MetaSecret - децентрализованное хранилище секретов (паролей) с шифрованием

Привет, Трибуна! Сегодня я бы хотел рассказать о нашем проекте — MetaSecret. Как и указано в заголовке — это децентрализованное хранилище секретов (паролей) с шифрованием.

Кому достаточно этого описания, уже могут попробовать приложение по ссылке.

Какие проблемы мы хотим решить?

Мы поставили перед собой задачу - безопасно хранить пароли или любые другие секреты без необходимости их запоминать. Разберем это на примере seed-фразы от крипто-кошелька.

*** Небольшая справка ***

Seed-фраза - это 12 или, в редких случаях, 24 случайных слова в определенном порядке, которые необходимо ввести для доступа к кошельку с крипто коинами.

*** Конец справки ***

Запомнить - сложно. Необходимо записать. Большинство занесут в заметки или же на бумагу. Но страх приходит с увеличением суммы активов.

Бумажка легко теряется или рвется. Заметки в телефоне взламываются. Для повышения надежности, можно записать seed-фразу на нескольких бумажках. Или, как советуют в интернете, выгравировать на титановой пластинке. Остается риск того, что табличку могут украсть.

Тогда можно пойти дальше и записать лишь части seed-фразы на разные таблички. Например по 4 слова на каждую. Таблички распределить по разным местам. Теперь воришке необходимо украсть все 3, чтобы добраться до ваших накоплений.

Именно это и делает наша программа, но с еще более высоким уровнем защиты.

Как это работает?

В нашей программе мы используем схему разделения секрета Шамира, чтобы разделить секрет на части (мы их называем шАры, от слова "shares"). (по умолчанию на три части. В будущем будет выбор количества частей). Все эти части шифруются с использованием Integrated Encryption Scheme (ChaCha20-Poly1305). и распределяются между вашими устройствами. Все это происходит локально, без задействования сервера.

MetaSecret - децентрализованное хранилище секретов (паролей) с шифрованием

Справедливый вопрос: между чем происходит распределение шАр? Для этого вы должны создать некое подобие сети или кластера или облака из ваших устройств. Чтобы сделать это, необходимо придумать уникальное название вашей сети (или попросту ваш ник-нейм) и вводить его при первом запуске.

Для восстановления пароля, все по той же схеме Шамира, достаточно лишь двух (из трех) частей пароля (двух шар). Отсюда можно сделать вывод, что максимальная безопасность возможна при подключении трех устройств. Однако, работать можно и на одном, но при этом страдает безопасность. При потере или поломке - вы теряете все.

MetaSecret - децентрализованное хранилище секретов (паролей) с шифрованием

Три устройства дают максимальный уровень безопасности и репликации данных. Даже если ваш телефон попал в руки злоумышленника и он каким-то образом смог обойти биометрию (отпечаток пальца, FaceID) или же подобрал пин код, то ему необходимо сделать запрос на два других и получить хотя бы одно одобрение.

MetaSecret - децентрализованное хранилище секретов (паролей) с шифрованием

Какие приемущества?

- Нет необходимости запоминать пароль

- Нет классической регистрации. Все что нужно - ввести уникальный ник нейм. Подключение других девайсов идет через запрос на девайсы в кластере, тем самым все попытки проникнуть в вашу сеть будут отклонены вами же.

- Репликация данных. Все ваши секреты хранятся на всех ваших устройствах и ТОЛЬКО на них. Точнее их части. Ведь они разделены.

- Потеря, поломка одного устройства не ведет к потере данных

- Проект полностью open source

- Нет зависимости от сервера и центральной БД

Какие недостатки?

На данный момент он один. Узкое применение. Версия доступно только для iOS

Какие планы?

- Мульти платформенность. Web, Android, Desktop. Уже в разработке

- Полный отказ от центральной БД. сейчас на ней хранится сопутствующая информация о вашей сети. Но не секреты. Знаем способ как этого достичь, но нужно время

- Возможность распределять части пароля полностью оффлайн, то есть без интернета.

- Возможность использовать облачные сервисы для хранения шар, заменяя, тем самым, физические устройства.

- Хранить не только текстовую информацию.

77
3 комментария

Прикольно! Неожиданно

Крутая идея. Не со всем понятно, мои пароли будут хранится на моих же устройствах или на ваших серверах? Могу ли я в качестве устройства выбрать компьютер или только мобильные устройства на IOS ? Какая будет стоимость сервиса в будущем? Когда планируется разработка под новые устройства?

В общем вопросов много

Пароли НЕ хранятся на сервере. Только на устройствах. Они даже процедуру разрыва и шифрования проходят на девайсах. Сервер не знает ничего. Используется только для пересылки одной части и уже зашифрованной с одного устройства на другое.

Веб версия, десктоп версия и андроил версия в стадии разработки. А пока только iOS

Сам сервис будет бесплатный всегда, будут платные фичи.