Taggat med: Amazon Web Services

Bitsec granskar SecureMailbox

SecureMailbox (tidigare Poosty) har anlitat IT-säkerhetsföretaget Bitsec genomföra en oberoende granskning av SecureMailbox tjänst för säker överföring av meddelanden.

Rapporten går ej in på detalj hur olika krav uppfylls men att kodgranskning för säker överskrivning genomförts samt kryptering. Huruvida metadata också raderas framgår ej i rapporten. Det framgår inte heller om några brister har uppdagats och åtgärdats.SecureMailbox (1)

Dock så framgår det att AES används med 256 bitars asymmetrisk kryptering används för meddelanden och eventuella bilagor.

SecureMailbox använder sig av Amazon Web Services för lagring av information (S3) samt RDS som databasmotor.

Att SecureMailbox går ut transparent på detta sätt och publicerar granskningen är mycket bra och något som vi förhoppningsvis får se från fler företag. Andra företag som genomfört externa oberoende granskningar och sedan publicerat resultatet är Yubico.

Nu saknas bara ett program för att uppmuntra externa IT-säkerhetsforskare att identifiera och rapportera sårbarheter såsom Facebook och många andra har.

Rapporten kan laddas hem här som PDF:

Bitsec säkerhetsgranskning SecureMailbox

Vi testar krypterad E-post med Poosty

Poosty är en webbmail-tjänst som lanserades redan 2008 men har nu fått ett litet uppsving då konsultföretaget AddQ har gått in som delägare. Tjänsten startades av Stefan Waldeck som tidigare var nordisk marknadschef på Yahoo Searchmarketing.

Att kalla det för krypterad E-post är nog kanske lite att ta i, kanske bättre att kalla det för meddelanden med SMS-verifiering. Tjänsten använder sig nämligen av en sex tecken lång kod som används som verifieringsnyckel. Koden skickas separat via SMS samt så skickas även ett notifierings E-postmeddelande till den person du vill skicka ditt meddelande.

När vi testar tjänsten så skriver vi det hemliga meddelandet på Poostys servrar som är lokaliserade i Irland (Amazon Web Services, framgår även i dess sekretesspolicy) och över en https-anslutning. Även så kan Google läsa det hemliga meddelandet vi skriver, eftersom Google Analytics JavaScript laddas in i vår webbläsare.

Poosty är gratis i sitt grundutbud om du väljer att använda externa tjänster (tex. SMS meddelanden) eller uppgradera till våra premiumtjänster så måste du betala.

Vi ser en ljus framtid för Poosty och är väldigt stolta över att ha gått in som strategisk partner och delägare. Genom att vi har kvalitetssäkrat tjänsten vet vi dessutom att den levererar den säkerhet, enkelhet och tillförlitlighet som den ska göra.

Säger Petter Salomonsson, VD på AddQ Consulting.

Uppdatering: Obligatorisk läsning gällande Google Analytics och SSL finnes här.
Uppdatering 2: Se officiellt svar från Poosty i kommentarer till detta inlägg.

Amazon S3 stödjer kryptering i molnet

Amazon S3 är en tjänst för att enkelt och snabbt lagra innehåll på Internet eller i ”molnet” . Denna tjänst samt andra såsom Amazon EC2 ingår i det Amazon kallar för Amazon Web Services, vilket är en uppsjö av tjänster för att underlätta vardagen för företag, webbutvecklare och andra som har behov av att publicera, lagra innehåll eller hyra datorkapacitet.

 

Nu har  Amazon lanserat tjänsten S3 Server Side Encryption (SSE) som underlättar kryptering av filter som lagras i molnet. Krypteringen som används är AES 256-bitar. Dock är vi på redaktionen aningens skeptiska när för mycket är automatiskt som i detta fall. Dock ska tydligen PCI-DSS standard uppnås med denna nya tjänst (se Hacker News-länk nedan).

Beskrivning om hur tjänsten fungerar:

Mer om hur krypteringen används kan du hitta här eller på Amazon-blogggen samt en intressant diskussion på Hacker News.