O bezpieczeństwie urządzenia Nano

Dziennik lotu jest wart czegoś tylko wtedy, gdy można mu zaufać, że nie został zmieniony, co ma jeszcze większe znaczenie dla rekordów i konkurencji. Nano jest skonstruowane tak, aby dane, które produkuje, mogły być udowodnione jako autentyczne, a sposób, w jaki działa, nie może być po cichu zmieniony. Dwie części dobrze ugruntowanej kryptografii wykonują ciężką pracę: szyfrowanie AES-256 chroni oprogramowanie układowe, a podpis cyfrowy Ed25519 chroni każdy dziennik lotu.

Program uruchamiający Nano, jego oprogramowanie układowe, jest przechowywane na chipie w postaci zaszyfrowanej za pomocą AES-256, tego samego standardu, który rządy i banki stosują do ochrony poufnych informacji. Nano będzie działać prawidłowo tylko z zaszyfrowanym oprogramowaniem układowym, więc nie ma możliwości załadowania na niego zmodyfikowanego lub nieoficjalnego programu, ani odczytania oprogramowania układowego z chipa w jakiejkolwiek użytecznej postaci.

To ma znaczenie z dwóch powodów. Chroni naszą pracę przed skopiowaniem, ale dla Ciebie, co ważniejsze, chroni prywatny klucz podpisujący, który poświadcza Twoje dzienniki lotu, opisany poniżej. Ten klucz znajduje się wewnątrz zaszyfrowanego oprogramowania układowego, więc nie można go zdjąć z urządzenia i użyć do fałszowania dzienników.

AES-256 to coś, czego nie można złamać brutalną siłą. Klucz 256-bitowy ma około 1,2 z 77 zerami możliwych wartości, a próbowanie ich wszystkich wykracza tak daleko poza jakąkolwiek obecną lub przewidywalną moc obliczeniową, że uważa się to za niemożliwe. Nawet gdyby każdy komputer na planecie pracował razem testując miliardy kluczy każdą sekundę, zajęłoby to znacznie dłużej niż wiek wszechświata, aby przejść przez znaczącą część z nich, i nie ma żadnego znanego skrótu, który by to zmieniał.

Każdy dziennik lotu zapisany przez Nano jest uszczelniony podpisem cyfrowym przy użyciu Ed25519, nowoczesnego schematu podpisów używanego do zabezpieczania ruchu internetowego, dostępu bezpiecznej powłoki (SSH) i aplikacji do wiadomości takich jak Signal. Działa w dwóch krokach.

Najpierw, odcisk palca. SHA-256 odczytuje cały dziennik i redukuje go do jednej wartości 256-bitowej. Zmień nawet jeden znak gdziekolwiek w pliku, a ten odcisk palca wychodzi zupełnie inny. Każdy może obliczyć ten odcisk palca; sam w sobie po prostu podsumowuje dane.

Po drugie, podpis. Nano podpisuje ten odcisk palca prywatnym kluczem przechowywanymi wewnątrz jego zaszyfrowanego oprogramowania układowego. Ważny podpis można utworzyć tylko za pomocą klucza prywatnego, ale może go sprawdzić każdy, kto ma pasujący klucz publiczny. Dwa klucze są powiązane matematycznie, ale klucza prywatnego nie można obliczyć z klucza publicznego. To właśnie zmienia odcisk palca w prawdziwy podpis, a nie zwykłą sumę kontrolną.

W praktyce oznacza to:

• Jeśli dziennik jest edytowany w jakikolwiek sposób po napisaniu go przez Nano, jego odcisk palca się zmienia, podpis już nie pasuje i dziennik jest odrzucany.
• Tylko autentyczne Nano może wytworzyć ważny podpis, ponieważ tylko ono posiada klucz prywatny, więc zmieniony lub wymyślony dziennik nie może być podpisany, aby podać się za prawdziwy.
• Nasze serwery Altimeter Cloud posiadają tylko klucz publiczny, nigdy prywatny. Nawet gdyby nasze serwery były kiedykolwiek zagrożone, nie byłoby tam niczego, co mogłoby być użyte do fałszowania dziennika.
• Ponieważ weryfikacja dziennika wymaga tylko klucza publicznego, dziennik może być sprawdzony niezależnie — oficjel konkurencji może potwierdzić, że jest autentyczny bez polegania na nas.

Podpisane dane to cały plik, w tym numer seryjny urządzenia i Twoje znaczniki konkurenta i urządzenia, więc żaden z nich nie może być zamieniany ani zmieniany po locie. Kiedy przesyłasz dziennik do Altimeter Cloud, nasz serwer ponownie oblicza odcisk palca i sprawdza podpis względem klucza publicznego. Ważny podpis potwierdza, że dziennik jest autentyczny i niezmieniony; wszystko inne jest odrzucane.

Siła podpisu dziennika opiera się na pozostaniu klucza prywatnego na urządzeniu, a to dokładnie to, co gwarantuje szyfrowanie oprogramowania układowego. Klucz jest uszczelniony wewnątrz zaszyfrowanego oprogramowania układowego. Nigdy się nie pojawia na dysku USB lub w dzienniku, a ponieważ Nano odmawia uruchamiania niezaszyfrowanego oprogramowania układowego, nie ma sposobu, aby załadować zmodyfikowany program, który mógłby go wyciec lub podpisać fałszywe dane. Dwie ochrony wzajemnie się wzmacniają: szyfrowanie utrzymuje klucz prywatny poza zasięgiem, a podpis używa tego klucza do poświadczenia każdego dziennika — podczas gdy połowa publiczna, która jest wszystkim czym każdy potrzebuje do weryfikacji, może być dzielona swobodnie.

Zarówno AES-256 jak i Ed25519 to otwarte, opublikowane standardy, które były intensywnie badane i są zaufane do zabezpieczania rzeczy takich jak bankowość internetowa, bezpieczny ruch internetowy i bezpieczny dostęp powłoki. Nie ma znanego praktycznego sposobu, aby złamać któregokolwiek z nich. W połączeniu z kluczem prywatnym, który nie można osiągnąć, dziennik lotu Nano to coś, za czym naprawdę możesz stanąć, niezależnie od tego, czy gonisz osobisty rekord, czy składasz oficjalny wynik konkurencji.