IT в России и мире в реалиях мирового кризиса

1,267,865 7,775
 

gvf
 
51 год
Слушатель
Карма: +13.20
Регистрация: 06.03.2012
Сообщений: 10,474
Читатели: 12
Цитата: ivan2 от 06.01.2023 13:09:20. По требованиям ФСБ и МО недопустимо объединять в единую систему сегменты  разным уровнем безопасности

зачем?
кто сказал что они должны быть шифрованы одни и тем же шифром и иметь те же параметры доступа несмотря на совместное хранение в одной логической базе?
Цитата: ivan2 от 06.01.2023 13:09:20Надо уничтожать диски, да хоть стреляйте в них, хоть в кислоте растворяйте.

ваще не об этом.
Протоколы безопасности - кто где лежит и как шифруется, у кого ключи и как хранятся, разрабатывают под специфику. Специфика поменялась.
--
Смысл протоколов безопасносьи это единый комплекс - систем шифрования и правил обращения которые должны парировать риски.
Риски изменились, средства технические изменились.
Отредактировано: gvf - 06 янв 2023 13:59:27
  • +0.04 / 2
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: gvf от 06.01.2023 13:57:12зачем?
кто сказал что они должны быть шифрованы одни и тем же шифром и иметь те же параметры доступа несмотря на совместное хранение в одной логической базе?

ваще не об этом.
Протоколы безопасности - кто где лежит и как шифруется, у кого ключи и как хранятся, разрабатывают под специфику. Специфика поменялась.
--
Смысл протоколов безопасносьи это единый комплекс - систем шифрования и правил обращения которые должны парировать риски.
Риски изменились, средства технические изменились.

Не надо наивной чукоткости.
Должна быть разработана модель нарушителя. Нельзя объединять системы с разными моделями нарушителей.
Должны быть модели защиты,...Нельзя объединять системы с разными...
Нет никаких "систем шифрования и правил обращения которые должны парировать риски.".
Нам нужен мир!
Желательно весь.
  • +0.04 / 2
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: ivan2 от 06.01.2023 12:51:23Есть ещё фишка. Удалённое хранение в зашифрованном виде. Вы можете сделать распределённую БД, но извольте в зашифрованном виде. Казалось бы нет проблем. Но они есть.
Первая проблема- регулярная смена ключевых документов, и, как следствие, перешифрование как самих удалённых кусков БД, так и удалённо хранящихся бэкапов.

А в чем такая уж проблема? Делайте бэкап с другим ключом, чисто для бэкапов.
Для параноиков - с двумя половинками ключа у разных людей, каждый из которых смотрит чтоб второй именно бэкапом занимался, а не рылся в базе на предмет интересного.

ЦитатаПри компрометации ключа всё, что зашифровано этим ключом должно быть уничтожено как недоверенное.

С какой стати? Вы так можете получить результат, что у противника ваша информация есть, а у вас самого - нет.
Отредактировано: Luddit - 06 янв 2023 23:46:40
  • +0.11 / 5
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:43:39А в чем такая уж проблема? Делайте бэкап с другим ключом, чисто для бэкапов.
Для параноиков - с двумя половинками ключа у разных людей, каждый из которых смотрит чтоб второй именно бэкапом занимался, а не рылся в базе на предмет интересного.

И как это решает проблему перешифрования по календарю, или уничтожения при компрометации?
Нам нужен мир!
Желательно весь.
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:43:39Цитата
ЦитатаПри компрометации ключа всё, что зашифровано этим ключом должно быть уничтожено как недоверенное.

С какой стати? Вы так можете получить результат, что у противника ваша информация есть, а у вас самого - нет.

Несогласны, на ТБМ с пляжа.
Много таких видали.
Есть перечень требований. Если Вы устали их соблюдать даже не начав, то про пляж я уже Вам сказал.
Нам нужен мир!
Желательно весь.
  • -0.02 / 1
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: ivan2 от 06.01.2023 23:49:19И как это решает проблему перешифрования по календарю, или уничтожения при компрометации?

1 - вы восстанавливаете базу с бэкапным ключом и тут же зашифровываете её тем ключом, который нужен.
2 - если на момент бэкапа ключ не был скомпрометирован, то информация в бэкапе никакому чужому воздействию не подвергалась. Собственно это как раз то, для чего бэкап может пригодиться. Если же был, то возвращаемся к вопросу что там за информация. Возвращаясь к примеру с телефонным справочником - вам сильно поможет его уничтожение?
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:56:121 - вы восстанавливаете базу с бэкапным ключом и тут же зашифровываете её тем ключом, который нужен.
2 - если на момент бэкапа ключ не был скомпрометирован, то информация в бэкапе никакому чужому воздействию не подвергалась. Собственно это как раз то, для чего бэкап может пригодиться. Если же был, то возвращаемся к вопросу что там за информация. Возвращаясь к примеру с телефонным справочником - вам сильно поможет его уничтожение?

Как Вы быстро думаете. Я даже удивляюсь.
Ну ка удалённо перешифруйте бекап... Слабо?
Не включайте дурака. Вам надо назад закачать бэкап, расшифровать, зашифровать и обратно вперёд закачать.
Нам нужен мир!
Желательно весь.
  • -0.02 / 1
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:59:48Мне доводилось оппонировать разработчикам требований. И пусть со скрипом, но возвращать их на грешную землю в некоторых аспектах.

Можно в некоторых случаях достичь компромисса.
ФСО в обход ЗАС сдаёт телефонные каналы буквально с уличных телефонных автоматов в нужных случаях.
Но что позволено Юпитеру, непозволено коню.
Нам нужен мир!
Желательно весь.
  • +0.01 / 1
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: ivan2 от 07.01.2023 00:02:02Как Вы быстро думаете. Я даже удивляюсь.
Ну ка удалённо перешифруйте бекап... Слабо?
Не включайте дурака. Вам надо назад закачать бэкап, расшифровать, зашифровать и обратно вперёд закачать.

Накуя вам удалённо перешифровывать бэкап, если его ключ в порядке?
Если же не в порядке именно его ключ, то сделайте новый бэкап с новым ключом.
Если же вы проипли оба ключа, то вы редкостный долбоёпп.
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:59:48Мне доводилось оппонировать разработчикам требований. И пусть со скрипом, но возвращать их на грешную землю в некоторых аспектах.

Я понимаю, что предписание на эксплуатацию секретное.
Но вот поклянитесь, что честно выполнили все требования. а не сблюднули, ка это обычно делается.
Нам нужен мир!
Желательно весь.
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 07.01.2023 00:11:35Накуя вам удалённо перешифровывать бэкап, если его ключ в порядке?
Если же не в порядке именно его ключ, то сделайте новый бэкап с новым ключом.
Если же вы проипли оба ключа, то вы редкостный долбоёпп.

Вы не понимаете.
Запрещено проверять удалённо. Т.е. не запрещено, но тогда это должен быть Ваш домен безопасности, тот админ безопасности должен подчинятся Вашему админу, а зарплату тому директору должен платить Ваш директор. Понимаете?
Нам нужен мир!
Желательно весь.
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:59:48Мне доводилось оппонировать разработчикам требований. И пусть со скрипом, но возвращать их на грешную землю в некоторых аспектах.

Как изменились требования под Вашим давлением?
Нам нужен мир!
Желательно весь.
  • +0.00 / 0
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: ivan2 от 07.01.2023 00:20:04Вы не понимаете.
Запрещено проверять удалённо. Т.е. не запрещено, но тогда это должен быть Ваш домен безопасности, тот админ безопасности должен подчинятся Вашему админу, а зарплату тому директору должен платить Ваш директор. Понимаете?

Ну во-первых никто не обещал экономию на зарплатах.
Во вторых непонятно, кто вам мешает хранить бэкапы удаленно, а шифровку-дешифровку проводить у себя в обоих случаях.
  • +0.00 / 0
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:59:48Мне доводилось оппонировать разработчикам требований. И пусть со скрипом, но возвращать их на грешную землю в некоторых аспектах.

Да видали таких, которые "плавали, знаем". В итоге всё сведётся к схеме шифрованной связи (секретной, или СС) и там всё становится понятно.
Нам нужен мир!
Желательно весь.
  • -0.02 / 1
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 07.01.2023 00:29:11Ну во-первых никто не обещал экономию на зарплатах.
Во вторых непонятно, кто вам мешает хранить бэкапы удаленно, а шифровку-дешифровку проводить у себя в обоих случаях.

Так я про это и говорю. Вам нужно вернуть себе бекап, расшифровать, убедится что порядок, изменить бекап, зашифровать новым ключом, и отправить на хранение в даль.
Если ключ был скомпрометирован, то Вы должны этот бэкап уничтожить, закачать другой бэкеп, который был зашифрован другим, нескомпрометированным ключом и дальше баян поновый.
Если истёк срок действия ключа, вы должны вернуть себе бекап, расшифровать, зашифровать новым ключом и отправить на хранение в даль.
Отредактировано: ivan2 - 07 янв 2023 00:42:55
Нам нужен мир!
Желательно весь.
  • +0.03 / 1
ivan2
 
russia
Санкт-Петербург
63 года
Слушатель
Карма: +8.60
Регистрация: 16.11.2008
Сообщений: 8,825
Читатели: 1
Цитата: Luddit от 06.01.2023 23:56:121 - вы восстанавливаете базу с бэкапным ключом и тут же зашифровываете её тем ключом, который нужен.
2 - если на момент бэкапа ключ не был скомпрометирован, то информация в бэкапе никакому чужому воздействию не подвергалась. Собственно это как раз то, для чего бэкап может пригодиться. Если же был, то возвращаемся к вопросу что там за информация. Возвращаясь к примеру с телефонным справочником - вам сильно поможет его уничтожение?

Не был скомпрометирован, значит порядок. Сгоняли базу туда сюда. Расшифровали перешифровали. Всего делов.
ФСБ говорит - компрометация = Уничтожать. Ибо принцип ГАРАНТИИ, а не вероятности.
Нам нужен мир!
Желательно весь.
  • +0.01 / 1
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: ivan2 от 07.01.2023 00:54:25компрометация = Уничтожать

Уничтожать надо объекты, зашифрованные скомпрометированным ключом. А не информацию из этих объектов.
Тогда тот, кто заполучил ключ, останется без информации - потому что ключ некуда воткнуть.
А вы останетесь с информацией, потому что повесили на сарай другой замок.
Вы же вместо этого хотите спалить сарай.
Отредактировано: Luddit - 07 янв 2023 09:02:10
  • +0.04 / 3
avb
 
russia
Нижний Тагил
Слушатель
Карма: +3.18
Регистрация: 27.02.2008
Сообщений: 630
Читатели: 0
Цитата: Luddit от 07.01.2023 08:57:42Уничтожать надо объекты, зашифрованные скомпрометированным ключом. А не информацию из этих объектов.
Тогда тот, кто заполучил ключ, останется без информации - потому что ключ некуда воткнуть.
А вы останетесь с информацией, потому что повесили на сарай другой замок.
Вы же вместо этого хотите спалить сарай.

Так нет же. Он будет работать с предыдущей версией сарая
  • +0.01 / 1
Luddit
 
Слушатель
Карма: +86.33
Регистрация: 27.09.2008
Сообщений: 22,849
Читатели: 2
Цитата: avb от 07.01.2023 11:08:15Так нет же. Он будет работать с предыдущей версией сарая

Аналогия с сараем не во всех аспектах перекладывается на IT.
Если уж так хочется - у вас есть два полупустых сарая с разными замками. От одного сарая ваша тёща потеряла ключ, поэтому вы первым делом идете и перетаскиваете её любимую газонокосилку в другой  сарай, а в следующие выходные едете на ярмарку в совсем другой город, где вас никто в лицо не знает, чтобы купить новый замок.
  • +0.00 / 0
avb
 
russia
Нижний Тагил
Слушатель
Карма: +3.18
Регистрация: 27.02.2008
Сообщений: 630
Читатели: 0
Цитата: Luddit от 07.01.2023 13:27:49Аналогия с сараем не во всех аспектах перекладывается на IT.

Конечно! Улыбающийся
Цитата: Luddit от 07.01.2023 13:27:49Если уж так хочется - у вас есть два полупустых сарая с разными замками. От одного сарая ваша тёща потеряла ключ, поэтому вы первым делом идете и перетаскиваете её любимую газонокосилку в другой  сарай, а в следующие выходные едете на ярмарку в совсем другой город, где вас никто в лицо не знает, чтобы купить новый замок.

Ну и Вы неправильно аналогию провели Веселый.
Я не перетаскиваю любимую газонокосилку тещи в другой сарай, а взрываю этот сарай вместе с газонокосилкой!
И беру газонокосилку из предыдущего сарая, ключ от которого не был скомпрометирован. 
Смеющийся
  • +0.00 / 0
Сейчас на ветке: 7, Модераторов: 0, Пользователей: 0, Гостей: 2, Ботов: 5