Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SergeyUko  
#1 Оставлено : 27 января 2021 г. 18:25:06(UTC)
SergeyUko

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.01.2021(UTC)
Сообщений: 1

Сказал(а) «Спасибо»: 2 раз
Задача следующая: нам, как ИТ отделу нужно обеспечить шифрование данных, которыми обмениваются наши бизнес-подразделения через ФТП папки.
То есть, наше подразделение А создаёт задание для подразделения Б: набор файлов. После этого шифрует эти файлы ключом.

Подразделение Б скачивает файлы, расшифровывает, обрабатывает и выкладывает зашифрованные результаты на ФТП папку.
Результаты обработки скачивают подразделения А, С, Д и так далее.

Если мы, как ИТ отдел - выпустим ключ шифрования сроком на 1 год, то через год мы получим на ФТП папке набор зашифрованных файлов.
Если ключ шифрования силу утратит, то расшифровать мы их уже не сможем. Данные, которые были выложены через (год - один день) после выпуска ключа, через (год + один день) - расшифровать уже не получится?

Вопрос:
как организовать обмен данными и шифрование, чтоюбы иметь доступ к ним независимо от сроков действия ключей, которыми мы их шифруем?

Если есть ссылка на понятную инструкцию - поделитесь, пожалуйста.
Заранее благодарю за ответ.
Offline Санчир Момолдаев  
#2 Оставлено : 27 января 2021 г. 20:06:11(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 579
Российская Федерация

Сказал(а) «Спасибо»: 58 раз
Поблагодарили: 101 раз в 99 постах
Добрый день!
Расшифровать после истечения срока действия зк можно.
Главное чтобы ключи не были удалены.
Попробуйте к примеру после перевода времени расшифровать через cryptcp
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
SergeyUko оставлено 28.01.2021(UTC)
Offline two_oceans  
#3 Оставлено : 28 января 2021 г. 6:54:10(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,162
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 265 раз в 249 постах
Добрый день.
Также нужно учесть особенность алгоритмов гост, если требование шифровать гостом. Особенность заключается в том, что алгоритм гост-89 симметричный, то есть и ключ шифрования тоже симметричный и есть проблема передачи его по открытым каналам связи. Плюс потенциальная возможность варьировать список получателей, у которых есть доступ к данным.
Короче: Вы пытаетесь изобрести велосипед. Все это уже учтено в "схеме обмена ключами" ГОСТ, надо только посмотреть на схему под углом Вашей задачи.

Суть схемы кратко:
Любой кто имеет доступ может сделать еще вариант зашифрованного сессионного ключа на какую-то новую ключевую пару (свою новую пару, например), но тогда уже сделавший копию будет считаться "отправителем".

Перед окончанием срока использования закрытого ключа можно просто перешифровать все зашифрованные сессионные ключи получателя на новую ключевую пару. Это может сделать как получатель, так и отправитель. Сам сессионный ключ нет необходимости менять часто и данные можно не перешифровать. В типовом виде, как в утилите - результат хранится в одном файле, но возможно для замены Вам будет удобнее на FTP хранить "россыпью" - отдельно зашифрованные данные и отдельно ключи.

Для размышления: интересен вариант с первоначальной отправкой подразделением зашифрованных данных (плюс зашифрованный список рассылки), указав получателем сертификат центральной информационной системы (ИТ-отдела ?), а далее центральная ИС может уже выступить "отправителем" и сделать по списку рассылки доступ остальным подразделениям (создать зашифрованные сессионные ключи на сертификаты "получателей"). В этом случае раздача доступа будет централизована и замена ключей легко поддается автоматизации, а при необходимости можно добавить получателей или наоборот удалить. Подразделениям не понадобятся сертификаты всех подразделений, только сертификат центральной ИС. Минус: есть значительные риски при компрометации закрытого ключа центральной ИС (этакого суперключа).

Есть еще вариант шифрования на эфемерной ключевой паре (без постоянной ключевой пары "отправителя" и сертификата "отправителя"), но если собираетесь перешифровать ключи через год - он не подойдет.

Соответственно при расшифровке:

thanks 1 пользователь поблагодарил two_oceans за этот пост.
SergeyUko оставлено 28.01.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.