Aplikasi catatan adalah salah satu aplikasi yang perlu diperhatikan tingkat keamanannya, terutama jika digunakan untuk menyimpan kumpulan catatan penting / sensitif.
.jpg)
Sama seperti aplikasi catatan milik Microsoft (OneNote), milik Google (Keep), atau Evernote, dll. Standard Notes juga adalah sebuah aplikasi untuk menyimpan catatan.
Perbedaannya mendasarnya adalah Standard Notes menerapkan end-to-end encryption untuk meningkatkan keamanan dan menghormati privasi pengguna.
End-to-end Encryption (E2EE)
%20(1).jpg)
Ini adalah fitur wajib untuk layanan yang mengklaim menghormati privasi dan memprioritaskan keamanan pengguna
Secara sederhana, encryption / enkripsi adalah proses pengacakan sebuah data yang tadinya dapat dibaca (readable) menjadi tidak dapat dibaca (unreadable), yang hanya dapat didekripsi oleh pihak yang berwenang dengan kunci kriptografi yang tepat.
Jadi end-to-end encryption pada Standard Notes ini bisa digambarkan bahwa catatan pengguna dienkripsi pada perangkat sebelum dikirim ke server, ini mengartikan hanya pemilik catatan yang dapat mendekripsi atau membacanya, bahkan pihak Standard Notes pun tidak dapat mendekripsi atau membaca catatan pengguna.
Fitur Dasar
Sama seperti aplikasi catatan pada umumnya, Standard Notes memungkinkan pengguna untuk membuat catatan dengan format plain text, rich text, markdown text, task, dsb.
Selain perlindungan dari password akun dan enkripsi, pengguna bisa meningkatkan keamanan lagi dengan mengaktifkan passcode, serta Fingerprint / Face ID untuk akses aplikasi.
Standard Notes bisa langsung digunakan via browser, dan juga tersedia dalam applikasi untuk perangkat Windows, macOS, Linux, Android, dan iOS.
Untuk Backup tersedia opsi manual serta auto backup cloud dan email.
Bagaimana Standard Notes mengenkripsi Catatan Pengguna ?
Catatan yang dibuat di Standard Notes dienkripsi menggunakan XChaCha20-Poly1305, salah satu bentuk enkripsi terkuat yang disarankan oleh perusahaan teknologi terkemuka seperti Cloudflare dan Google sebagai pengganti AES-256.
Data dienkripsi menggunakan kunci yang dihasilkan dari password pengguna, ketika pengguna membuat password akun saat pendaftaran, Standard Notes menggunakan algoritma peregangan password yang disebut Argon2 untuk memperkuat password pengguna dan menghasilkan kunci yang diperlukan.
Menggunakan Argon2 dengan kata sandi yang kuat menjadikan kunci enkripsi tidak mungkin untuk ditebak, bahkan dengan jaringan superkomputer.
Saat pengguna melakukan perubahan pada catatan, catatan tersebut dienkripsi menggunakan kunci pengguna, data terenkripsi juga secara otomatis ditandatangani, setelah dekripsi, tanda tangan ini divalidasi untuk memastikan bahwa tidak ada seorangpun yang bisa merusak catatan pengguna.
Keseluruhan proses enkripsi dan dekripsi terjadi secara offline dalam perangkat pribadi pengguna, setelah dienkripsi, barulah disinkronkan ke akun pengguna.
Data yang disimpan di akun pengguna sepenuhnya dienkripsi dan tidak dapat diuraikan tanpa kunci enkripsi pengguna, jika peretas mendapatkan data terenkripsi pengguna, itu akan menjadi sesuatu yang tidak berguna.
Passcode
Passcode adalah password perangkat yang dapat dikonfigurasikan untuk meningkatkan perlindungan pada perangkat pengguna.
Passcode tidak pernah disimpan di dalam storage perangkat, baik dalam bentuk terenkripsi ataupun tidak terenkripsi, itu dibuat setiap kali pengguna memulai aplikasi dan berada di memori hingga pengguna mengunci atau keluar dari aplikasi.
Saat pengguna mengunci atau keluar dari aplikasi, semua memori kerja dihapus, saat aplikasi dibuka kembali, aplikasi tersebut perlu membuat kunci pengguna untuk mendekripsi dan menampilkan data.
Biometrik
Biometrik memungkinkan pengguna mengonfigurasi sidik jari atau wajah untuk mengakses aplikasi.
Biometrik adalah bentuk perlindungan yang tidak didukung secara kriptografis, ini berarti menambahkan atau menghapus biometrik tidak akan mempengaruhi status kriptografi data pada perangkat.
Oleh karena itu, menambahkan biometrik ke akun dengan konfigurasi passcode tidak akan menghasilkan manfaat kriptografi tambahan, dan menambahkan biometrik ke akun tanpa passcode juga tidak mengubah atau menambah konfigurasi enkripsi.
Biometrik hanya berfungsi sebagai pengamanan akses aplikasi pada perangkat.
Web App
Berbeda dengan menggunakan Standard Notes versi desktop, akses / penggunaan melalui browser akan lebih rentan jika hanya memanfaatkan password akun tanpa passcode.
Saat menggunakan browser, password akun akan disimpan di basis data aplikasi dalam bentuk tidak terenkripsi, maka sebaiknya tambahkan passcode saat menggunakan Standard Notes melalui browser untuk mengenkripsi penyimpanan password akun.
Ini akan membuat penggunaan Standard Notes dengan browser akan berperilaku seperti versi desktop, dalam hal penyimpanan yang aman.
Apakah Standard Note mengumpulkan Informasi pengguna ?
Tidak ada informasi penggunaan yang dikumpulkan selain laporan kesalahan, tidak ada pelacakan atau analytics pada aplikasi Standard Notes yang mengumpulkan dan menganalisis riwayat pengguna untuk menargetkan iklan, Standard Notes menggunakan open source analytics yang dihosting sendiri.
Bahkan pada situs website pengunjung sekalipun Standard Notes menggunakan analytics yang dihosting sendiri untuk menghormati privasi (Plausible)
Standard Notes tidak mengumpulkan atau menyimpan informasi apa pun tentang alamat ip atau perangkat pengguna, Standard Notes berupaya mengurangi pengumpulan metadata seminimal mungkin dengan layanan tetap dapat berfungsi dengan optimal.
Apa Layanan yang digunakan Standard Note untuk beroperasi ?
- Cloud Server dan Database menggunakan Amazon Web Services
- Pemerosesan pembayaran menggunakan Stripe dan PayPal
- Email / campaign transaksional menggunakan Amazon Simple Email Service.
- Pemantauan dan Pelaporan kesalahan server menggunakan New Relic (tanpa mengumpulkan atau menyimpan alamat IP)
- Repositori source code menggunakan GitHub
- Penandatanganan kode aplikasi Windows menggunakan Digicert Extended Validation Certificate
- Penandatanganan kode aplikasi macOS menggunakan akun Pengembang Apple yang terverifikasi
- Email umum (help@standardnotes.com) menggunakan Google Workspace
- Email dukungan terenkripsi menggunakan Protonmail (standardnotes@protonmail.com)
Google Drive (opsional untuk auto backup) adalah satu-satunya integrasi yang Standard Notes miliki dengan Google, Standard Notes tidak menggunakan Google Analytics juga reCAPTCHA untuk pengendalian spam.
Dalam hal melindungi data sensitif pengguna, Standard Notes tidak mengandalkan entitas lain selain kriptografi.
Catatan pengguna selalu dienkripsi dengan kunci aman yang tidak dimiliki siapapun selain pengguna, dan kunci ini tidak pernah meninggalkan perangkat pengguna atau bahkan menyentuh layanan cloud.
Open Source
Standard Notes adalah layanan Open Source, yang berarti source code aplikasinya dibuka ke publik, sehingga pakar keamanan, pengguna tingkat lanjut, atau siapapun bisa dengan bebas kapan saja mengaudit atau memeriksa source code Standard Notes untuk memastikan apakah benar Standard Notes bekerja seperti yang dijelaskan.
Source Code : https://github.com/standardnotes
Banyak applikasi / perusahaan yang mengklaim bahwa layanan mereka menerapkan enkripsi dan menghormati privasi pengguna, namun tidak membuka source codenya ke publik, sehingga pengguna hanya bisa percaya buta saja berharap data dan privasi mereka benar-benar dilindungi.
Apakah Standard Notes sudah diaudit pihak ke-3 ?
Standard Notes telah menyelesaikan 4 proses audit keamanan oleh pakar keamanan terkemuka di industri :
- Tinjauan Desain Kriptografi 2017 : Audit awal ini membantu memastikan enkripsi sisi klien awal dan sistem komunikasi sisi server Standard Notes dibangun dengan benar dan kuat, dilakukan oleh Shackle Labs, Amerika Serikat. Report : https://standard-notes.s3.amazonaws.com/security/Report-SN-Audit.pdf
- Uji Penetrasi Ekosistem Lengkap 2019 : Audit ekstensif ini mencakup keseluruhan ekosistem Standard Notes, baik sisi klien maupun sisi server, dengan tujuan menembus kode dan yang dapat dieksekusi untuk mencapai efek yang tidak diinginkan dan menemukan kerentanan. dilakukan oleh Cure53, Berlin. Report : https://standard-notes.s3.amazonaws.com/security/Standard+Notes+-+Cure53.pdf
- Penilaian Keamanan Enkripsi dan Protokol Sisi Klien 2020 : Audit ini mencakup keseluruhan kerangka kerja sisi klien untuk mengenkripsi dan menyinkronkan data, dan mencakup penggunaan algoritme terdepan di industri seperti Argon2 dan XChaCha20-Poly1305. dilakukan oleh Trail of Bits, New York. Report : https://standard-notes.s3.amazonaws.com/security/Standard+Notes+-+Trail+of+Bits.pdf
- Uji Penetrasi Back end Server dan Penilaian Keamanan 2022 : Audit ini mencakup aplikasi dan layanan server Standard Notes, termasuk sinkronisasi, autentikasi, dan file. dilakukan oleh Cure53, Berlin. Report : https://standard-notes.s3.amazonaws.com/security/2022-Pentest-Report.pdf
Bagaimana jika Layanan Standard Note berhenti ?
Standard Notes menyediakan beberapa opsi backup yang bisa pengguna pilih, baik mengkonfigurasi auto backup ataupun melakukan backup secara manual.
Standard Notes adalah applikasi Open Source, jadi meskipun Standard Notes resmi ditutup, salinan source code tersedia secara public untuk dijalankan.
Kombinasi ini memastikan bahwa jika terjadi hal yang tidak terduga, data pengguna akan tetap aman.
Semoga bermanfaat.