我很高兴地宣布AWS Wickr的可用性,这是一种具有端到端加密的企业通信服务,它允许企业和公共部门组织更安全地通信,使客户能够满足电子发现、合法保留等审计和监管要求, 和FOIA 要求。与许多企业通信工具不同,Wickr 使用端到端加密机制来确保您的消息、文件、语音或视频通话只能由其预期接收者访问。
灵活的管理控制使您的 Wickr 管理员可以轻松管理通信渠道并保留信息以满足监管要求。保留的信息存储在您选择的服务器上,并完全在您的控制之下。
端到端加密
Wickr 提供两个或多个通信者之间的安全通信。这意味着该系统提供了真实性和机密性:任何未经授权的方都不能将消息注入系统,并且任何非预期方都不能访问或理解通信而无需通信方之一提供。
每条消息都有一个唯一的 AES 加密密钥和一个唯一的 ECDH 公钥,用于与其他收件人协商密钥交换。消息内容(文本、文件、音频或视频)在发送设备(例如您的 iPhone)上使用消息特定的 AES 密钥加密。消息特定的 AES 密钥通过Diffie-Hellman椭圆曲线密钥交换 (EDCH521) 机制与接收者交换。这可确保只有预期的收件人拥有消息特定的 AES 密钥来解密消息。
特定于消息的密钥通过密钥派生函数传递,该函数将密钥交换绑定到接收方设备。当收件人稍后将设备添加到他们的帐户时(例如,除了我的 iPhone 之外,我还向我的 Wickr 帐户添加了 macOS 客户端),默认情况下新设备将看不到消息历史记录。如果您手头有两台设备并配置了单点登录 (SSO),则可以通过一种方法将历史记录从旧设备迁移到新设备。
我画了下图来展示密钥交换在高层次上是如何工作的。
Wickr安全消息传递协议是开放和记录的,允许社区检查它。我们在 Wickr 客户端中用于实施安全消息传递协议的源代码可供审计和审查。
Wickr 客户端应用程序
Wickr 客户端应用程序对最终用户来说非常熟悉并且易于上手。它适用于 Windows、macOS、Linux、Android 和 iOS 设备。从首选应用程序商店下载并注册后,用户可以创建聊天室或向个人收件人发送消息。他们可能会使用表情符号来回复消息、交换文件以及进行音频和视频通话。
在这里,我在 macOS 上与我在厨房里的 iOS 上连接。
用于管理员
Wickr 管理的 Wickr 现在已集成并可在AWS 管理控制台中使用。您可以使用熟悉的AWS Identity and Access Management (IAM)访问控制和策略来控制对 Wickr 管理的它与AWS Cloud Development Kit (AWS CDK)和Amazon CloudWatch 集成以进行监控。
Wickr 管理员管理网络。网络是一组用户及其相关配置,类似于 Slack 工作区。可以手动添加或导入用户。大多数组织将通过现有的身份系统联合用户。Wickr 将联合用户与任何OpenID Connect兼容系统。
Wickr 网络也是 Wickr 管理员配置安全组以管理消息、呼叫、安全和联合设置的地方。它还允许 Wickr 管理员配置日志记录、数据保留和机器人。
首先,我在 AWS 管理控制台中选择 Wickr。然后,我选择创建网络。我输入网络名称,然后选择Continue。
管理控制台的 Wickr 页面可让您配置 Wickr 网络、与其他 Wickr 网络的用户联盟等。
在此演示中,我不使用单点登录。我通过选择Create new user手动添加两个用户。添加后,用户会收到一封邀请电子邮件,其中包含指向客户端应用程序的链接。客户端应用程序要求用户在首次使用时定义密码。
客户控制的数据保留和 Bots
Wickr 允许管理员有选择地将必须维护的信息保留到他们管理的安全、受控的数据存储中以满足监管需求。除了接收者(包括 AWS)之外,没有人可以访问密钥来解??密对话或文档,从而使组织能够完全控制其数据。它帮助公共部门的组织使用 Wickr 来满足他们的安全协作需求。
数据保留作为添加到对话的过程来实现,就像参与者一样。数据保留过程参与密钥交换,就像任何接收者一样,允许它解密消息。数据保留过程可以在任何地方运行:本地、Amazon Elastic Compute Cloud (Amazon EC2)虚拟机或您选择的任何位置。在控制台中配置数据保留后,Wickr 管理员可以启动数据保留过程并将其注册到他们的 Wickr 网络。
数据保留过程可作为Docker 容器使用,以便于部署。该过程将明文消息存储在您选择的存储上:本地或远程文件系统或Amazon Simple Storage Service (Amazon S3)。
为了尝试这个过程,我遵循了文档。我打开 Wickr 管理页面并在Network Settings下选择Data Retention。
我复制了docker命令、用户名和密码(上一个屏幕截图中未显示)。然后,我连接到我预先创建的 Linux EC2 实例。我为数据保留创建了一个本地目录,然后启动了容器。
应用程序提示输入在控制台中收集的用户名和密码。当进程开始时,我返回到控制台并激活屏幕底部的数据保留开关。
请注意,对于此演示,我选择将数据存储在本地文件系统上。实际上,您可能希望使用 S3 来安全地存储所有组织通信、加密静态数据,并使用您已有的机制来控制对此数据的访问。数据保留过程本身支持与AWS Secrets Manager和 S3 的集成。
作为用户,我在 Wickr 房间里交换了一些消息。然后,作为管理员,我查看捕获的数据。我可以观察到数据保留过程以 JSON 格式捕获了消息及其元数据。
配置数据保留功能时,合规和安全人员可以在安全和受控的数据存储中审计和审查通信。
保留机器人并不是 Wickr 唯一可用的机器人。Wickr Broadcast Bot 允许您向网络中的所有成员或特定安全组广播消息。开发人员可以使用Wickr Bots创建工作流,以自动化基于聊天的工作流并将它们与其他系统集成。同样,机器人是集成到对话或聊天室中的进程,可以接收消息并根据消息采取行动。开发人员使用NodeJS编写机器人。按照网络管理员的定义,机器人进程安全地与 Wickr 网络集成。它们通常打包为 Docker 容器,以便于在您选择的位置进行部署。如果您是开发人员,请查看Wickr 机器人开发人员文档以了解所有详细信息。
定价和可用性Wickr 在美国东部(弗吉尼亚北部)AWS 区域可用。Wickr 对于前 3 个月寻求更安全工作空间的个人和最多 30 名用户的团队免费。对于拥有超过 30 个用户的组织,有一个标准计划,起价为每位用户每月 5 美元,高级计划为每位用户每月 15 美元。高级计划增加了一些特性和保留功能,例如精细的管理控制、最长 1 年的客户端数据到期计时器、数据保留和电子发现。像往常一样,没有预付费用或长期参与。您按用户和每月付费(可以按年计费,请联系我们)。有关详细信息,请查看定价页面。立即创建您的第一个 Wickr 网络!撰写,塞巴斯蒂安·斯托马克,自八十年代中期第一次接触 Commodore 64 以来,Seb 一直在编写代码。他将激情、热忱、客户支持、好奇心和创造力秘密地结合在一起,激发构建者释放 AWS 云的价值。他的兴趣是软件架构、开发人员工具和移动计算。如果你想卖给他一些东西,确保它有一个 API。
