Just Crypt It, inviare un file non è mai stato così rapido e sicuro!

Just Crypt ItJust Crypt It è un progetto ideato da quei folli ragazzi di eLearnSecurity. eLearnSecurity è conosciuta come l’azienda che ha rivoluzionato il settore della formazione in Sicurezza Informatica, con corsi di formazione al 100% pratici e laboratori virtuali su Web App e Network Security.

Il progetto nasce perchè avevano il bisogno di inviare file in modo sicuro ai nostri dipendenti dei reparti marketing e vendite sparsi per il mondo. Dire: “Installa GnuPG” al personale di tali aree è come parlare arabo. Inoltre l’invio deve essere rapido e semplice oltreché sicuro, perché anche noi hacker siamo pigri. Così hanno inventato JustCryptIt.

Just Crypt It, per chi non lo avesse ancora capito, permette di inviare file in maniera sicura e rapida!  Il file viene cifrato completamente lato client. L’algoritmo migliore dal punto di vista prestazioni/sicurezza è senza dubbio AES256 che con la scelta di una buona chiave random riesce a garantire protezione anche dal brute-force. JustCryptIt verifica che il file non sia corrotto, e che nessuno abbia cercato di manipolarlo mediante un hash cifrato del file. JustCryptIt usa l’algoritmo standard SHA-512 insieme alla cifratura mediante una chiave di integrità. Infine JustCryptIt usa la libreria open-source CryptoJS, una tra le migliori librerie per prestazioni, interfaccia e supporto.

Per chi fosse interessato a scoprire il servizio può accedere al sito internet ufficiale: https://justcrypt.it

  • Christian

    Ma nella versione base chiunque veda il link al file criptato può decriptarlo (come è scritto anche nelle FAQ), quindi non capisco dov’è la sicurezza. Se mando il link via mail, e questa viene intercettata, il malintenzionato ha tutti i mezzi per scaricare il contenuto protetto e decriptarlo.

    • Piero

      Così come chiunque riesca ad arrivare alla porta del tuo appartamento può provare ad aprirla, se chiusa a chiave, scassinandone la serratura.
      Preferisci, in alternativa, lasciare la porta del tuo appartamento spalancata?

      • Christian

        Nel caso specifico, se non ho capito male, non mi sembra che serva una chiave per aprire il file criptato visto che tutto è incluso nel link inviato via mail (è scritto sul sito stesso che funziona così). Se il malintenzionato intercetta la mail (magari perché ha semplicemente accesso alla casella del destinatario), può aprire il link tranquillamente.
        Al massimo, se chi ha compilato il file criptato ha scelto l’opzione per permettere una sola lettura, il secondo che cercherà di decriptare il file verrà respinto, ma potrebbe essere il legittimo destinatario.

        • Andrea

          Ciao Christian, sono lo sviluppatore di JustCryptIt. Nel caso base tutto quello che serve è i link (che contiene la chiave di decifratura). Ovviamente il punto debole in questo caso è proprio il canale di comunicazione del link. Proprio per risolvere questo problema abbiamo inserito la possibilità di indicare dei destinatari specifici (tramite Facebook e Google). In questo caso solo i reali possessori dell’account saranno in grado di scaricare il file cifrato, e conoscendo anche il link con la chiave, a decifrarlo e salvarlo. La funzione onetime rende il file disponibile una sola volta nel caso base, e una volta per ogni destinatario per la modalità avanzata. Lo abbiamo inserito come ulteriore meccanismo di sicurezza, ma è chiaro che se qualcuno nel caso base intercetta il link prima del legittimo destinatario allora sarà l’unico in grado di scaricarlo (il punto debole del mezzo di comunicazione resta). Il destinatario tuttavia riesce a capire che qualcuno prima di lui lo ha scaricato ed eventualmente può provvedere. Il servizio in generale riesce a garantire un alto livello di sicurezza se si usa in modo corretto e soprattutto se si usa la modalità avanzata (che stiamo migliorando per renderla più rapida e usabile).

          • Christian

            Grazie per la risposta che conferma il mio dubbio. Vedo che la cosa è stata specificata anche al momento della visualizzazione del link generato (o lo faceva anche prima e non ci avevo fatto caso?).
            A questo punto suggerirei che, nella versione base, l’opzione “One time” fosse resa obbligatoria in modo da diminuire le chances di un eventuale intruso.