Grundläggande
I Verji skyddas all data med kryptering, både under flygning och vid vila. Dessutom skyddas meddelanden, filer och bilder som kommuniceras i Verji-rummen av ett extra lager av end-to-end-kryptering (E2EE).
Användning av standarder
Motståndare och angripare har tillgång till alltmer kraftfulla verktyg och metoder, så medan expertis och kunskap tidigare var avgörande för effektiva attacker, når vi nu en situation där motivation är det enda som krävs för att genomföra avancerade attacker.
Dessutom är det notoriskt svårt att implementera säker teknik.
Med detta i åtanke undviker Verji Tech att uppfinna nya krypton och protokoll och förlitar sig istället på branschstandarder, bästa praxis och beprövade ramverk och implementeringar där så är möjligt.
Kärnan i Verji bygger på Matrix, som är en öppen standard och ett öppet protokoll med en livlig gemenskap och en sund och transparent styrmodell (https://matrix.org/about/)
Med denna strategi är Verji i gott sällskap, eftersom många andra säkerhetsmedvetna organisationer har valt att bygga sina lösningar på samma kärnteknologier, t.ex.
- Det tyska försvaret: https://element.io/blog/bundesmessenger-is-a-milestone-in-germanys-ground-breaking-vision/
- Gematik (tysk sjukvård): https://element.io/matrix-in-germany/projects/ti-messenger
- Franska myndigheter: https://element.io/case-studies/tchap
- Sverige: https://element.io/blog/dsam-och-esam-forordar-matrix-for-saker-och-federerad-kommunikation-inom-sveriges-offentliga-sektor/
- Mozilla: https://matrix.org/blog/2019/12/19/welcoming-mozilla-to-matrix/
Spridning av meddelanden
Verji använder beprövade och erkända metoder för kryptering av meddelanden. Verji använder Elliptic Curve Cryptography (ECC) tillsammans med Advanced Encryption Standard (AES) för att skydda innehåll som
meddelanden, filer och foton. För att stödja asynkron kommunikation, där alla parter kanske inte är uppkopplade samtidigt, använder vi en Double Ratched-algoritm (https://en.m.wikipedia.org/wiki/Double_Ratchet_Algorithm.)
Verji använder en implementation av Double Ratchet-algoritmen som heter Olm. För att möjliggöra effektiv kommunikation även i gruppsamtal med många deltagare används en gruppspärr som kallas Megolm. För mer information om Olm och Megolm, se:
- https://gitlab.matrix.org/matrix-org/olm/-/blob/master/docs/olm.md
- https://gitlab.matrix.org/matrix-org/olm/blob/master/docs/megolm.md
En tredjeparts, oberoende analys och granskning av Olm 1.3.0 finns här:
De sårbarheter som nämns i rapporten har åtgärdats och korrigerats i den efterföljande versionen av Olm (v2.0.0 från den 25 oktober 2016).
En nyare, rostbaserad implementering av Olm- och Megolm-protokollen (kallad Vodozemac) utvecklas och underhålls här:
Och en tredjepartsanalys och revision av implementeringen finns här:
För att utbyta meddelanden och förhandla om nycklar använder Verji det öppna, beprövade och väldokumenterade Matrix-protokollet https://en.wikipedia.org/wiki/Matrix_(protocol)
En analys av nyckelutbytesprotokollet i Matrix finns här:
Autentisering och auktorisering
Autentisering
För att autentisera användare använder Verji industristandarden OpenIdConnect-protokollet, som är baserat på OAuth 2.0-ramverket. Implementeringen använder det mogna och OpenId-certifierade Duende-ramverket, som också finns med i den officiella Microsoft Identity-dokumentationen:
- https://duendesoftware.com/
- https://learn.microsoft.com/en-us/aspnet/core/security/authentication/identity?view=aspnetcore-8.0&tabs=visual-studio
Auktorisation
Finkornig åtkomstkontroll implementeras i Verji med hjälp av det populära Casbin-ramverket.
Sammanfatta
För att sammanfatta: Verji använder väletablerade, beprövade, branschstandardiserade algoritmer, protokoll och ramverk för att säkra användares meddelanden och konton.
