A Tresorit elnevezésű titkosított, felhőalapú tárhely-, és fájl-megosztó szolgáltatást hazai kriptográfusokból álló csapat fejleszti. A megosztható titkosítás fejlesztését a fiatal alapítók a Budapesti Műszaki Egyetem CrySyS Laboratóriumában, a nemzetközileg elismert IT biztonsági kutatóintézetben végezték. 

A Tresorit elnevezésű titkosított, felhőalapú tárhely-, és fájl-megosztó szolgáltatást hazai kriptográfusokból álló csapat fejleszti. A megosztható titkosítás fejlesztését a fiatal alapítók a Budapesti Műszaki Egyetem CrySyS Laboratóriumában, a nemzetközileg elismert IT biztonsági kutatóintézetben végezték. 

A Tresorit a közelmúltban 380 millió Ft kockázati tőkebefektetést kapott a régió egyik vezető tőkealapjától és több nemzetközi magánbefektetőtől, segítségével a csapat a biztonsági kihívásokkal terhelt felhőt biztonságos, transzparens közeggé kívánja alakítani. 

 

A magyar IT-biztonsági startup vállalkozás, a Tresorit, annyira bízik a hasonló nevet viselő felhőalapú tároló és megosztó szolgáltatásában, hogy a 2013. április 10-én tartott tájékoztatóján 10 ezer dolláros pénzdíjat ajánlott fel annak a hackernek, aki megszerzi a Tresorit szolgáltatás egyik „trezorjában" általuk elrejtett kódot.  

 

A támogató Microsoft Magyarország képviseletében megjelent Szabó Dávid elmondta, egy évvel korábban figyeltek fel a fiatal fejlesztő csapat ötletére, a tagok korábbi szakmai sikereire, szabadalmaira, titkosítási megoldásaira, s ekkor döntöttek róla, hogy a Microsoft is „beszáll" a Tresorit sikertörténetébe. Bevették a Tresoritot a MS start-up támogató programjának egyik legfelsőbb fokozatába, s mintegy 15 millió Ft értékű MS technológiát, szolgáltatást és licenceket biztosítottak számukra. A Microsoft nemzetközi szinten fogja támogatni a Tresoritot.   

 

Tánczos Péter, a Tresorit egyik befektetőjének, az Euroventures-nek ügyvezetője elmondta, 20 éve foglalkoznak  

közép-kelet-európai IT, korai szakaszú, nagy növekedési lehetőség előtt álló vállalkozások finanszírozásával. 

Reményeik szerint a Tresorit is besorol a támogatásukat élvező, gyorsan sikert arató cégek közé. A Tresorit üzleti lehetőségei azért szimpatikusak, mert nem valamiféle szűk piacot kívánnak szolgálni, de megoldásaik földrajzi korlátoktól függetlenül könnyen alkalmazhatók. Olyan üzleti modellt jelent ez, ahol a kockázati tőke befektetőnek nagy szerepe lehet, különösen, ha nem csak pénzzel jelentkezik, de tapasztalattal, szaktudással is.  

A szóbanforgó befektetési alap, az Euroventures 4 az , amivel a cég beszállt a Tresorit támogatásába, lehetővé teszi, hogy a vállalkozást vonzóvá tegye magánbefektetők számára is. Olyan magánbefektetők csatlakoztak az Euroventures mellé, akik azt a nemzetközi vállalatfejlesztési és befektetési tapasztalatot tudják a cégnek adni, amely a fiatal fejlesztő csapat kelléktárából még hiányzik.

http://www.euroventures.hu

Mi indokolta a Tresorit kifejlesztését?
 

Lám István, a Tresorit ügyvezetője rámutatott, a legtöbb informatikai biztonsági szakértő egyetért abban, hogy az adatok felhőalapú kezelése és tárolása kockázatos lehet. A vonatkozó megoldás igénybe vételével ugyanis a felhasználók átruházzák a feltöltött tartalom fölötti irányítást felhőszolgáltatójukra. A szolgáltató hozzáférhet ehhez a tartalomhoz, s akár egy titkosszolgálattal is megoszthatja azt, a felhasználó engedélye és tudomása nélkül. Azt is figyelembe kell venni, hogy a felhőnek otthont adó adatközpontok a hackerek kiemelt célpontját jelentik, védelmük kijátszható. Az adatlopás a legnehezebben felfedhető biztonsági probléma. Különös súllyal esik ez latba, amikor az adatokat kiszervezzük a cloud-ba, még azt sem tudjuk, hogy melyik földrészen van az adatunk, milyen rendszergazda felügyelete alatt.

Az óriási mennyiségű, bizalmas jellegű tárolt adat biztonságát a szolgáltatók kódolási hibái is veszélyeztetik. Elég egy figyelmetlen vagy rosszindulatú rendszergazda ahhoz, hogy ügyféladataink, bankkártya számaink az internet feketepiacára kerüljenek, a vállalatok számára mindezzel évente sokmilliárdos veszteséget és komoly bizalomvesztést okozva.

A tűzfalakon kívülről érkező fenyegetések is egyre komolyabbak, egyes országok ipari kémkedését jól képzett kiberhadseregek szolgálják, a nemzetközi hacker hálózatok pedig olyan megosztott számítási kapacitásokkal dolgoznak, hogy csak idő kérdése a legtöbb ma ismert rendszervédelmi megoldás feltörése. Az interneten jóformán minden eszköz megtalálható ahhoz, hogy akár amatőr, akár profi hackerek megpróbáljanak titkos információkhoz hozzájutni.
 

A megoldást a titkosítás jelentheti, manapság sokan mondják magukat titkosítónak. Általában az ilyen titkosítás a felhőben van, mi feltöltjük adatunkat, s azt ott látják és titkosítják és tárolják a szerveren. Ilyenkor az adminisztrátor hozzáfér a kulcshoz, a fájlhoz. A mai felhőalapú megoldások biztonsága tehát legtöbbször illúzió.  

 

Erre a problémára kínál kliens-oldali kriptográfiai, azaz adattitkosítási megoldást az egyetemi kutatásként indult, mára több száz milliós befektetéshez jutott magyar vállalkozás, a Tresorit.  

A megoldás; még mielőtt elhagyná a kliens számítógépét az adat, a Tresorit rendszer titkosítja azt oly módon, hogy a kulcsokat a Tresorit cég sem ismeri, s azt csak a felhasználó, ill. az általa feljogosítottak tudják megfejteni. Titkosítottan kerül feltöltésre az adat. Ez azt jelenti, hogy bár könnyen és gyorsan tárolhatunk, oszthatunk meg fájlokat, ezeket se a Tresorit, se a vállalat rendszergazdái, se a kliens oldali szervereket esetleg megtörő hackerek sem tudják megtekinteni.

Újszerű a megoldásban, hogy ez a titkosítás, a titkosított fájlok megoszthatók, s kizárólag azok az emberek képesek dekódolni, akikkel megosztottuk az adatot. Nem kell újratitkosítani, vagy áttitkosítani. Ez menet közben is változhat, ahogy a cég életében változnak az alkalmazottak, ill. azok jogosultsága.  

 

A piacon vannak hasonló megoldások, a Tresorit a könnyű használhatósággal kíván kitűnni. Bár az alkalmazott eszköz algoritmusai sok országban fegyvernek minősülnek, a Tresorit a legbarátságosabb fájlszinkronizációs megoldást kívánja nyújtani a piacon, mondván, a biztonság egyik legnagyobb ellensége a felhasználó, a felhasználó legnagyobb ellensége pedig a nehezen használható számítógép.  

Az alkalmazott egyszerű megoldás során a felhasználó un. trezorokban helyezheti el az adatokat, ez egy lokális könyvtár, amelyet szinkronizálunk a felhővel és a háttérben titkosítjuk, a háttérben zajlik a kulcsmegoldás és kulcs-csere, ami a PGP-nél ismeretes, de ott nagyon nehezen, felhasználói beavatkozással kell megcsinálni. A használat öt perc alatt elsajátítható.   

Bizonyítási célból, a Tresorit kriptográfusai április 15-étől kezdve 10 ezer dolláros díjat ajánlanak fel annak a hackernek, aki egy, a biztonsági megoldásukkal védett „trezorból" kihozza az ott elrejtett dokumentumot. Az első eredményeket az egy hónap múlva megrendezendő Ethical Hacking Konferencián fedi fel a csapat.

Lám István szerint olyan rendszert sikerült létrehozni, amelyen maguk a létrehozók, mint szolgáltatók sem tudnának hozzáférni a tárolt adatokhoz, bárhogy is próbálnák. Ezt a biztonsági szintet nem csak technológiai leírásokkal kívánják bizonyítani, de a verseny során a heckerek a külön szerveren a szimulált felhasználói adatokat ugyanolyan formában tekinthetik meg, mint maguk a Tresorit rendszergazdái. A csapat annyira bízik megoldásában, hogy a versenynek teret adó, elkülönített szerverüket is előre 'feltörték' – lehetővé téve a hackereknek, hogy a rajta tárolt, titkosított fájlokhoz hozzáférjenek. Így azoknak egyértelműen csak a „trezor" adattitkosítási védelme állja útját.

Félévnyi, korlátolt felhasználói körön belüli tesztelés után a Tresorit ma lépett nyilvános béta fázisba, és jelenleg ingyenesen elérhető a Tresorit honlapjáról: http://www.tresorit.com  A Tresorit ettől kezdve saját tárhely szolgáltatást indít, saját fejlesztésű szerverekkel a Windows Azure szolgáltatásban.   

A későbbiekben induló fizetős szolgáltatásban mobil eszközök kezelése, távoli adatbiztonsági műveletek, dokumentumok és jogosultságok finomhangolása, több-tényezős autentikáció is megtalálható majd.  

 

A megoldás egyetlen rizikója, hogy ha a felhasználó oldalán valamilyen havária során zavar támad, ami a  hozzáférést lehetetlenné teszi, vagy megnehezíti, s az ügyfél maga sem emlékszik hozzáférési jelszavára, akkor az adatok senki számára sem lesznek elérhetők, visszaállíthatók. Erre a lehetőségre a cég a regisztrációnál figyelmeztet, ezt mérlegelnie kell a felhasználónak.

 

 

 

Harmat Lajos

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük