Telefon szyfrujący TAG T1

Bardzo ważne dla zachowania bezpieczeństwa jest uniemożliwienie ekstrakcji danych z urządzenia po uzyskaniu do niego fizycznego dostępu (poprzez specjalistyczne narzędzia za pomocą interfejsu USB lub po wylutowaniu pamięci eMMC -tzw. chip-off).

Telefon T1 oferuje kilka warstw zabezpieczeń przed ekstrakcją danych z urządzenia:

• cała pamięć jest zaszyfrowana za pomocą bardzo silnych algorytmów – ich odczytanie w praktyce nie jest możliwe,
• wszystkie bazy danych są niezależnie zaszyfrowane za pomocą innego hasła,
• automatyczne usunięcie danych przy wykryciu próby ataku, dodatkowo dane mogą być usunięte zdalnie,
• wyeliminowane wszystkie mechanizmy śledzenia także na poziomie sprzętowym
• rezygnacja z części sensorów – zminimalizowanie wektorów ataku
• spójność bezpieczeństwa platformy sprzętowej w obrębie systemu zaprojektowanej pod kątem bezpieczeństwa i zachowania prywatności

System operacyjny smartfona jest fundamentem dla innych aplikacji zapewniającym bezpieczne działanie urządzenia. Celem przy projektowaniu T1 było zapewnienie aby ten system był możliwie jak najbardziej szczelny i bezpieczny. – Działa na wysoce zmodyfikowanym systemie Android w wersji 8.1 kompleksowo redukującym wektory ataku i oferującym szerokie funkcjonalności zabezpieczeń.

• zablokowane śledzenia i możliwość podsłuchu
• zabezpieczenia przed ekstrakcją danych z urządzenia
• walidacja spójności systemu przy uruchamianiu
• blokada modyfikacji oprogramowania (zablokowany bootloader, automatyczne usuwanie zaszyfrowanego magazynu danych przy próbie manipulacji)
• zdalne czyszczenie pamięci
• ochrona potrójnym hasłem (magazyn danych, system, aplikacje)
• system oczyszczony z podatności i potencjalnych wektorów ataku:
• brak usług Google (usunięte wbudowane mechanizmy śledzenia przez Google API)
• zmodyfikowany dostęp do magazynu danych (izolowane środowisko dla każdej aplikacji – dane nie są współdzielone między aplikacjami, co uniemożliwia wykorzystanie mechanizmów data mining przez inne aplikacje);
• wyłączone zasoby sprzętowe – system MDM (platforma zarządzania urządzeniami będąca w gestii użytkownika) umożliwia wyłączenie takich modułów jak GPS, USB, NFC czy Bluetooth na poziomie kernela ograniczając możliwości ataku);
• bezpieczeństwo bibliotek (wszystkie biblioteki wykorzystywane przez aplikacje zostały przygotowane pod kątem zwiększonego bezpieczeństwa włączając w to mechanizmy takie jak SQLCipher szyfrujące bazy danych aplikacji za pomocą algorytmu AES256 czy firewall IP);
• weryfikacja integralności podczas uruchamiania (proces uruchamiania systemu jest szczególnie narażony na ataki, dlatego przy każdym uruchamianiu analizowana jest integralność poszczególnych partycji i danych pod kątem infekcji przez złośliwe oprogramowanie).

Cała komunikacja jest szyfrowana end-to-end na poziomie urządzenia końcowego, transmitowana za pomocą niedeszyfrowalnych kanałów do urządzenia docelowego i może być odczytana tylko i wyłącznie przez autoryzowanego odbiorcę. Szyfrowany chat i rozmowy wykorzystują protokoły kryptograficzne Off-the-Record Messaging (OTR) i OMEMO do obsługi komunikacji bezpośredniej oraz chatów grupowych za pomocą algorytmu AES256. Do szyfrowania połączeń głosowych i rozmów video (także grupowych) wykorzystywany jest protokół uzgadniania kluczy ZRTP.

• wiadomości z automatycznym kasowaniem – użytkownik może ustalić czas przez jaki wysyłana wiadomość jest widoczna, po jego upływie jest kasowana bez śladu po obu stronach – u nadawcy i odbiorcy;
• szybkie szyfrowane notatki głosowe PTT;
• zdalne kasowanie danych – w przypadku utraty urządzenia pamięć może być zdalnie skasowana za pomocą predefiniowanej wiadomości wysyłanej na urządzenie;
• serwer pośredniczy wyłącznie w zestawieniu bezpiecznego kanału transmisji danych;
• w przypadku komunikacji za pomocą chatu czy rozmów między 2 użytkownikami dane w ogóle nie są przetwarzane na serwerze – trafiają bezpośrednio do odbiorcy, jeśli odbiorca jest offline wiadomość nie zostaje w ogóle wysłane z urządzenia nadawcy;
• chary grupowe bez śladu na serwerach – duży nacisk został położony na zapewnienie grupowej komunikacji end-to-end, dane w formie zaszyfrowanej przechowywane są na serwerze obsługującym komunikację tylko do momentu dostarczenia wiadomości do użytkowników nie dłużej jednak niż przez określony przez zarządzającego systemem czas.

T1 oferuje także w pełni bezpieczny szyfrowany klient poczty email. Wykorzystuje ulepszoną implementację protokołu PGP z wykorzystaniem 4096 bitowych kluczy – nie do złamania przez współczesne komputery.

• • najsilniejsza dostępna kryptografia – aplikacja wykorzystuje szyfrowanie AES256 z 4096bitowymi kluczami autoryzującymi RSA
• zdalne usuwanie danych – podobnie jak w przypadku komunikatora dane poczty są zdalnie usuwane w przypadku utraty urządzenia za pomocą polecenia
• szyfrowana baza danych – wszystkie dane poczty przechowywane są w bezpiecznym zaszyfrowanym i odizolowanym magazynie niedostępnym z poziomu innych aplikacji w urządzeniu
• klucze szyfrujące generowane są i przechowywane wyłącznie na urządzeniu bez jakiejkolwiek komunikacji z serwerem, wysyłane wiadomości są przekazywane przez serwer w formie niemożliwej do odszyfrowania

Dla zapewnienia wszystkich potrzebnych funkcjonalności, bezpiecznej komunikacji i ochrony danych oraz dyskrecji T1 oferuje 3 tryby pracy do wykorzystania w zależności od bieżących potrzeb:

• tryb bezpieczny (Secure Mode): zapewnia nawiązanie w pełni zabezpieczonej komunikacji pomiędzy użytkownikami i ochronę wrażliwych danych, daje dostęp do szyfrowanego chatu, połączeń głosowych, poczty email oraz bezpiecznego magazynu danych. Wszystkie transmitowane dane są szyfrowane end-to-end z wykorzystaniem bardzo silnych algorytmów szyfrujących niemożliwych do złamania w rozsądnym czasie nawet przez współczesne superkomputery; wbudowany manager haseł zapewnia ich bezpieczne przechowywanie oraz wygodny system podpowiedzi
• tryb awaryjny (Emergency center): zapewnia błyskawiczny dostęp do funkcji ochrony danych – błyskawicznego usunięcia całego magazynu lub wejścia w tryb incognito
• tryb incognito: w niektórych okolicznościach istotne jest ukrycie faktu korzystania z urządzenia szyfrującego, dlatego w trybie incognito urządzenie maskuje się jako standardowy Android ze standardowymi aplikacjami (offline)

Prywatność to eliminacja strony trzeciej z procesu komunikacji i zapewnienie jej pomiędzy użytkownikami. Jednym z rozwiązań ułatwiających to zadanie jest dostarczanie wraz z telefonem anonimowych kart SIM zapewniających nielimitowaną transmisję danych bez opłat roamingowych w 180 krajach na całym świecie bez konieczności kontaktu i podpisywania umów czy rejestracji u operatora sieci komórkowej.

• brak dodatkowych opłat – karta SIM z pakietem danych bez limitu w cenie licencji T1
• łączność w ponad 180 krajach bez opłat roamingowych i działa ze wszystkimi lokalnymi operatorami zapewniając maksymalny najlepszy zasięg w danym miejscu
• bez śledzenia – braku umów czy rejestracji u lokalnego operatora powoduje, że użytkownik nie jest w żaden sposób powiązany z telefonem i kartą SIM

Do zarządzania telefonami udostępniony został systemem MDM (Mobile Device Management) – platformą umożliwiającą zarządzanie i kontrolę nad polityką bezpieczeństwa poprzez którą kontrolowane są poszczególne urządzenia końcowe.

• bezpieczne połączenie SSL między platformą a urządzeniami – nie ma możliwości ingerencji w połaczenie
• ustalanie polityki bezpieczeństwa (np. ilość prób nieprawidłowego wpisania hasła po której usunięta zostanie pamięć, minimalna długość hasła i czas co jaki musi zostać zmienione, włączenie /wyłączenie dostępu do czujników np. kamery na poziomie kernela itp.)
• nadzorowanie instalacji i aktualizacji oprogramowania – żadna aplikacja trzecia nie może być zainstalowana w inny sposób niż poprzez nadzorowane środowisko MDM
• aktualizacje systemowe możliwe tylko poprzez MDM
• telefon jest zablokowany przed możliwością ingerencji programowej

Pomimo, że dostawca systemu T1 – T.A.G Consultation nie technicznej ma możliwości dostępu do jakichkolwiek danych użytkownika (szyfrowanie end-to-end, serwer pośredniczy jedynie w zestawieniu bezpiecznego kanału komunikacji) na serwerze pozostają częściowe zaszyfrowane metadane (bezużyteczne z punktu widzenia potencjalnego ataku). Klucze prywatne umożliwiające odszyfrowanie danych są przechowywane tylko i wyłącznie na urządzeniach końcowych użytkowników – gwarantują, że nawet w najmniej prawdopodobnym scenariuszu – udanym ataku na serwery i uzyskaniu dostępu do danych które są na nim przechowywane, atakujący nie jest w stanie w żaden sposób odszyfrować jakiejkolwiek informacji.

Pomimo tego T.A.G oferuje możliwość wykorzystania dla dużych i kluczowych zastosowań wykorzystania infrastruktury po stronie użytkownika:

• całkowita kontrola i bezpieczeństwo oraz integralność danych w systemie bezpiecznej komunikacji
• całość systemu pozostaje pod jego wyłączną kontrolą bez jakiejkolwiek styczności ze stroną trzecią
• rozwiązanie jest implementowane na dedykowanym serwerze utrzymywanym i kontrolowanym przez użytkownika
• instalacja jest w stanie obsłużyć do 3000 użytkowników
• możliwość implementacji kolejnych instancji i skalowania systemu