Hoe zit het met digitale veiligheid?

In het veiligheidsmodel van Bold zitten drie componenten die aandacht vereisen: de Smart Cylinder, het Cloud Platform en de App.

De Smart Cylinder
De software in de cilinder is cryptografisch gesigneerd vanuit Bold. Derden kunnen deze niet zomaar aanpassen. In het geheugen van de cilinder staan diens unieke sleutels. De cilinder gebruikt deze om te communiceren met het platform. De sleutels kunnen niet via de firmware worden uitgelezen en verlaten de cilinder nooit na installatie.

Het Cloud Platform
Het platform wordt gehost bij Amazon Web Services (AWS). Op het AWS-platform — dat voldoet aan alle relevante veiligheidsnormen, zoals ISO 27001 — gebruikt Bold de systemen die gebruikers in staat stellen om het product te gebruiken. Deze systemen zijn alleen toegankelijk voor geselecteerde medewerkers van Bold. Om de veiligheid te garanderen, hebben wij meerdere systemen ingericht.

Verder geschiedt een release in meerdere stappen en gebruiken wij een updatesysteem. We betrekken diverse medewerkers bij updates, zodat iemand nooit ‘alleen wordt gelaten’ met het systeem.

Alle communicatie van en naar het platform moet verlopen via een TLS-beveiligde verbinding. Binnen het platform zit bovendien een enclave waarin alle cryptografische taken worden uitgevoerd en waar de unieke sleutels per slot worden bewaard. Alle boodschappen tussen het platform en de cilinder maken gebruik van AES-CCM. Dit voldoet aan de hoogste beveiligingsstandaarden. Je kunt onder andere rekenen op beveiliging tegen replay-attacks en timing-attacks.

De Bold App
Vanuit veiligheidsoverwegingen nemen we aan dat de mobiele telefoon van de gebruiker niet veilig is. Er zijn namelijk te veel oncontroleerbare factoren, zoals een slecht updatebeleid van fabrikanten, onzorgvuldig gebruik en apps van derden die geen ethische doelstellingen hebben.

Om deze reden fungeert de Bold App uitsluitend als doorgeefluik tussen het platform en de cilinder. Als de gebruiker de Bold App wil gebruiken om rechten te delen of instellingen te wijzigen, dan worden deze acties naar het platform gestuurd. Vervolgens stuurt het platform de beveiligde boodschappen terug naar de Bold App, die deze doorgeeft aan de cilinder.