SECUREPATH.BIZ lo sto provando da un anno vediamo come va
Sono stato con la mia azienda (Soluzione PA Srl) uno dei primi distributori di telefonia cifrata, vedi l’australiana SecureGSM, che oggi non esiste più, chiusa dai soci per colpa di un anno intero di lockdown, nel loro paese.
Il sistema lavorava sulla linea CDA della rete GSM, aveva il controllo attacco “uomo in mezzo” MITM (man in the middle) e il lag per una tripla cifratura AES-Serpent-TwoFish era quasi inesistente.
Questo per per dirvi che ne capisco abbastanza di sistemi cifrati di telefonia, ho scritto anche diversi post del blog e ho diversi articoli di Panorama del 2004, una lite con gli avvocati dell’allora Caspertech (politecnico di Torino) che temendo le doti superiori del SecureGSM (andò in onda una comparativa in televisione e lo speacker decretò SecureGSM come miglior sistema) così mi fecero scrivere da Hammonds e Rossotto (grande studio di avvocati) vantando un brevetto sul telefonino cifrato, che poi già sapevano che gli avevano rifiutato, perchè il GSM già è un cripto-fonino a sua volta, quindi oltre a fare una figura barbina, dovettero desistere.
Poi i sistemi si sono modernizzati abbandonando la CDA che in Italia era quasi impossibile da utilizzare, trasformando lo stream voce e chat su altri protocolli che sfruttavano Internet.
Questa volta è diverso perchè il SecurePath non è semplicemente un telefonino cifrato, ma una vera e propria piattaforma sicura, ed oggi con la diffusione dei captatori, un programma installato, una app, non basta più.
Quindi bisogna capire che in questo caso serve comprare il telefono, in questo caso la linea Pixel di Google è stata scelta, rendendo possibile abilitare il sistema su tutta la fascia prezzo/prestazioni, potendo scegliere il modello che si desidera.
Quando si accende, non viene mostrato subito il logo del produttore ma un avviso che la versione del sistema operativo non è quella standard ma completamente riscritta da SecurePath.
Le icone sono rispettivamente la prima per la Voce e la seconda per la Chat
Quali sono le sue caratteristiche di base:
SISTEMA
- Stronger memory protection; la memoria è protetta anche da un eventuale ChipOff.
- FONT ANTI TEMPEST ATTACK; è possibile abilitare un font thin che evita la ricostruzione dello schermo o dei messaggi che state scrivendo/leggendo sulla chat in caso siate vittime di una attacco tempest, ad oggi è l’unico sistema ad implementare questa protezione, rendendo il sistema compliant con le regole militari COMSEC sulla protezione dei dati e sistemi riservatissimi.
- Protection from zero-days; il sistema viene costantemente aggiornato in modo automatico, l’utente non si deve preoccupare di nulla.
- Application isolation and sandboxing; il sistema viene eseguito in un ambiente controllato e isolato da tutto il resto.
- Improved stock firewall; il sistema implementa un suo potente firewall.
- Defaults with privacy in mind; tutte le opzioni di default, sono già settate per la protezione della vostra privacy.
- PIN entry scrambling; la tastiera dove inserite il PIN, cambia sempre disposizione dei numeri, nel caso vedano da lontano i movimenti della mano, bene questi cambiano sempre rendendo impossibile capire quale PIN state inserendo.
- Restricted application permissions; non si possono installare altre applicazioni, volendo se volete applicazioni vostre aziendali, è possibile installarle e aggiornarle tramite un repository ad hoc dove vengono caricate le sole app richieste dopo un controllo di sicurezza effettuato dal team tecnico.
- Unauthorized USB device protection; la porta usb serve solo a caricare il device, nessuna connessione dati viene accettata.
- Device database is zeroed upon application close; il database applicazione viene azzerato alla sua chiusura.
- Improved CFI granularity; fa un controllo più granulare che non permette il collegamento internet, solo le applicazioni autorizzate possono connettersi.
- DNS over TLS (secure DNS); dns girato su transport layer security, tutti i dati vengono filtrati e tutto il traffico criptato senza telemetria.
- VPN lockdown mode exemption; la VPN è in modalità continua inserita nel kernel e nulla può passare oltre, anche i dati non solo la navigazione.
- Per-connection WiFi MAC Randomizzation; randomizza il MAC Address quando si è connessi alla rete WiFi.
- Monthly Firmware Upgrade; Upgrade mensile del firmware.
- Encrypted NOTE : AES / 256; blocco note cifrato, per salvarsi appunti in modo sicuro.
Ovviamente il prodotto ha tutti i sistemi di accesso dove è possibile usare tre livelli di PIN, dove esiste quello buono per entrare, quello per cancellare i contenuti e infine quello per resettare tutto a factory default, le applicazioni sono due una per la CHAT spesso utilizzata anche se si ha il dubbio che l’ambiente dove si usa il telefono sia ascoltato e la chiamata voce.
Ultra Secure Chat
- XMPP protocol
- OMEMO Multi-End Message and Object Encryption
- Vault * Gallery
- Vault ** Chat / Conversations
- PINs (3 PIN: access – delete – delete everything)
- Scrumble PIN Layout
- Wrong PIN attempts before performing Factory Reset
- PIN autolock
- Self-destruction
- Attachments: Audio, Images
- Group chat
- FONT ANTI TEMPEST ATTACK selectable from option
- Upgrade Check
- Killer Messages (hostility management)
Vault * Gallery: AES / 256 Encrypted Gallery to save photos inside and be able to turn them to other contacts or just save them. Requires the Vault Gallery password.
Vault ** Chat / Conversations: Save the Chat / Conversations in an AES / 256 encrypted area. Requires name / password to save an entire Chat
La chat è veramente ben costruita, facile da utilizzare nonostante le tante opzioni.
ZRTP Encrypted Voice call
- ZRTP Encryptions
- Hash : SHA-256 or SHA-384
- Cipher : AES/128 or AES/256
- SAS rendering: B32 or B256(PGP word list)
- Key Agreement : DH-2048 or DH-3072 -> X25519 or X448
- PINs (3 PIN: access – delete – delete everything)
- Scrumble PIN Layout
- Wrong PIN attempts before performing Factory Reset
- Realtime network used – Audio Codec – Jitter Buffer
- Data Taffic Status
- Upgrade Check
Stonger ZRTP : Cipher: AES-256 – KeyAgreement: ECDH-448 – Hash: SHA-384 – AuthTag: HMAC-SHA1-80 – Sas Rendering: PGP-WordList
Le caratteristiche parlano da sole, inoltre viene fornita, volendo, una SIM M2M (machine to machine, solo dati) internazionale la quale permette il funzionamento del sistema da qualsiasi parte del mondo senza problemi di roaming.
Data SIM card
- M2M only Data SIM Card
- Anonymous SIM Card
- SIM Card Lock on IMEI Change
- No SMS when crossing Borders
- No Unwanted GSM incoming calls
- No Unwanted SMS
- GSM Network Name as Usal – Telco Network Name
Encrypted QRCode data provisioning
- Ultra Simple Assemble and Disassemble License
- Voice Encryptions fast and light
- Chat Encryptions fast and light
- Mobile Usability & Battery drain Optimizzaions
- Cristal Clear Encrypted audio
- C based SIP STACK
- Mimetic look and feel
- No Google no Push Notifications but Very high Perfomance
- GSM Network as Usal – Telco Network Name
Ovviamente per funzionare il sistema richiede almeno l’acquisto di due telefoni, il collegamento al server è solo per controllo della licenza e gli aggiornamenti, dopo di che tutto avviene in peer to peer cioè tra apparato e apparato, addirittura se uno dei due interlocutori è offline, il messaggio non parte neanche da chi lo ha inviato ma solo quando i due terminali sono online, questo per evitare di lanciare pacchetti in rete senza motivo aumentandone la sicurezza intrinseca.
Tra l’altro ci siamo occupati della certificazione UFED e AXIOM proof e fino ad oggi il sistema non è possibile leggerlo anche avendo il pin reale del telefono, quindi molto probabilmente è il prodotto, più sicuro e ben progettato/costruito, sul mercato, per maggiori informazioni: