Když jsme měli v červnu možnost seznámit se s projekty přijatými do pražské Wayry, bylo ihned jasné, že Excalibur není jen obyčejný startup jako každý druhý. Jejich přihlašování pomocí mobilního telefonu popisujeme už v tehdejším článku.
Tentokrát jsme tým Excaliburu poprosili o obšírnější představení projektu. Do úplných technických podrobností sice nezašli, ale leccos aspoň naznačují.
Excalibur mezitím už ve Wayře není. Nepodařilo se skloubit účast na programu Wayry se závazky vůči Deutsche Telekomu.
Lupě za Excalibur odpovídal Peter Lupták:
Kdo vytváří Excalibur?
Na Excalibure sa podieľa Marián Keltika, programátor, ktorý má množstvo skúseností s vyvíjaním a spravovaním počítačových systémov a databáz a s programovaním v rôznych jazykoch. Ďalej Tomáš Korenko, počítačový vývojár a manažér s medzinárodnými skúsenosťami, ktoré zahŕňajú napríklad pozíciu technologického riaditeľa jedného z veľkých európskych informačných portálov. Členom teamu je aj Peter Lupták, ktorý momentálne študuje manažment na Harvardovej univerzite a ma skúsenosti s prácou v management consultingu v oblasti telekomunikácií. A napokon Ivan Klimek — PhD v odbore Informatika z Technickej univerzity v Košiciach s pracovnými skúsenosťami zahŕňajúcimi roky práce na projektoch v oblasti telekomunikácií. Posledných pár rokov pôsobil ako konzultant pre Qualcomm Research New Jersey Research Center.
Proč jste se pustili do Excaliburu?
Každý deň sa stretávame s rôznymi bezpečnostnými problémami a zlyhaniami. Či už ide o rôzne úniky dát a hesiel alebo správy o odhalení masívnych dier v bezpečnosti rôznych veľkých inštitúcií. Navyše bežný používateľ internetu má dnes desiatky rôznych účtov a hesiel k nim, čo nie je ani pohodlný, a už vôbec nie bezpečný spôsob používania internetu.
Tieto skúsenosti nás postupne doviedli k názoru, že autentifikácia je jeden z najdôležitejších problémov, ktoré budeme musieť v najbližšej dobe vyriešiť, ak chceme pokračovať v integrovaní počítačov do nášho života súčasným tempom a máme sa priblížiť k tomu, aby sa vízie ako „Internet of Things“ stali realitou.
Niekedy v roku 2012 sme sa začali zaoberať designom systému, ktorý by prekonal niektoré hlavné limitácie dnešných autentifikačných systémov, a po mnohých iteráciách sa zrodil nápad, ktorý dnes tvorí jadro Excalibru.
Excalibur bol od začiatku vedený myšlienkou, že akékoľvek riešenie autentifikácie, ak ma byť úspešné, musí byť zároveň bezpečné, tak aj používateľsky prívetivé. To na trhu podľa nás dodnes chýba, keďže existujúce riešenia ponúkajú buď jednu, alebo druhú vlastnosť, a preto trpia buď slabou úrovňou bezpečnosti, alebo malým množstvom užívateľov.
Pôvodná myšlienka Excaliburu sa týkala využitia mobilného telefónu na vytvorenie autentifikačného systému, ktorý by využíval SMS správy ako „out‑of‑band“ komunikačný kanál na automatické doručenie jednorazových hesiel.
Išlo o systém, ktorý by slúžil ako cloudový poskytovateľ autentifikácie umožňujúci užívateľovi jednoducho a anonymne sa prihlásiť na zabezpečené stránky služieb a inštitúcií. Prvé verzie počítali s tým, že užívateľ by pre prihlásenie namiesto zadania mena a hesla na stránku iba pomocou svojho mobilného telefónu naskenoval QR kód zobrazený na monitore počítača.
No odvtedy sa postupne zmenila v podstate každá jedna časť Excaliburu — vyhodili sme SMSky aj QR kódy, pridali sme distribúciu dát, multifaktorovú autentifikáciu, prepracovali sme našu víziu užívateľskej interakcie a kompletne sme prekopali kryptografiu. Ostala iba centrálna myšlienka: použiť mobil ako univerzálny token na to, aby sme autentifikáciu na internete spravili bezpečnejšou a jednoduchšou zároveň.
Excalibur sa skladá z apky na mobilnom zariadení (telefóne, tablete atp.), z pluginu na počítači alebo laptope a zo služieb bežiacich v cloude na serveroch Excaliburu. Medzi týmito komponentmi je implementovaná naša vlastná cyklická distribuovaná kryptoschéma, ktorá tvorí srdce Excaliburu.
Jedna z našich základných myšlienok, na ktorých je Excalibur postavený, je, že citlivé dáta (ako autentifikačné údaje) by nikdy nemali byť centralizované na jednom mieste, keďže toto predstavuje obrovské bezpečnostné riziko a potenciálne miesto pre únik informácií.
Naša schéma rozdelí citlivé informácie na časti, ktoré sú samostatne pre akéhokoľvek útočníka bezcenné, a uloží jednu časť na telefón, a druhú zase do cloudu. Pri procese autentifikácie potom dokážeme tieto časti bezpečne spojiť a overiť identitu používateľa bez toho, aby sa jeho údaje v ktoromkoľvek momente ukladali na počítač, na ktorom autentifikácia prebieha.
Táto schéma ma hneď niekoľko jedinečných vlastností:
1. Nie je centralizovaná, a teda nemá jediné potenciálne miesto zraniteľnosti (single point of failure) — či už by užívateľ stratil telefón, alebo keby niekto hackol servery Excaliburu, nebol by schopný odtiaľ získať žiadne citlivé informácie.
2. Rieši problém dôvery cloudu — pri našej schéme ani sám Excalibur nemá dostatok informácií na to, aby mohol ohroziť identitu užívateľa, teda užívateľ nemusí dôverovať ani nám samotným.
3. Zabraňuje mnohým vektorom útoku, ktoré sa spoliehajú na ukradnutie citlivých dát z lokálneho počítača — Excalibur nikdy neukladá žiadne citlivé info na lokálny počítač, po ukončení používania si užívateľ môže byť istý, že na počítači neostalo nič, čo by potenciálny útočník mohol zneužiť.
S Excaliburem jste prošli také řadou soutěží…
Náš prvý úspech bol v Októbri 2012, keď sme v Dubaji získali Young Innovator Award na prestížnej konferencii ITU Telecom World. O mesiac neskôr sme zase vyhrali StartupAwards.sk v digitálnej kategórii.
Naše medzinárodné úspechy pokračovali tohto roku v Apríli, keď sme si ako finalisti business plan súťaže usporadúvanej univerzitou Rice v Texase mali možnosť zmerať sily so startupmi z celého sveta.
V máji sme dostali možnosť vstúpiť do akcelerátora Wayra v Prahe, ktorý zaštiťuje Telefónica. O pár dní nato sme vyhrali v Berlíne aj Telekom Innovation Contest, ktorý usporadúva Deutsche Telekom.
Jeden z posledných úspechov bola výhra na európskom finále Intel Business Challenge v Dubline, a momentálne sa pripravujeme na svetové finále, ktoré sa v Októbri bude konať v Kalifornii.
Súťaže boli pre nás obrovským prínosom po mnohých stránkach. Mali sme možnosť zmerať si sily s inými startupmi a veľa sa od nich naučiť. Dostali sme mnoho coachingu a rád, ktoré nám pomohli zlepšiť náš produkt aj to, ako ho prezentujeme.
Ale hlavne — stretli sme obrovské množstvo zaujímavých ľudí, ktorým sme mohli predstaviť našu víziu, vrátane strategických partnerov a investorov, s ktorými teraz úzko pracujeme na realizácii našej vízie, ako sú Deutsche Telekom a pod.
Pro operátory jste zajímaví zjevně tím, že obchodní model v podstatě přenecháváte na nich…
Náš obchodný model sa momentálne spolieha na úzku spoluprácu s operátormi, ale je to iba preto, že s operátormi vieme vytvoriť skutočne zaujímavé synergie a dospieť k obojstranne výhodným dohodám. Táto podpora od silných partnerov nám umožňuje dočasne tráviť menej času nad obchodným modelom a plne sa sústrediť na riešenie problému, ktorý predstavujú dnešné autentifikačné systémy.
Robíme to s vedomím, že ak sa naša technológia uchytí, bude množstvo obchodných modelov, do ktorých sa ako univerzálny poskytovateľ online autentifikácie budeme môcť napasovať. V prvej fáze chceme hlavne vytvoriť produkt, ktorý bude dostupný koncovému užívateľovi zadarmo, v plnej verzii, a bude naozaj radosť ho používať.
Banky a finančné inštitúcie by neskôr mali byť jednými z našich prvých platiacich klientov.
V jakém stavu je Excalibur nyní?
Momentálne beží privátna beta, pri ktorej testujeme a ladíme produkt s úzko vybranou skupinou používateľov. Pre širšiu verejnosť bude Excalibur dostupný do konca tohto roku.
Kam projekt směřujete dlouhodobě?
Výhľadovo by sme chceli, aby sa Excalibur stal v podstate synonymom s infraštruktúrou na digitálnu autentifikáciu. Potreba pre niečo také už teraz vzniká, a bude oveľa jasnejšia, keď sa realitou začne stávať Internet vecí.
Vo svete, kde všetko bude komunikovať so všetkým, musí isť autentifikácia hladko a byť všadeprítomná. Kým sa v priebehu pár rokov dostaneme do takej situácie, že budeme takéto riešenie potrebovať, Excalibur bude už ustálený hráč na trhu a perfektne pripravený byť jeho poskytovateľom.
Jak byste Excalibur porovnali s jinými řešeními?
Riešení v oblasti autentifikácie je obrovské množstvo a poväčšine sa pohybujú niekde na škále medzi extrémne málo bezpečnými a extrémne nepraktickými na bežné použitie.
Medzi tie prvé patrí napríklad prihlásenie cez Facebook, zapisovanie hesiel na papierik alebo ‚recyklácia‘ jedného hesla medzi viacerými účty. Na druhej strane sú zase rôzne USB tokeny, ‚kalkulačky‘ a scratch‑karty, ale aj exotickejšie nápady ako elektronické tetovanie či heslová tabletka.
Excalibur je jedinečný v tom, že sa snaží byť zároveň praktický a jednoduchý na použitie, ako aj bezpečný. Dokážeme urobiť skutočnú multifaktorovú autentifikáciu (štyri a viac faktorov) tak, aby to bežný užívateľ takmer ani nepostrehol, a potom dáta bezpečne distribuovane uložiť tak, aby nevznikol single point of failure.
Veríme preto, že Excalibur sa stane ultimátnym cloudovým manažérom hesiel. Na jeho používanie človeku stačí mobilný telefón, ktorý má už vo vrecku, nepotrebuje žiaden špeciálny hardware. A keďže Excalibur funguje „out of the box“ pre v podstate všetky stránky na internete, momentom nainštalovania sa hesla pre užívateľov Excaliburu stanú minulosťou.