege.

Pivot? Egy kicsit.



A Tresorit eredetileg az (azonos nevű) felhős tárhely-szolgáltatáshoz fejlesztett biztonsági megoldást, amelynek egyedi megkülönböztetője a "zero-knowledge" hozzáállás: a szerverekre az állományok titkosítva érkeznek meg, azokat kibontani a cég nem tudja, erre kizárólag az előfizetőnek van lehetősége.

A rendszer implementációját a cég házon belül készítette el, a különleges, C-ben írt keresztplatformos titkosításról korábban már a HWSW konferenciáján is született előadás - jó eséllyel ez a lelke a ZeroKit platformnak is. Úgy tűnik, idővel a Tresorit rájött, hogy a meglévő fejlesztések más területeken is bevethetőek, ennek eredménye a ZeroKit. Persze a felhős tárhelyszolgáltatás is marad a cég portfóliójában, egyelőre szó sincs arról, hogy a cég kivonulna erről a területről.

A ZeroKit nem csak az Apple-féle iOS-re érhető el, van androidos és webes/böngészős változata is. Az árazás az igényektől függ, ha a fejlesztő csak a beléptetést akarja implementálni, akkor aktív felhasználónként havonta egy dollárcentet fizet (az első 1000 ingyenes), ha a titkosításra is szüksége van, akkor műveletenként (titkosítás, feloldás, megosztás) fizet, százezer művelet 89 dollárba kerül (az első 1000 itt is ingyenes).