Lanzamos msg.do

Como ya hemos comentado varias veces, somos unos apasionados de la seguridad, manejamos información de clientes y para nosotros es un reto mejorar las soluciones que ofrecemos a diario. Una de las claves, como ya sabéis, es servir aplicaciones de un modo extremadamente seguro.

¿Qué es msg.do?

Es un potente sistema de encriptación de mensajes de un uso muy sencillo. Para que nos entendamos, no es un sistema de mensajería en tiempo real, ya que a pesar de que éstas utilizan cifrados de alto nivel, en mi opinión no son del todo seguras. Tanto en los servidores de los prestadores del servicio como en los dispositivos se almacenan las key y los vectores de inicialización que son necesarios para hacer decrypt sobre el ciphertext. Para que nos entendamos, además de guardar los mensajes en modo cifrado, almacenan la información necesaria para su desencriptación.

msg.do nunca guarda la llave que abre la puerta del mensaje. Queda registrado el ciphertext (mensaje cifrado) que es generado por un IV y una random key por cada mensaje. Para el cálculo del IV genera una cadena aleatoria en base al BLOCK SIZE y esta nunca se repite.

Uno de los problemas de seguridad más comunes que podemos encontrarnos en aplicaciones es la generación del IV a través de una cadena plana de 16 bytes/128bits que se repite en cada una de las encriptaciones, lo que, a pesar de ser complicado sin tener la llave a mano, abre las puertas a encontrar posibles patrones que den con la respuesta.

msg.do genera una llave aleatoria y única que nunca es almacenada en los servidores.

El usuario una vez guardado el texto, recibe el unique_string que lo identifica (tanto por web a través de la URL como por API) junto una KEY y es el responsable de salvaguardar la llave, ya que sin ella el mensaje no puede ser descifrado.

Hemos creado la primera versión de una API con 2 métodos, SAVE y READ y gracias a ella hemos iniciado la implementación de msg.do en diferentes proyectos de eventises para mejorar la seguridad de la información que almacenamos.

En los próximos días se incluirá el killswitch, para destruir un mensaje cifrado almacenado tanto por web url como por API e incorporaremos notificaciones a través de Webhooks, ésta última opción sólo estará disponible para la API.

Link a msg.do

Site Footer