Loading color scheme

Telefon Szyfrujący TAG T1

Korzystanie ze smartfona w sprawach służbowych z jednej strony jest wygodne, z drugiej jednak wiąże się z ryzykiem. Treść prowadzonych rozmów może bowiem zostać przechwycona przez nieuczciwą konkurencję, wścibskiego sąsiada lub zazdrosnego partnera. W celu zapewnienia najwyższego bezpieczeństwa polecamy telefon szyfrujący T1 opracowany przez firmę T.A.G CONSULTATION. Model posiada spersonalizowany, zmodyfikowany system operacyjny oparty o platformę Android wyposażony w zestaw mechanizmów i aplikacji zabezpieczających, wykorzystujący wyłącznie szyfrowane magazyny i kanały transmisji danych. System został zaprojektowany w celu zapewnienia poufności danych i uniemożliwienia przechwycenia komunikacji, blokowania złośliwych programów, zapobiegania śledzeniu użytkownika i zapewnieniu bezpieczeństwa wszystkich danych w razie utraty urządzenia. Bezpieczny telefon TAG T1 dostarczany jest wraz z kartą SIM zapewniającą bezkosztowe użycie danych w 180 krajach na całym świecie oraz anonimowość użytkownika.

Szyfrowanie end-to-end

Protokoły kryptograficzne wykorzystywane przez aplikacje poczty elektronicznej, czatu i połączeń głosowych gwarantują, że cała komunikacja pozostaje silnie zaszyfrowana aż do momentu dostarczenia do autoryzowanego odbiorcy.

Nielimitowany transfer / brak dopłat za roaming

Brak powiązania z operatorami komórkowymi - nie mają dostępu do poufnych danych osobowych i personaliów użytkownika. Nie wymagana jest również rejestracja karty SIM. T1 COMMUNICATOR dostarczymy z kartą SIM multi-IMSI, która zapewnia nieograniczony zasięg i transmisję danych bez roamingu na całym świecie.

Bezpieczeństwo danych

Wszystkie dane i klucze kryptograficzne przechowywane są WYŁĄCZNIE urządzeniach T1 zaszyfrowane z trzema poziomami ochrony kluczem szyfrującym. Dzięki temu nikt poza użytkownikiem nie ma możliwości uzyskania dostępu do poufnych informacji. Aby zagwarantować pełną kontrolę nad systemem, oferujemy również możliwość wykorzystania infrastruktury użytkownika – instalacja na własnym serwerze.

Bardzo ważne dla zachowania bezpieczeństwa jest uniemożliwienie ekstrakcji danych z urządzenia po uzyskaniu do niego fizycznego dostępu (poprzez specjalistyczne narzędzia za pomocą interfejsu USB lub po wylutowaniu pamięci eMMC -tzw. chip-off).

Telefon T1 oferuje kilka warstw zabezpieczeń przed ekstrakcją danych z urządzenia:

  • cała pamięć jest zaszyfrowana za pomocą bardzo silnych algorytmów - ich odczytanie w praktyce nie jest możliwe,
  • wszystkie bazy danych są niezależnie zaszyfrowane za pomocą innego hasła,
  • automatyczne usunięcie danych przy wykryciu próby ataku, dodatkowo dane mogą być usunięte zdalnie,
  • wyeliminowane wszystkie mechanizmy śledzenia także na poziomie sprzętowym
  • rezygnacja z części sensorów – zminimalizowanie wektorów ataku
  • spójność bezpieczeństwa platformy sprzętowej w obrębie systemu zaprojektowanej pod kątem bezpieczeństwa i zachowania prywatności

 System operacyjny smartfona jest fundamentem dla innych aplikacji zapewniającym bezpieczne działanie urządzenia. Celem przy projektowaniu T1 było zapewnienie aby ten system był możliwie jak najbardziej szczelny i bezpieczny. - Działa na wysoce zmodyfikowanym systemie Android w wersji 8.1 kompleksowo redukującym wektory ataku i oferującym szerokie funkcjonalności zabezpieczeń.

  • • zablokowane śledzenia i możliwość podsłuchu 
  • zabezpieczenia przed ekstrakcją danych z urządzenia
  • walidacja spójności systemu przy uruchamianiu
  • blokada modyfikacji oprogramowania (zablokowany bootloader, automatyczne usuwanie zaszyfrowanego magazynu danych przy próbie manipulacji)
  • zdalne czyszczenie pamięci
  • ochrona potrójnym hasłem (magazyn danych, system, aplikacje)
  • system oczyszczony z podatności i potencjalnych wektorów ataku:
  • brak usług Google (usunięte wbudowane mechanizmy śledzenia przez Google API)
    • zmodyfikowany dostęp do magazynu danych (izolowane środowisko dla każdej aplikacji – dane nie są współdzielone między aplikacjami, co uniemożliwia wykorzystanie mechanizmów data mining przez inne aplikacje);
    • wyłączone zasoby sprzętowe – system MDM (platforma zarządzania urządzeniami będąca w gestii użytkownika) umożliwia wyłączenie takich modułów jak GPS, USB, NFC czy Bluetooth na poziomie kernela ograniczając możliwości ataku);
    • bezpieczeństwo bibliotek (wszystkie biblioteki wykorzystywane przez aplikacje zostały przygotowane pod kątem zwiększonego bezpieczeństwa włączając w to mechanizmy takie jak SQLCipher szyfrujące bazy danych aplikacji za pomocą algorytmu AES256 czy firewall IP);
    • weryfikacja integralności podczas uruchamiania (proces uruchamiania systemu jest szczególnie narażony na ataki, dlatego przy każdym uruchamianiu analizowana jest integralność poszczególnych partycji i danych pod kątem infekcji przez złośliwe oprogramowanie).

 

Cała komunikacja jest szyfrowana end-to-end na poziomie urządzenia końcowego, transmitowana za pomocą niedeszyfrowalnych kanałów do urządzenia docelowego i może być odczytana tylko i wyłącznie przez autoryzowanego odbiorcę. Szyfrowany chat i rozmowy wykorzystują protokoły kryptograficzne Off-the-Record Messaging (OTR) i OMEMO do obsługi komunikacji bezpośredniej oraz chatów grupowych za pomocą algorytmu AES256. Do szyfrowania połączeń głosowych i rozmów video (także grupowych) wykorzystywany jest protokół uzgadniania kluczy ZRTP.

  • wiadomości z automatycznym kasowaniem – użytkownik może ustalić czas przez jaki wysyłana wiadomość jest widoczna, po jego upływie jest kasowana bez śladu po obu stronach – u nadawcy i odbiorcy;
  • szybkie szyfrowane notatki głosowe PTT;
  • zdalne kasowanie danych – w przypadku utraty urządzenia pamięć może być zdalnie skasowana za pomocą predefiniowanej wiadomości wysyłanej na urządzenie;
  • serwer pośredniczy wyłącznie w zestawieniu bezpiecznego kanału transmisji danych;
  • w przypadku komunikacji za pomocą chatu czy rozmów między 2 użytkownikami dane w ogóle nie są przetwarzane na serwerze – trafiają bezpośrednio do odbiorcy, jeśli odbiorca jest offline wiadomość nie zostaje w ogóle wysłane z urządzenia nadawcy;
  • chary grupowe bez śladu na serwerach – duży nacisk został położony na zapewnienie grupowej komunikacji end-to-end, dane w formie zaszyfrowanej przechowywane są na serwerze obsługującym komunikację tylko do momentu dostarczenia wiadomości do użytkowników nie dłużej jednak niż przez określony przez zarządzającego systemem czas.

T1 oferuje także w pełni bezpieczny szyfrowany klient poczty email. Wykorzystuje ulepszoną implementację protokołu PGP z wykorzystaniem 4096 bitowych kluczy – nie do złamania przez współczesne komputery.

  • • najsilniejsza dostępna kryptografia – aplikacja wykorzystuje szyfrowanie AES256 z 4096bitowymi kluczami autoryzującymi RSA
  • zdalne usuwanie danych – podobnie jak w przypadku komunikatora dane poczty są zdalnie usuwane w przypadku utraty urządzenia za pomocą polecenia
  • szyfrowana baza danych – wszystkie dane poczty przechowywane są w bezpiecznym zaszyfrowanym i odizolowanym magazynie niedostępnym z poziomu innych aplikacji w urządzeniu
  • klucze szyfrujące generowane są i przechowywane wyłącznie na urządzeniu bez jakiejkolwiek komunikacji z serwerem, wysyłane wiadomości są przekazywane przez serwer w formie niemożliwej do odszyfrowania

Dla zapewnienia wszystkich potrzebnych funkcjonalności, bezpiecznej komunikacji i ochrony danych oraz dyskrecji T1 oferuje 3 tryby pracy do wykorzystania w zależności od bieżących potrzeb:

  • tryb bezpieczny (Secure Mode): zapewnia nawiązanie w pełni zabezpieczonej komunikacji pomiędzy użytkownikami i ochronę wrażliwych danych, daje dostęp do szyfrowanego chatu, połączeń głosowych, poczty email oraz bezpiecznego magazynu danych. Wszystkie transmitowane dane są szyfrowane end-to-end z wykorzystaniem bardzo silnych algorytmów szyfrujących niemożliwych do złamania w rozsądnym czasie nawet przez współczesne superkomputery; wbudowany manager haseł zapewnia ich bezpieczne przechowywanie oraz wygodny system podpowiedzi
  • tryb awaryjny (Emergency center): zapewnia błyskawiczny dostęp do funkcji ochrony danych - błyskawicznego usunięcia całego magazynu lub wejścia w tryb incognito
  • tryb incognito: w niektórych okolicznościach istotne jest ukrycie faktu korzystania z urządzenia szyfrującego, dlatego w trybie incognito urządzenie maskuje się jako standardowy Android ze standardowymi aplikacjami (offline)

Prywatność to eliminacja strony trzeciej z procesu komunikacji i zapewnienie jej pomiędzy użytkownikami. Jednym z rozwiązań ułatwiających to zadanie jest dostarczanie wraz z telefonem anonimowych kart SIM zapewniających nielimitowaną transmisję danych bez opłat roamingowych w 180 krajach na całym świecie bez konieczności kontaktu i podpisywania umów czy rejestracji u operatora sieci komórkowej.

  • brak dodatkowych opłat – karta SIM z pakietem danych bez limitu w cenie licencji T1
  • łączność w ponad 180 krajach bez opłat roamingowych i działa ze wszystkimi lokalnymi operatorami zapewniając maksymalny najlepszy zasięg w danym miejscu
  • bez śledzenia – braku umów czy rejestracji u lokalnego operatora powoduje, że użytkownik nie jest w żaden sposób powiązany z telefonem i kartą SIM

Do zarządzania telefonami udostępniony został systemem MDM (Mobile Device Management) – platformą umożliwiającą zarządzanie i kontrolę nad polityką bezpieczeństwa poprzez którą kontrolowane są poszczególne urządzenia końcowe.

  • bezpieczne połączenie SSL między platformą a urządzeniami – nie ma możliwości ingerencji w połaczenie
  • ustalanie polityki bezpieczeństwa (np. ilość prób nieprawidłowego wpisania hasła po której usunięta zostanie pamięć, minimalna długość hasła i czas co jaki musi zostać zmienione, włączenie /wyłączenie dostępu do czujników np. kamery na poziomie kernela itp.)
  • nadzorowanie instalacji i aktualizacji oprogramowania – żadna aplikacja trzecia nie może być zainstalowana w inny sposób niż poprzez nadzorowane środowisko MDM
  • aktualizacje systemowe możliwe tylko poprzez MDM
  • telefon jest zablokowany przed możliwością ingerencji programowej

Pomimo, że dostawca systemu T1 – T.A.G Consultation nie technicznej ma możliwości dostępu do jakichkolwiek danych użytkownika (szyfrowanie end-to-end, serwer pośredniczy jedynie w zestawieniu bezpiecznego kanału komunikacji) na serwerze pozostają częściowe zaszyfrowane metadane (bezużyteczne z punktu widzenia potencjalnego ataku). Klucze prywatne umożliwiające odszyfrowanie danych są przechowywane tylko i wyłącznie na urządzeniach końcowych użytkowników - gwarantują, że nawet w najmniej prawdopodobnym scenariuszu - udanym ataku na serwery i uzyskaniu dostępu do danych które są na nim przechowywane, atakujący nie jest w stanie w żaden sposób odszyfrować jakiejkolwiek informacji.

Pomimo tego T.A.G oferuje możliwość wykorzystania dla dużych i kluczowych zastosowań wykorzystania infrastruktury po stronie użytkownika:

  • całkowita kontrola i bezpieczeństwo oraz integralność danych w systemie bezpiecznej komunikacji
  • całość systemu pozostaje pod jego wyłączną kontrolą bez jakiejkolwiek styczności ze stroną trzecią
  • rozwiązanie jest implementowane na dedykowanym serwerze utrzymywanym i kontrolowanym przez użytkownika
  • instalacja jest w stanie obsłużyć do 3000 użytkowników
  • możliwość implementacji kolejnych instancji i skalowania systemu