Основатели портала I.UA Максим Хомутин, Денис Мисько и Виталий Хранивский сообщили о запуске нового сервиса для безопасного обмена секретной информацией encrypt.one. Пока сервис доступен только в виде веб-версии. С его помощью пользователи могут пересылать друзьям, родственникам и коллегам пароли от сервисов, данные кредитных карт, небольшие файлы до 5 МБ и другую личную информацию, не боясь, что она попадет к третьей стороне.
По словам разработчиков, Encrypt.one решает проблему безопасной передачи финансовой информации, в частности паролей и данных для доступа к банковским счетам. Кроме того, его можно использовать и как средство передачи паролей между своими устройствами, например, с компьютера на телефон.
«Передача паролей через мессенджеры, флешки или сервисы хранения файлов — Google Drive или Dropbox — небезопасна. Мессенджер или аккаунт одного из звеньев передачи информации могут взломать и приватные данные попадут к злоумышленникам. Кроме того, существующие сервисы передачи паролей вроде OneTimeSecret из-за отсутствия шифрования на стороне пользователя подвержены рискам взлома и не предоставляют возможности передавать файлы. Поэтому мы и придумали encrypt.one», – рассказывает предысторию Encrypt.one Денис Мисько.
Особенность сервиса Encrypt.one состоит в том, что все данные шифруются ключом на стороне браузера и только после этого передаются на сервер. В результате, на сервер передается зашифрованная информация которую не смогут расшифровать ни сотрудники сервиса, ни хакеры, которые теоретически могут получить доступ к базе данных, так как у них нет ключа для расшифровки. В данном случае используется шифрование по алгоритму AES с длиной ключа 256 бит, который небезызвестное АНБ относит к уровню «Совершенно Секретно». Считается, что для взлома AES-256 методом подбора современному компьютеру понадобится несколько миллиардов лет. Этот стандарт используется в банковских системах и пока не было зафиксировано ни одного случая успешного взлома системы, использующей шифрование AES-256.
Для шифрования используется либо введенный пароль, либо случайно сгенерированный ключ который помещается в хеш-часть ссылки и не передается на сервер. Браузер получателя ссылки расшифровывает информацию непосредственно на компьютере пользователя при помощи введенного пароля или ключей из хеш части ссылки. После первого просмотра информация удаляется с сервера.
Encrypt.one – это открытый проект, так что любой желающий, имеющий соответствующие знания и навыки в области криптографии и информационной безопасности, может проверить его на наличие потенциальных уязвимостей. Исходный код encrypt.one традиционно доступен на Github.