A criptografia como serviço da Evervault agora é acesso aberto
19 de agosto de 2021Evervault, com sede em Dublin, uma startup de segurança focada no desenvolvedor que vende criptografia via API e é apoiada por uma série de investidores de grande nome, incluindo Sequoia, Kleiner Perkins e Index Ventures, está saindo do beta fechado hoje – anunciando acesso aberto a seu mecanismo de criptografia.
A startup diz que cerca de 3.000 desenvolvedores estão em sua lista de espera para chutar os pneus de seu mecanismo de criptografia, que ela chama de E3.
Entre as “dezenas” de empresas em sua prévia fechada estão a empresa de entrega de drones Manna, a startup de fintech Okra e a empresa de tecnologia de saúde Vital.
Evervault diz que está direcionando suas ferramentas para desenvolvedores em empresas com uma necessidade de negócio principal para coletar e processar quatro tipos de dados: dados de identidade e contato; dados financeiros e de transações; dados médicos; e propriedade intelectual.
O primeiro conjunto de produtos que oferece no E3 são chamados de Relay e Cages; o primeiro fornece uma nova maneira para os desenvolvedores criptografarem e descriptografarem dados à medida que eles entram e saem dos aplicativos; o último oferece um método seguro – usando ambientes de execução confiáveis em execução na AWS – para processar dados criptografados, isolando o código que processa os dados de texto simples do resto da pilha do desenvolvedor.
Evervault é a primeira empresa a ter um produto implantado nos Nitro Enclaves da Amazon Web Services , de acordo com o fundador Shane Curran.
“Os Nitro Enclaves são basicamente ambientes onde você pode executar código e provar que o código que está sendo executado nos próprios dados é o código que você deve executar”, diz ele ao TechCrunch. “Fomos a primeira implantação de produção de um produto no AWS Nitro Enclaves – então, em termos de pessoas que realmente estão adotando essa abordagem, somos os únicos.”
Não deveria ser novidade para ninguém dizer que as violações de dados continuam a ser um problema sério online. E, infelizmente, são as práticas de segurança desleixadas dos fabricantes de aplicativos – ou mesmo uma total falta de atenção à proteção dos dados do usuário – que costumam ser culpadas quando os dados em texto simples vazam ou são acessados indevidamente.
A correção da Evervault para esse infeliz “recurso” do ecossistema de aplicativos é torná-lo super simples para os desenvolvedores criarem criptografia por meio de uma API – lidando com tarefas como gerenciar chaves de criptografia. (“Integre o Evervault em 5 minutos, alterando um registro DNS e incluindo nosso SDK”, é o argumento de venda atraente para o desenvolvedor em seu site .)
“Em alto nível, o que estamos fazendo … estamos realmente nos concentrando em tirar as empresas de [uma posição de] não abordar a segurança e a privacidade de qualquer perspectiva – instaladas e funcionando com criptografia para que possam realmente, no pelo menos, comece a implementar os controles ”, diz Curran.
“Um dos maiores problemas que as empresas enfrentam atualmente é que elas basicamente coletam dados e os dados meio que se espalham pela implementação e também pelos conjuntos de teste. A vantagem da criptografia é que você sabe exatamente quando os dados foram acessados e como foram acessados. Portanto, isso dá às pessoas uma plataforma para ver o que está acontecendo com os dados e começar a implementar esses controles elas mesmas. ”
Com os executivos C-suite cada vez mais atentos à necessidade de proteger os dados de maneira adequada – graças a anos de escândalos horríveis de violação de dados (e déjà vu ) e também por causa de leis de proteção de dados atualizadas, como o Regulamento Geral de Proteção de Dados da Europa (GDPR), que penalidades reforçadas para segurança negligente e uso indevido de dados – um número crescente de startups agora estão lançando serviços que prometem fornecer “privacidade de dados”, divulgando ferramentas que eles afirmam protegerem os dados enquanto ainda permitem que os desenvolvedores extraiam informações úteis.
O site da Evervault também implementa o termo “privacidade de dados” – que nos diz que define como significando que “nenhuma parte não autorizada tem acesso aos dados do usuário / cliente em texto simples; usuários / clientes e desenvolvedores autorizados têm controle total sobre quem tem acesso aos dados (incluindo quando e para qual propósito); e, violações de dados de texto simples são encerradas ”. (Portanto, os dados criptografados podem, em teoria, ainda vazar – mas a questão é que as informações permaneceriam protegidas como resultado de ainda serem criptografadas de forma robusta.)
Entre uma série de técnicas sendo comercializadas por startups neste espaço está a criptografia homomórfica – um processo que permite a análise de dados criptografados sem a necessidade de descriptografar os dados.
A primeira oferta da Evervault não vai tão longe – embora seu “ manifesto de criptografia ” indique que ela está de olho na técnica. E Curran confirma que provavelmente incorporará a abordagem a tempo. Mas ele diz que seu primeiro foco tem sido colocar o E3 em operação com uma oferta que pode ajudar uma ampla gama de desenvolvedores.
“Totalmente homomórfico [criptografia] é ótimo. O maior desafio, se você tem como alvo desenvolvedores de software que estão construindo serviços normais, é muito difícil construir aplicativos de uso geral com base nisso.
Portanto, adotamos outra abordagem – que é basicamente usar ambientes de execução confiáveis. E trabalhamos com a equipe da Amazon Web Services para ser a primeira implantação de produção de seu novo produto chamado Nitro Enclaves ”, disse ele ao TechCrunch.
“O maior foco para nós é menos sobre a tecnologia subjacente em si e é mais sobre quais são as melhores práticas de segurança para empresas que já estão investindo pesado nisso e apenas torná-las acessíveis para desenvolvedores médios que nem mesmo sabem como funciona a criptografia , ”Curran continua. “É aí que obtemos a maior nuance de Evervault versus algumas dessas outras empresas de privacidade e segurança – criamos para desenvolvedores que normalmente não pensam em segurança quando estão construindo coisas e tentamos construir uma ótima experiência em torno disso … então é na verdade, apenas preencher a lacuna entre ‘o início da arte’ e trazê-la para desenvolvedores comuns. ”
“Com o tempo, a criptografia totalmente homomórfica é provavelmente um acéfalo para nós, mas em termos de desempenho e flexibilidade para o desenvolvedor médio começar a trabalhar, realmente não fazia sentido para nós construí-la em sua forma atual. Mas é algo que estamos investigando. Estamos realmente observando o que está saindo da academia – e se podemos encaixá-lo lá. Mas, enquanto isso, é todo esse ambiente de execução confiável ”, acrescenta.
Curran sugere que o principal concorrente da Evervault neste ponto são as bibliotecas de criptografia de código aberto – basicamente, os desenvolvedores optando por “fazer” a parte da criptografia eles mesmos. Portanto, está se concentrando no aspecto do serviço de sua oferta; assumindo tarefas de gerenciamento de criptografia para que os desenvolvedores não precisem, ao mesmo tempo em que reduz o risco de segurança, garantindo que eles não tenham que mexer nos dados livremente.
“Quando olhamos para esse tipo de desenvolvedor – que já está começando a pensar em fazer isso sozinhos – o maior diferencial do Evervault é, em primeiro lugar, a velocidade de integração, mas o mais importante é o gerenciamento de dados criptografados em si,” Curran sugere. “Com o Evervault, gerenciamos as chaves, mas não armazenamos nenhum dado e nossos clientes armazenam dados criptografados, mas não armazenam chaves. Portanto, isso significa que, mesmo que eles queiram criptografar algo com o Evervault, eles nunca tenham todos os dados em texto simples – ao passo que, com a criptografia de código aberto, eles terão que tê-los em algum ponto antes de fazer a criptografia. Então esse é realmente o concorrente básico que vemos.
“Obviamente, existem alguns outros projetos por aí – como o projeto Solid de Tim Berners-Lee e assim por diante. Mas não está claro se há alguém mais adotando a abordagem de criptografia voltada para a experiência do desenvolvedor especificamente. Obviamente, há um monte de empresas de segurança de API … mas a criptografia por meio de uma API é algo que realmente não encontramos no passado com os clientes ”, acrescenta.
Embora a abordagem atual da Evervault veja os dados dos fabricantes de aplicativos hospedados em ambientes de execução confiáveis e dedicados em execução na AWS, as informações ainda existem lá como texto simples – por enquanto. Mas, à medida que a criptografia continua a evoluir, é possível imaginar um futuro onde os aplicativos não sejam apenas criptografados por padrão (a missão declarada de Evervault é “criptografar a web”), mas onde os dados do usuário, uma vez ingeridos e criptografados, nunca precisem ser descriptografados – como todo o processamento pode ser realizado em texto cifrado.
A criptografia homomórfica sem surpresa foi chamada de “santo graal” da segurança e privacidade – e startups como a Duality estão ocupadas perseguindo-a. Mas a realidade no terreno, online e nas lojas de aplicativos permanece muito mais rudimentar. Portanto, Evervault vê muito valor em continuar tentando aumentar a barra de criptografia de forma mais geral.
Curran também aponta que muitos desenvolvedores não estão realmente processando muito os dados que coletam – argumentando, portanto, que enjaular dados de texto simples dentro de um ambiente de execução confiável pode, portanto, abstrair uma grande parte do risco relacionado a esse tipo de fluxo de dados de qualquer maneira.
“A realidade é que a maioria dos desenvolvedores que estão construindo software atualmente não estão necessariamente processando dados eles próprios”, sugere ele. “Eles estão, na verdade, apenas coletando de seus usuários e, em seguida, compartilhando com APIs de terceiros.
“Se você olhar para uma startup construindo algo com Stripe – o cartão de crédito flui por seus sistemas, mas sempre acaba sendo repassado para outro lugar. Acho que geralmente é essa a direção que a maioria das startups está tomando atualmente. Portanto, você pode confiar na execução – dependendo da segurança do silício em um data center da Amazon meio que faz mais sentido. ”
Do lado regulatório, a história da proteção de dados é um pouco mais sutil do que o típico giro de inicialização de segurança
Enquanto o GDPR da Europa certamente transforma os requisitos de segurança em lei, o regime de proteção de dados carro-chefe também fornece aos cidadãos um conjunto de direitos de acesso anexados aos seus dados pessoais – um elemento-chave que muitas vezes é esquecido nas primeiras discussões do desenvolvedor sobre “privacidade de dados”.
Evervault admite que os direitos de acesso aos dados ainda não estão em mente, com o foco inicial da equipe sendo diretamente na criptografia. Mas Curran nos diz que planeja – “com o tempo” – lançar produtos que irão “simplificar os direitos de acesso também”.
“No futuro, a Evervault fornecerá a seguinte funcionalidade: marcação de dados criptografados (para, por exemplo, uso de dados com bloqueio de tempo); acesso programático baseado em função (para, por exemplo, evitar que um funcionário veja dados em texto simples em uma IU); e conformidade programática (por exemplo, localização de dados) ”, ele comenta sobre isso.
Fonte: Techcrunch
LGPD: Ética de Pesquisa, Saúde, Segurança Democrática e Criptografia Homomórfica
ESET fala sobre o crescimento da adoção da Criptografia Homomórfica em seu blog
Lei Geral de Proteção de Dados – LGPD e a Criptografia Homomórfica
Criptografia Homomórfica. Por Adriano Frare
Criptografia Homomórfica: As dez tecnologias para transformar o nosso mundo
Crypto ID é o maior canal sobre criptografia no Brasil!
O QUE É CRIPTOGRAFIA?
A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.
A criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário.
Criptografia Simétrica utiliza uma chave única para cifrar e decifrar a mensagem. Nesse caso o segredo é compartilhado.
Criptografia Assimétrica utiliza um par de chaves: uma chave pública e outra privada que se relacionam por meio de um algoritmo. O que for criptografado pelo conjunto dessas duas chaves só é decriptografado quando ocorre novamente o match.
Criptografia Quântica utiliza algumas características fundamentais da física quântica as quais asseguram o sigilo das informações e soluciona a questão da Distribuição de Chaves Quânticas – Quantum Key Distribution.
Criptografia Homomórfica refere-se a uma classe de métodos de criptografia imaginados por Rivest, Adleman e Dertouzos já em 1978 e construída pela primeira vez por Craig Gentry em 2009. A criptografia homomórfica difere dos métodos de criptografia típicos porque permite a computação para ser executado diretamente em dados criptografados sem exigir acesso a uma chave secreta. O resultado de tal cálculo permanece na forma criptografada e pode, posteriormente, ser revelado pelo proprietário da chave secreta.