Atakama Cifrado Multi-factor

ATAKAMA

Atakama permite el cifrado de archivos, uno a uno, sin depender de nombres de usuario y contraseñas.

Atakama se ejecuta localmente en un dispositivo principal (normalmente un PC) creando un sistema de archivos virtual (Mount System) y encriptando automáticamente cada archivo con una clave única que se divide en “fragmentos de clave”, que luego se encriptan por separado utilizando el cifrado integrado de curva elíptica. Como en cualquier sistema de archivos virtual, Atakama gestiona la creación, distribución y reensamblaje de la clave de cifrado para cada archivo almacenado.

Además de ejecutarse localmente en el dispositivo principal, el usuario ha de disponer de la aplicación Atakama Mobile en otro dispositivo móvil o secundario, vinculado al principal, ya que los fragmentos de clave se distribuyen a uno o más de estos dispositivos (smartphone, tableta, estación de trabajo secundaria, etc.) para poder aprobar el descifrado de sus archivos. Esta vinculación se realizará durante la configuración inicial mediante un QR.

Cuando un usuario necesita acceder a un archivo, la aplicación Atakama Mobile pedirá al usuario, a través de ese segundo dispositivo, que apruebe la solicitud de acceso. El fragmento de clave almacenado se transmite de forma segura al dispositivo principal del usuario para reensamblar la clave completa y descifrar el archivo solicitado.

Por defecto, Atakama utiliza el cifrado AES-265 bits a nivel de archivo y la curva SECP256K1 basada en ECIES para el cifrado de fragmentos de clave (permite operaciones de mayor velocidad manteniendo la seguridad).

Vea en el siguiente video como funciona:

Para la fragmentación de claves Atakama utiliza “Verifiable Secret Sharing”. Cada fragmento de clave se encripta con una clave pública de curva elíptica, se envía un fragmento al dispositivo principal del usuario, otro a su dispositivo móvil (gestionado por la App) y los fragmentos restantes se encriptan y se guardan en otros dispositivos del usuario. Los fragmentos de claves también se distribuyen entre los usuarios que tienen acceso a la ubicación compartida donde se encuentran los archivos cifrados de Atakama.

Un fragmento de clave es inferior a 500 bytes, por lo que 10.000 fragmentos requieren menos de 5MB de almacenamiento en un dispositivo móvil. Cada fragmento se cifra con la clave pública del dispositivo en el que se almacena el fragmento respectivo, por lo que se tarda alrededor de un milisegundo en reunir los fragmentos de claves, desencriptar y abrir los archivos.

Las claves privadas se almacenan utilizando el llavero del dispositivo, PasswordVault en Windows, llavero de Apple en macOS y, si existe un elemento seguro que soporte AES-256 en dispositivos móviles, se utiliza ese elemento seguro.

En los dispositivos de escritorio, las claves se borran de la RAM a los 5 minutos de uso por defecto (configurable). En dispositivos móviles el borrado de la RAM no es completo, pero si se utiliza un elemento seguro, nunca llegan a la RAM principal.

El administrador puede designar la ubicación de los archivos de usuario encriptados por Atakama (con la extensión “.kama”) a través de su Centro de Control. Esta ubicación puede ser local o en la nube (a través de API e integrada con Box, Dropbox, Google Drive y OneDrive), incrementando la seguridad del proveedor cloud.

Los usuarios pueden acceder y autenticarse de dos maneras diferentes:

  1. Sesiones: para múltiples archivos, el administrador puede autorizar a los usuarios elegir una “Sesión” definida por un número máximo de archivos y un período de tiempo (50 archivos y 6 horas). Cuando el usuario solicita acceso, su dispositivo móvil envía el fragmento clave para el archivo específico y siguientes hasta alcanzar el número máximo de archivos o el límite de tiempo. Atakama requerirá entonces una nueva sesión o autorización.
  2. Umbrales: el administrador puede personalizar el número de dispositivos necesarios para descifrar y acceder a los archivos utilizando criptografía de umbral. Es decir, se puede personalizar la combinación de dispositivos requeridos, incluyendo siempre el dispositivo principal. Por ejemplo, en una combinación 3 de 5, el usuario debe autorizar la notificación en dos dispositivos móviles para poder acceder a un archivo.

Cuando hay que sustituir un dispositivo (por ejemplo, por robo o pérdida) el administrador puede quitar o reemplazar dispositivos mediante el Centro de Control de Atakama. Gracias a Verifiable Secret Sharing, los archivos no de desencriptan nunca y las claves no quedan expuestas.

Los dispositivos de un usuario deben poder comunicarse entre sí para la distribución de fragmentos de claves, entrega de solicitudes y respuestas de autorización. Los dispositivos conectados a Internet pueden enviar mensajes entre sí a través de la conexión WebSocket de Atakama con un servidor de retransmisión que autentifica el identificador del dispositivo y acepta los mensajes para retransmitirlos encriptados a otro dispositivo.

Atakama no retiene ninguna clave y no tiene capacidad para descifrar, restaurar o manipular los datos del usuario, pero permite su análisis para determinar, por ejemplo, los momentos del día en los que se accede a los datos con mayor frecuencia.

Alternativamente, puede establecerse una conexión Bluetooth entre dispositivos, reduciendo la latencia y permitiendo que el sistema sea totalmente funcional sin acceso a Internet. Todas las comunicaciones son encriptadas point-to-point entre los dispositivos.

La función de búsqueda de Atakama permite buscar en sus archivos encriptados sin desencriptarlos o exponer información. Atakama crea un índice encriptado para cada archivo que cifra y requiere que los usuarios autoricen las búsquedas.

El dispositivo móvil combina la consulta de búsqueda con los fragmentos de clave y el dispositivo principal utiliza la información combinada para localizar los archivos que contienen el término de búsqueda.

Atakama permite compartir archivos encriptados a través de almacenamiento compartido en red o servicios en la nube como OneDrive.

Para usuarios con acceso a un mismo sistema de archivos, Atakama detecta automáticamente los perfiles de otros usuarios de Atakama y permite compartir con ellos si se desea. Los nuevos archivos adicionales o los cambios en archivos existentes incluirán también ese perfil.

Atakama puede soportar el intercambio de archivos en un entorno de Directorio Activo, respetando los permisos existentes gobernados por AD y proporcionando automáticamente el acceso a todos los usuarios autorizados cuando los archivos sean creados o modificados. Atakama permite a los administradores también aplicar políticas específicas de Atakama a través de un panel de control.