"Horsun Vlad" <[EMAIL PROTECTED]> wrote in message news:[EMAIL PROTECTED] > > > Вот несколько предполагаемых сценариев использования, самых простых
Слава богу ты наконец-то выдал то что я от тебя так давно ждал ;-) > > а) Распространение ценных данных вместе с приложением. Однопользовательская > версия. Данные должны быть доступны только легальному приложению. Защита > от подмены компонентов сервера не рассматривается. > > Встроенный сервер + криптоплагин. > Ключ авторизации вшит в приложение, передаётся через dpb Предлагаю ЭТУ реализацию вклчить уже в 2.1. Криптоалгоритм реализовать в коде сервера по одному из распространённых алгоритмов. Использовать существующий isc_dpb_encrypt_key. > б) Предприятие, в котором некие ценные данные хранятся в общей БД. В рабочее > время доступа к компьютеру с БД у посторонних нет. В остальное время > помещение > охраняется обычным сторожем или не охраняется вовсе. Ресурсов для более > надёжной > охраны нет, или данные не настолько ценные. Необходимо обеспечить > нечитаемость > данных в случае физической кражи компьютера с БД. Защита от перехвата > траффика и > подмены компонентов сервера не рассматривается. > > Полноценный сервер + криптоплагин. > Ключ авторизации находится во вне компьютерной сети, например на съёмном > носителе и доступен только в рабочее время. Ключ авторизации должен быть > доступен > серверу. Работать с БД могут любые приложения. Реализация на уровен сервера этого сценария не имеет плюсов по сравнению с использованием внешних средст шифрования. Однако если упираться рогом, то можно реализовать :-) > в) То же, что и (б), но с ограниченным набором приложений, могущих работать с > БД > > Полноценный сервер + криптоплагин. > Ключ авторизации находится во вне компьютерной сети, например на съёмном > носителе и доступен только в рабочее время. Криптоплагин должен быть доступен > 'своим' приложениям. Ключ авторизации также должен быть доступен этим > приложениям. Каким образом задача ограничения доступа только своим приложениям связана с задачей шифрования БД. Это две отдельные задачи. > Варинты от Олега: > а) Yaffil + шифрование > б) базу на шифрованный диск > в) базу на шифрованный диск + ? сервер + шифрование по dpb. Если нет перехвата сетевого трафика то ключ может прочто быть внутри приложения, зачем что-то городить ещё? > г) монолитный Yaffil + шифрование + приложение > д) базу на шифрованный диск > е) базу на шифрованный диск + ? сервер + шифрование по пользовательскому алгоритму. Ключ запрашивается сервером хоть с луны, хоть прошивается. > Итого - вариант Олега требует внешних средств (пусть даже очень простых в > работе) > в не embedded случаях и не даёт решения, когда нужно ограничить круг > приложений, > которым разрешено работать с БД Можно узнать почему не даёт, если только приложения знает какой ключ передавать в dpb?
