Das Sicherheitsmodell von Bold enthält drei Komponenten, die Aufmerksamkeit erfordern: den Smart Cylinder, die Cloud-Plattform und die App.
Das Sicherheitsmodell von Bold enthält drei Komponenten, die Aufmerksamkeit erfordern: den Smart Cylinder, die Cloud-Plattform und die App. Wir haben für jede dieser Komponenten spezifische Maßnahmen ergriffen, damit wir den Bold Smart Cylinder sicher halten können.
Der Smart Cylinder
Die Zylindersoftware ist von Bold kryptografisch signiert. Sie kann nicht einfach von Drittherstellern geändert werden. Der Speicher des Zylinders enthält seine eindeutigen Schlüssel, die der Zylinder zur Kommunikation mit der Plattform verwendet. Die Firmware kann die Schlüssel nicht lesen, da sie den Zylinder nach der Installation nie verlassen.
Die Cloud-Plattform
Die Plattform wird bei Amazon Web Services (AWS) gehostet. Unser Server befindet sich in Irland, in der Europäischen Union. Auf der AWS-Plattform - die alle relevanten Sicherheitsstandards, wie z. B. ISO 27001, erfüllt - verwendet Bold die Systeme, die den Anwendern die Nutzung des Produkts ermöglichen. Der Zugriff auf diese Systeme ist nur ausgewählten Bold-Mitarbeitern gestattet. Zur Gewährleistung der Sicherheit haben wir mehrere Systeme eingerichtet.
Darüber hinaus besteht jedes Release aus mehreren Stufen, und wir verwenden ein Update-System. Wir involvieren verschiedene Mitarbeiter in Updates, sodass niemand jemals 'alleine mit dem System ist'.
Die gesamte Kommunikation von und zur Plattform muss über eine sichere TLS-Verbindung erfolgen. Außerdem gibt es eine Enklave in der Plattform, in der alle kryptografischen Aufgaben ausgeführt und die eindeutigen Schlüssel für jedes Schloss gespeichert werden. Alle Nachrichten zwischen der Plattform und dem Zylinder verwenden AES-CCM, das den höchsten Sicherheitsstandards entspricht. Dadurch wird unter anderem Schutz vor Replay-Attacken und Timing-Angriffen geboten.
Die Bold-App
Aus Sicherheitsgründen gehen wir davon aus, dass das Mobiltelefon des Benutzers nicht sicher ist. Es gibt in diesem Zusammenhang zu viele nicht überprüfbare Faktoren: Es könnte sein, dass der Hersteller eine schlechte Update-Politik hat, dass der Benutzer das Telefon ohne angemessene Vorsichtsmaßnahmen benutzt und dass bei einigen Drittanbieter-Apps keine ethischen Ziele verfolgt werden.
Die Bold-App fungiert daher nur als Vermittler zwischen der Plattform und dem Zylinder. Wenn der Benutzer die Bold-App verwenden möchte, um Berechtigungen freizugeben oder Einstellungen zu ändern, werden diese Vorgänge an die Plattform gesendet. Anschließend sendet die Plattform die gesicherten Nachrichten zurück an die Bold-App, die sie dann an den Zylinder weiterleitet.