Шифрование. Поделитесь опытом.... #30389

Люди!!! Кто пользовался шифрованием баз 1С (DBF/SQL)? Какой прогой шифровали? Насколько тормозит? Поделитесь опытом плиз...

PGP - disk

2MishGan:А та SQL или на DBF. И насколько тормозит?

PGP - количество пользователей - до 10 , база небольшая (ТиС 805,50-70 м за год).Замедлений незаметно.Один раз упали винды .. (W 98 форева !!!) .. после этого диск востановился(молился по настоящему..)По поводу защищенности ... уверенности нет.. но типа ...для информации , которую вообще можно записывать и хранить в офисе - подходит.

Aladdin Secure NT 1.0 Тесты не проводил, на глаз тормозов не заметно.

После зависания PGP диск умер. и нет неодной утилиты как его востановить. Перед этип полгода работал нормально раз 200 некоректно выключаль, висла, и т.п. проблем небыло. После этого отказался. проще если, что затирать пару тройку дбф. чем нибуть или шифровать их.

Столкнулся с непостоянными и непонятными зависонами Вин-НТ при запуске PGP-Disk, поставил Best-Crypt - уже около года работает без проблем.

Strong Disk от Физтех-софт и Aladdin Secret Disk.Нам больше нравится Strong Disk, но клиенты довольныи тем, и другим.

Тут один чел мне рассказывал, как он забыл пароль от Aladdin Secret Disk. Ну, делать нечего - позвонил он в представительство этой конторы в Москве, там ихний админ помялся-помялся и говорит - привозите свой винт - откроем. Вот такая, блин, у Ахладина криптография. Что хасп, что Диск - маздай !

А ты хотел, чтоб по телефону открыли диск? На фига тогда криптография.

2(почти)Аll:А шифруете DBF или SQL базы?

И то, и другое.

Рассуждения ... на тему средст защиты ...Граммотность пользователей и современные средства таковы .. что защищатся становится достаточно дорогим удовольствием и достаточно сложным.Применение вышеперечисленных средств защиты ,при отсутствии разработанного комплекса защиты, не позволяет говорить о защищенности , а лишь создает иллюзию безопастности, которая однажды может обернутся трагедией.Построение систем безопастности достаточно сложная задача , которую необходимо отдавать на откуп специалистам ..а не заниматся самопридумыванием....я лично сомневаюсь , что здесь много людей , которые могут или создавать такие системы ..или которые бы могли бы возмещать понесенный ущерб от неправильной организации защиты.Не жадничайте. типа есть очень грустные факты.

Лучше не надо о теории. Имею шестилетний опыт обслуживания военных сетей и знаю, что тема достойна книги.Вскрыть шифрованый диск при достаточной длине ключа и нормальном способе его формирования очень дорого. У абсолютного большинства коллег данные столько не стоят.

(никто его вскрывать и не будет ..)Ну да .. если , ключ аппаратный .... типа и его никто не получита если программный .... где вероятность , что его никто не получит ?

Вероятность прямо пропорциональна зарплате администратора и обратно пропорциональна его бестолковости и отсутствию опыта.

К Алех .. вот ,Ты имеешь шестилетний опыт работы .. а смотри , что Ты говоришь .. ключ , длинный , программа хорошая , спите спокойно.А эти сраные пользователи .. ключ на бумажку и под модем (доступ на РТС) или клавиатуру (это так в ФКЦБ московском отделении).

а , если нет админа ? .. типа сами виноваты .. что доверились ..человеку который им поставил PGP ? или , что не стали его брать - потому , что у них все работало .. а человек внедрявший у них 1с заодно внедрил им и систему защиты?

Я хотел лишь подчеркнуть , что не стоит браться , за то в чем не разбираешься досканально. Здесь находятся люди для которых компьютер это привычная среда .. а пользователи врядли настолько граммотны ..и не стоит им передавать свою уверенность в безопастности , если не разбираетесь в неё действительно хорошо.

Господа! Причем здесь организационные аспекты данной проблемы? Если дискутировать по поводу них, то, скорее всего, мы придем к тому, что шифрование данных вообще бессмысленно. Я думаю, что технические аспекты более интересны, а организационные, в этом я согласен с Alex, тема большой книги.

То 16. Прав на 100%. Даже в армии пишут на мониторах, кливиатурах и т.п. Выход - аудит действий и личная ответственность пользователей. Но это мы уже в теорию. Суть проблемы делится на три части. Первая - разграничение прав доступа, вторая физический доступ ко всем данным пользователей, третья - посторонних лиц. По первой части - разграничить права доступа под 1С - возможно. Она здесь, вроде не обсуждается. Вторая - в DBF неразрешима из-за необходимости доступа пользователей к файлам. Вариант получше - SQL версия, хотя и там нет разграничения. Здесь же обсуждается третья часть - закрыть данные от посторонних. Вот тут и спасает шифрование. Один человек открывает диск, один он имеет смарт-карту и один несет всю ответственность.

To Alex: Ситуация такая, что требуется защитить данные на сервере в случае пропажи оного (в случае изъятия, кражи и т.п.). В этом случае, как я думаю, шифрование данных наилучший выход из положения.

Именно это я и хочу сказать. А безопасность данных вообще начинается с охраны помещения и пожарной безопасности. Не обсуждать же здесь ее.То 17 . Когда несут деньги в банк - проверяют надежность банка, но за последствия отвечают сами. Когда доверяют кому-то защиту данных - отвечать тоже приходится самому.

To Alex . Я так понимаю, что BigHarry хотел бы, чтобы диск никак не открыли, в т.ч. и сами разработчики. Так оно и должно быть, если криптография дает реальную защиту.

А насколько эфективно встроеное в Win2000 шифрование. 128 бит вроде бы.

По сути, 2Yellow Rain:Пусть винты закриптованы PGP. Любой сливает базу на локальный винт, меняет пароли и выдирает любые данные.Посему базу на ЦКЛ, для .USR - NTFS'ые расширения - read (хотя, вроде, точно не помню, сиквельный 1С изменения в .USR и параметрах доступа к ЦКЛ отслеживает согласовано, т.е. ручной рихт бесполезен), запущенный сеанс на серв и усё.Для залома необходимо раскриптовывать параметры доступа. Это затраты другого порядка. И голова за секьюрность на этом участке не болит.Проблем не было, тьфу, тьфу, тьфу.А как это будет выглядеть под TSE?

2Кибальчиш:А если SQL-базу (файл MDF) выкрадут? На другом компе ее вроде можно посмореть (с геммороями конечно но можно...). И просто (в FAR по F3) там данные видны. А если критичен сам факт работы с какой-то организацией чье имя можно тем-же FARом увидеть в ентом файле... Возникнут некоторые вопросы...2NMI:По моему личному мнению криптография и микрософт вещи несовместимые... Не проверял насколько эффективно но НЕВЕРЮ я в него...

2Кибальчиш:Или SQL база тоже на PGP? (сорри если не понял правильно)...

Предполагается : что системы шифрования защищенные по определенным стандартам имеют необходимую криптоустойчивость .. рассуждать тут о ломкости бесмысленно ..они априори невскрываемы.Но установка системы шифрования , есть не самый значительный шаг на пути к безопастности.Есть фирмы , которые умеют защищать информацию ..это их основная деятельность, и лучше оставить это направление им , в целях безопастности своих же клиентов .

То 23. Есть некие правила, установленные законодательно по вопросам шифрования. В частности, там оговорены вопросы лицензирования программ шифрозащиты. Причем лицензируется не только изготовление програмно-апаратных комплексов, но их право их применения. Если говорить грубо, то для любого ПРИМЕНЕНИЯ средств криптозащиты нужна лицензия (как вариант - покупка ее вместе с самим комплексом - тогда это заморочка производителя). И естественно ФАПСИ вместе с ФСБ требуют включать возможность ЧЕРНОГО ХОДА. Поэтому проблема намного шире. По сути любое нелицензированное применение средст криптозащиты незаконно. Более того незаконен их ввоз на территорию Российской Федерации. Ну так глубоко, я думаю копать не стоит. Надежность защиты определяется просто - соотношение ценности данных к затратам на их расшифровку. АБСОЛЮТНОЙ ЗАЩИТЫ не может быть изначально.Но шифрование диска, лучше програмно-апаратное резко поднимает надежность этой защиты.

На вскидку ..точно не помню ..но разделяется коммерческая тайна и гос тайна , так вот ограничений на защиту коммерческой тайны у нас вроде бы не было.Во всяком случае нет ограничений на защиту личной информации .. хотя если рамки коммерческого права явно определены , то личная информация очень расплывчата .. т.е. .. ни каких шансов по защите от государства тут нет.

Игорь:А что у тебя из программных и если не СТРАШНАЯ тайна организационных спообов защиты применяется?

Абсолютно любой ключ защиты может определить пара - тройка широкоплечих бритоголовых программиста. Так, что защиты нет.

Кстати, Вин-2000, которая будет (или уже) поставляться для Раши, имеет ограничения на длинну ключа при шифровании, иначе ФАПСИ ее не пущал ! Эта тема обсуждалась летом в Компьютерре, но выход есть - вроде как модуль, отвечающий за сильное крипто, можно скачать с сайта майкрософт, или юзать английскую версию.

Святая наивность. Даже в отношении личной информации. Накто же не запрещает ее защищать. Более того, закон ОБЯЗЫВАЕТ ее защищать. Речь идет о государственном лицензировании прав на применение средств КРИПТОЗАЩИТЫ. Кстати, W2000, имеющая 128 битный ключ, по закону не может быть ввезена в РФ -:).Для общего развития - законодательная часть проблемы, естественно не касающейся применения средств криптозащиты в гос. организациях, подробно расписывалась в "Открытых системах". К сожалению номер не помню, но в течение последнего года.

К Yellow Rain .Я даже не знаю , пойти против принцыпов и нарушить правило , или не нарушать .. .. все же не буду сохраню определенную осторожность ..я не админ ....достоточные для физической защиты от прямого контакта ....менее слабые при атаке из сети ..но я думаю , что у нас таких спецов пока мало ..и заказать фирму проще через налогувую , чем у хакера.

Существует масса средств и контрсредств ..но все же предохранятся надо ...

Не надо пурги !Слова "государственном лицензировании прав на применение средств КРИПТОЗАЩИТЫ" любой нормальный человек поймет как "государство хочет залезть в твои дела и читать твои письма".А все эти слова - о лицензировании и праве - полнейшая чухня !!!ОРГАНЫ ХОТЯТ ЗНАТЬ - что ты там прячешь в 13 секторе на нулевой дорожке !

Кстати я являюсь сторонником открытости информационных систем для государства , но эта другая история с очень размытой аргументацией.

Да какая разница разрешает ФАПСИ или нет? Ну низя пользоватся ПГП-диск и что? Стереть мне что-ли его? Законы-то есть но пока они не работают (и неизвестно когда заработают). А вот, к примеру, налоговое законодательство работает во всю (инспекция работет точно). А в большинстве организаций (как мне рассказывали...) данные прячут в основном от них.

Кстати - как выше обсуждалось - потроха какого-нить файла не являются доказательством. Но - для наведения органов на следующую жертву - очень даже легко.Значит - прятать надо ОДНАЗНАЧНА !Хотя-бы для того, что-бы геморА побольше у врагов было !

Вывод правильный. К тому же оклады сотрудников в этих органах не способствуют особому энтузиазму при взламывании шифров.

To BigHarry:У НачПродов ревизия проходит так:1. Сначала ревизор находит ВСЕ нарушения2. Потом проводится подбивка бабок и считаем скоко государству а скоко ревизору. (и обязательно начпроду объявляется выговор)=> чем меньше ревизор найдет тем лучше (хотя тут есть свои нюансы).Поэтому прятать надо ВСЕ!!!!

История вымошлена:в том году взяли неких торговцев на горбушке , в том числе и компик ,защита балы на 97 excele (там защита гамированием.. не уверен , но быстрее всего), стандартные взомщики не помогли , так как они писались под английский язык , и видимо на русской таблице не работали .Итог за день :торговцы во всем сознались (набралось только на административные правонорушения)компьютер был разбит (слетели винты ) от удара головой об компкомп был разобран ....файлы так и остались не расшифрованы.диски зарержаны и перепроданы.А , ведь это гаммирование - да ещё в мс оффисе .. снимается почти руками.

Не бейте меня головой об сервер! Он большой :))

2Yellow Rain:Само собой, MDF на PGPdisk'е. И естественно, на сеть не расшарен.2All: человек вроде просил поделиться опытом в технических аспектах.Необходимость шифрования в принципе ведь никто не отрицает? И не свет клином сошёлся на гос. органах. Были попытки хищения коммерч. информации.2Игорь, и так и так читал...: Построение систем безопастности ... необходимо отдавать ... специалистам, ...все же предохраняться надо ... ...я являюсь сторонником открытости информационных систем для государства...,Круто: я так понял, что: "чтобы средства предохранения в информационных системах были открыты для государства, нужно обращаться к специалистам"Игорь, это не Вы? Народ повалит...

К Кибальчиш.То, что Вы смогли понять , то Вы и поняли.повторюсь:Два равина едут в Одессу , приезжают оттуда и расказываютПервый : Этот город сплошного порока, барделей и кабаков.Второй : В этом городе все люди ходят в синагоги и веруют в бога.(Кстати если бы Вы начали вырезать буквы из строчек и писать , что то типа{12,2,17},{12,4,4}{12,15,17} ..... Вы бы тут ещё какой замысел обнаружили.)

Все же чаще всего (по крайней мере в плане 1с) организациям нужна защита от всемозможных контрольных органов, читай МНС. Я остановился пока на варианте MobileRack'а - если че, вынул и в сейф, все равно печатные документы куда-то прятать же будут. Какокой смысл все шифровать особо, когда целый день кругом бумажные копии ваших документов валяются. Беру в расчет, естественно, не очень крупные конторы. Шифровать под W2K? Можно и через утилиты под NT, но страшновато - надо шифровать все, в том числе и бекапы, а если слетит система? Я для этого держу один недельный бекап на обычном FAT32 и две операционки на винте, слава богу еще не приходилось пользоваться такими вещами.Проблема пока немного в другом - для налоговой все же лучше показать что-то, а это что-то надо откуда-то брать. В автомате выбирать из обычных данных пока не получается. Отдельно левой базой бухи заниматься не хотят. У нас, к примеру, легальную версию 1С брали специально для того чтобы она в бюджете была, для той же МНС, правда однопользовательскую типовую 7.5, а пользуемся ATC на всех :)

Архивы шифруются тем-же PGP, прямо через батник - сначала архивирование, а потом запуск консольной PGP - в результате архив закриптован спецовым ключем, от которого приват-кей хранится у босса дома.