"Oleg LOA" ...
> "Horsun Vlad" ...
> >
> > Я перечислил 3 способа получения ключа криптоплагином. Почитай
> > внимательно. DPB - один из них
>
> Так какие проблемы стем чтобы разные базы имели разные ключи? Их нет.
Проблема в клиенте, который в твоём варианте обязан знать, что он
работает с зашифрованной БД и знать какой ключ к какой БД относится.
В моём варианте с калбеком клиент (приложение, а не fbclient) ничего
этого не знает
> > Уже писали сегодня - на embedded свет клином не сошёлся
>
> Где писали? Я тут вижу лишь непониямае в отличиях защиты от НСД и
> защиты данных в случае кражи физических носителей данных.
Вот продаю я что-то типа мини 1С. На 3-х юзеров - т.е. сетевое.
Относительно массовое - я не занимаюсь прямой поддержкой всех клиентов
у них на месте. Покупатель боится кражи системного блока, налоговой, не
доверяет своему админу, если он вообще есть, и т.п. Он или не имеет
квалификации, достаточной для установки БД на шифрованную ФС, или не
хочет этого делать по своим причинам, или вообще ему уже кто-то линукс
на сервер поставил. Приложения авторизовывать не надо, поэтому заморочек
с dpb нет. В моём варианте он сохраняет ключ на флешку, ключ с флещки
берёт _сервер_ (криптоплагин работающий в сервере конечно) и без неё
ничего не работает. А в твоём ?
> > И на России с её ФСБ свет тоже клином не сошёлся, да ?
>
> А там и так средств шифрования хватает :-)
Между прочем наиболее активно просят эту фичу именно "там" ;)
> > В расшифрованном кеше будет далеко не вся БД. И твоё решение, кстати,
> > от этого тоже не защищено
>
> А моего уровня такая защита и не требуется. Твои же реализации с "удалённым
> криптоконтейнером" просто будут ломаться указанным способом.
Не понято - почему это тебе такой взлом не грозит ?
Теперь про "удалённый криптоконтейнер" - у меня такого нету.
Есть криптоконтейнер как приватная область памяти (ОЗУ) криптоплагина,
действительная, есс-но, только в ран-тайме
И есть внешнее хранилище ключей, которое определяется разработчиком
криптоплагина.
И никто не предлагает делать его в виде тестовых файлов с открытым
представлением
ключей ;)
А при чём тут кеш птицы я вообще не догнал
> > Примерно такой уровень защиты и я хотел получить ;) Не получу ? :)
>
> Нет. Очень много уязвимостей.
По сравнению с твоим монолитным вариантом только одна - подмена сервера.
Покажи другие ? Кстати - не вижу особых проблем сделать кастомный _сервер_
с монолитным плагином в нём. Для параноиков ;)
--
Хорсун Влад
