Дизайн секъюрной файловой системы - Программирование

wk-cof · 25.05.2010, 17:55

Дело происходит в Windows 7.
доступ к базам данных осуществляется через mySQL.

Проблема следующая:
Есть куча файлов в одной папке на компе. Среди них - базы данных, текстовые документы, картинки.
Нужно, чтобы кроме определенного числа "доверенных" прог никто не мог получить доступ к этим файлам и базам данных.

Проблема в том, что файлы надо читать, писать, добавлять, удалять, создавать новые базы данных, изменять что-то в старых.

Была идея - создать прогу-сервер, которая бы сначала закодировала все файлы, а потом общалась с "доверенными" прогами используя RSA шифрование. ТЕ прога-клиент запрашивает доступ, обмениваются ключами, получает доступ и секъюрно работает с файлами...

Проблема в том, что я не знаю как при этом работать с mySQL базами данных. Ведь простые запросы не будут работать на зашифрованных файлах. Держать в памяти распароленные копии нереально, тк файлов и баз данных может быть много, да и к тому же несекъюрно.

Я неплохо программирую, так что с реализацией проблем возникнуть не должно. Проблема в том, что нет идеи, как это все осуществить.
Любые идеи и мысли по этому поводу будут приниматься с огромной благодарностью.

RaZEr · 25.05.2010, 18:13

Цитата:

Сообщение от wk-cof

Есть куча файлов в одной папке на компе

Разложи по разным папкам.

Цитата:

Сообщение от wk-cof

Нужно, чтобы кроме определенного числа "доверенных" прог никто не мог получить доступ к этим файлам и базам данных.

Создай для доверенных приложений пользователя/группу и дай доступ к папке с базами только ему/ей.

wk-cof · 25.05.2010, 18:19

Цитата:

Сообщение от RaZEr

Создай для доверенных приложений пользователя/группу и дай доступ к папке с базами только ему/ей.

Думал про это. Всякие там стандартные EFS шифрования, настройка доступов, AES_encrypt для баз данных...

Проблема в том, что я не знаю, насколько это секъюрно. Приложение, для которого я это пишу вполне возможно будет подвергаться атакам. Босс параноит по этому поводу, дал 3 месяца на разработку суперсекъюрности.

К тому же уже используется хардварный файрвол, шифрование диска, шифрование баз данных и тд...

Borland · 26.05.2010, 01:32

wk-cof, могу персонально для Вас за сумму ~$150000 разработать концепцию соответствующей ФС. Ещё за ~$250000-350000 можно заказать соответствующий программный код. И ~$300000 как минимум обойдётся его экспертиза в нашем ФСБ (или в америкосовском АНБ). Месяцев 8 времени цикл разработки/сертификации займёт...
Потом ещё надо будет это добро сертифицировать у M$ и у тех же спецслужб (за отдельные деньги) - на безопасность применения в составе ОС производства M$...
Секьюрность ФС NTFS вполне на уровне при соблюдении рекомендаций разработчика и грамотном использовании имеющихся возможностей...
Если в системе есть пользователь с полными правами администратора и паролем типа "12345" - поверьте, от настойчивого хакера не спасёт никакая супернавороченная ФС с любым мыслимым шифрованием, независимо от стоимости... Практически аналогично - ничто не спасёт от злонамеренного пользователя, имеющего физический доступ к серверу...
Если стоимость потерь фирмы от утечки информации не превышает суммы в ~$500000 - значительно дешевле изучить соответствующие документы от M$ (или FreeBSD)...
Для сведения: уже куда как более 10 лет вся web-инфраструктура M$ основана на продуктах её собственного производства. Пока что случаев серьёзного взлома не зафиксировано...

RaZEr · 26.05.2010, 03:39

Цитата:

Сообщение от wk-cof

Проблема в том, что я не знаю, насколько это секъюрно. Приложение, для которого я это пишу вполне возможно будет подвергаться атакам.

Вы не поверите, но любой вебмастер создаёт приложения которые не "возможно", а совершенно точно будут подвергаться атакам. И ничего, как-то живут.

Если так сильно беспокоитесь о безопасности, то строго говоря не понятно, какого чёрта вы поднимаете сервер БД на машине где проходной двор. Вынесите его на отдельную Linux/BSD машину, и блэкхольте весь трафик кроме 3306/TCP.

super_bizon · 04.07.2010, 12:23

Цитата:

Сообщение от wk-cof

умал про это. Всякие там стандартные EFS шифрования, настройка доступов, AES_encrypt для баз данных...

Проблема в том, что я не знаю, насколько это секъюрно. Приложение, для которого я это пишу вполне возможно будет подвергаться атакам. Босс параноит по этому поводу, дал 3 месяца на разработку суперсекъюрности.

К тому же уже используется хардварный файрвол, шифрование диска, шифрование баз данных и тд...

Дело в том, что все, что имеет сертификат безопасности и закрытый код, Открывается спецслужбами с "черного хода".
А все что имеет открытый код - с помощью термального криптоанализа.

25.05.2010, 17:55	# 1
wk-cof Junior Member Регистрация: 27.12.2003 Адрес: не дом и не улица Сообщения: 80	Дизайн секъюрной файловой системы Дело происходит в Windows 7. доступ к базам данных осуществляется через mySQL. Проблема следующая: Есть куча файлов в одной папке на компе. Среди них - базы данных, текстовые документы, картинки. Нужно, чтобы кроме определенного числа "доверенных" прог никто не мог получить доступ к этим файлам и базам данных. Проблема в том, что файлы надо читать, писать, добавлять, удалять, создавать новые базы данных, изменять что-то в старых. Была идея - создать прогу-сервер, которая бы сначала закодировала все файлы, а потом общалась с "доверенными" прогами используя RSA шифрование. ТЕ прога-клиент запрашивает доступ, обмениваются ключами, получает доступ и секъюрно работает с файлами... Проблема в том, что я не знаю как при этом работать с mySQL базами данных. Ведь простые запросы не будут работать на зашифрованных файлах. Держать в памяти распароленные копии нереально, тк файлов и баз данных может быть много, да и к тому же несекъюрно. Я неплохо программирую, так что с реализацией проблем возникнуть не должно. Проблема в том, что нет идеи, как это все осуществить. Любые идеи и мысли по этому поводу будут приниматься с огромной благодарностью. __________________ И тебя вылечат...

26.05.2010, 01:32	# 4
Borland СуперМод IMHO Консультант 2005-2009 Регистрация: 14.08.2002 Адрес: Московская ПЛ, ракетный отс Пол: Male Сообщения: 14 495	wk-cof, могу персонально для Вас за сумму ~$150000 разработать концепцию соответствующей ФС. Ещё за ~$250000-350000 можно заказать соответствующий программный код. И ~$300000 как минимум обойдётся его экспертиза в нашем ФСБ (или в америкосовском АНБ). Месяцев 8 времени цикл разработки/сертификации займёт... Потом ещё надо будет это добро сертифицировать у M$ и у тех же спецслужб (за отдельные деньги) - на безопасность применения в составе ОС производства M$... Секьюрность ФС NTFS вполне на уровне при соблюдении рекомендаций разработчика и грамотном использовании имеющихся возможностей... Если в системе есть пользователь с полными правами администратора и паролем типа "12345" - поверьте, от настойчивого хакера не спасёт никакая супернавороченная ФС с любым мыслимым шифрованием, независимо от стоимости... Практически аналогично - ничто не спасёт от злонамеренного пользователя, имеющего физический доступ к серверу... Если стоимость потерь фирмы от утечки информации не превышает суммы в ~$500000 - значительно дешевле изучить соответствующие документы от M$ (или FreeBSD)... Для сведения: уже куда как более 10 лет вся web-инфраструктура M$ основана на продуктах её собственного производства. Пока что случаев серьёзного взлома не зафиксировано... __________________ Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий Московская ПЛ IMHO - отдых в Анапе