Экс-команда I.UA запустила бесплатный сервис для шифрованной передачи данных

9543
19

Команда, которая создавала портал I.UA — Максим Хомутин, Денис Мисько и Виталий Хранивский — объявила о запуске бесплатного сервиса encrypt.one. С его помощью можно пересылать чувствительные данные (вроде паролей или данных карты) файлами до 5 МБ. Его можно использовать и как средство передачи паролей между собственными устройствами, отмечают разработчики.

Команда проекта считает, что передавать пароли через мессенджеры, флешки или сервисы хранения файлов — Google Drive или Dropbox — небезопасно. Ведь мессенджер можно взломать. Рискам взлома подвержены и сервисы передачи паролей вроде OneTimeSecret, поскольку в них нет шифрования на стороне пользователя.

Шифрование организовано по стандарту AES-256 (Advanced Encryption Standard). «Для взлома AES-256 методом подбора современному компьютеру понадобится несколько миллиардов лет, этот стандарт используется в банковских системах и не был взломан ни разу за всю историю криптографии», — отмечает Хомутин.

screenshot_11

Данные шифруются ключом на стороне браузера и только после этого передаются на сервер. Для шифрования используется либо введенный пароль, либо случайно сгенерированный ключ, который помещается в хеш-часть ссылки и не передается на сервер. Браузер получателя ссылки расшифровывает данные на компьютере пользователя при помощи введенного пароля или ключей из хеш части ссылки.

Encrypt.one — это один из проектов компании Final Level, которую экс-команда I.UA основала после ухода из холдинга UMH. Над этим проектом работает пять человек. «Монетизировать пока не планируем, это своего рода сигнальная ракета, которая призвана показать, насколько решаемая encrypt.one проблема интересует широкие массы. Мы хотим получить обратную связь и понять, в какую сторону развивать проект дальше», — рассказывает Хомутин.

Но в дальнейшем команда планирует развивать проект для корпоративного сегмента, «коробочного» решения, которое компании смогут использовать для внутреннего обмена секретной информацией.

Исходный код проекта можно посмотреть на GitHub.

Напомним, в 2014 году часть команды портала I.UA, входящего в состав UMH Group, покинула холдинг. Основатель проекта Максим Хомутин, а также технический директор I.UA Денис Мисько и арт-директор проекта Ярослав Слободянюк ушли из UMH, чтобы заняться развитием проектов в рамках новой компании Final Level. В рамках этой компании команда уже запускала проекты свои и сторонние — к примеру, сотрудничала с известным украинским стартапом Coppertino. В 2015 году команда запускала почту и файлообменник MailTo, но его остановили из-за сложностей с инвестициями.

Оставить комментарий

Комментарии | 19

  • подскажите ребятам, что безопастнее пишется без Т

  • есть проверка пароля на правильность — значит сервер знает какой пароль правильный. Зачем выдумывать велосипед если есть вот https://secserv.me и ему 3 года)

    • Прочитайте внимательно: Для шифрования используется либо введенный пароль, либо случайно сгенерированный ключ, который помещается в хеш-часть ссылки и не передается на сервер.

      • так почему сервер проверяет пароль на правильность? Я перешел по ссылке и у меня несколько попыток ввести правильный пароль — про хеши мне не нужно говорить — еще скажите гмаил тоже мол не знает мой пароль а только хеш))))

        • загляните в код на гитхабе, сервер только считает попытки, а не сравнивает

          • загляните на https://secserv.me и вы увидите что там точно сервер не знает правильный пароль потому что всегда показывает вам нечто при вводе) и только вы сами знаете при вводе какого пароля вы получите желаемую инфу. Я про то, что ребята молодци что сделали примитивный аналог этого сервиса. Более функционального пока не придумали.

          • 1) Проверка HmacSHA256 хеша пароля на стороне сервера (генерируется из вашего пароля на стороне браузера) при получении информации, это дополнительная мера защиты от подбора пароля — не зная ключ вы даже не получите информацию, и после 3х попыток информация будет удаленна с сервера (иначе получив информацию при достаточно простом пароле, ее можно расшифровать брутфорсом). Само собой HmacSHA256 не дает серверу никакой возможности для расшифровки информации.
            2) secserv.me да аналог, но я к сожалению не нашел никаких ссылок на код проекта, те как я вижу проект закрытый. Также почему-то он как-то криво работает с маленькими файлами в конце файла после расшифровки вставляет мусор, походу не убирает паддинг.

          • Денис, при всем уважении аналог это у вас…сделать что то похожее на onetimesecret, privnote и т.д. через 3-5 лет после того как эти сайты вообще были сделаны это похвально) ну а открытость кода secserv.me видно при запуске Ctrl Shift J в браузере Хром ))) то есть никто не будет проверять код на Гите каждый час и сравнивать с вашим кодом сайта типа чтобы вы его не подменили)) открытость кода эта старая добрая манипуляция. Вообщем когда сделаете чат как тут https://secserv.me/#create_chat тогда может дотяните до аналога) Успехов!

            А мусор он вставляет для того чтобы никто не смогу понять даже размер передаваемой инфы — мусор вставляется и в сообщение ))) как то так) с файлами до 7 метров работает отлично. По поводу дизайн и тд — сайту 4 года и новый дизайн нет времени сделать) но денег при этом брать не собираемся

          • 1) это уже расшифрованный файл, падинг в нем может привести к невозможности его открытия, я не про зашифрованный.
            2) открытый код продукта это также для возможности другим поднять проект в своем окружении, с контролем доступа и изменений. (что очень критично для корп сектора, у которого проблема передачи информации от деска к деску все более критична с наращиванием переноса корп сервисов в публичные облака)
            3) Да само собой, мы планируем его развивать, это больше была попытка понять текущее состояние рынка криптографических сервисов.

          • да ты похоже чувак в чужом топике пиаришь свой проект. вот в твоем проекте дизайн никакой :). А Денису и его комманде зачёт.

          • Ты чувак криптограф или судишь давать зачет или нет только по дизайну?)) Если второе — тогда ты не интересен мне для пиара перед тобой уж совсем. А то что у нас дизайн говно так это я сам признал — но мы же не apple чтобы на нас дрочили за дизайн — у нас другие задачи. Мы свой проект создали 4 года назад с куда большим функционалом чем этот вот + я высказываюсь где хочу пока не банят)

  • Хорошо что теперь кроме нас еще кто то может работать с криптографией в этой стране)

  • Тобто тепер передаєм пароль від пароля а не сам пароль? 🙂 Що заважає перехоплювати повідомлення які починаються на https://encrypt.one……….?

    • Валерий, тут имелось ввиду что пароль можно передать без личной встречи такой ссылкой — и потом позвонить и спросить человек получил пароль или уже битую ссылку. По ссылке можно нажать 1 раз и если она пришла человеку битая — то это и есть перехват кем то посередине и значит надо создать новый пароль и снова его проверить другим средством связи) Как то так. Если ИТ безопасность слишком простая и понятная даже для фотомодели — значит это лажа скорее всего)

Поиск