Главная » Участники » Александр Додохов » Последние комментарии
Последние комментарии Александр Додохов
11 31
Россияне придумали, как обезопаситься от СУБД Oracle, MS SQL и Tibero без импортозамещения - CNews

Компания «Аладдин Р. Д.» предложила вместо импортозамещения СУБД использовать свое новое решение, которое полностью изолирует содержание данных от зарубежных систем, которые этими данными управляют.

0 1
Александр Додохов написал

TeodorSeven написал 29.05.2017 14:41

Александр Додохов написал 29.05.2017 12:43

Основная задача этого ПО - защита информации от утечек. И даже "российскийвтомчисле" postgres от них не застрахован.

Основная задача этого ПО - подзаработать на модной теме. Повторюсь, задачу импортозамещения это ПО тормозит.Защита от утечек осуществляется совсем другими средствами.Прочтите Вики "импортозамещение". Про секретность данных там не говорится. Импортозамещение - это на 99% экономическая мера защиты и развития своей экономики."Страны с достаточно большим внутренним рынком могут переориентироваться на внутренний спрос для того, чтобы за счет увеличения расходов домашних хозяйств компенсировать сокращение экспортного спроса".Короче говоря, хорош кормить иностранцев. Работать на себя и для себя.

Задачи безопасности всегда были "модной" темой. И импортозамещение как тема выросла в том числе на потенциальных угрозах от импортного ПО. На cnews, надеюсь, основная тема не импортная колбаса. Ну и будем следовать Вашему совету насчёт работы :)
0 1
Александр Додохов написал

Пугачев Николай написал 29.05.2017 13:52

Александр Додохов написал 29.05.2017 12:53

Манни Девис написал 29.05.2017 12:44

Александр Додохов написал 29.05.2017 12:08

Манни Девис написал 29.05.2017 02:04

Дело не только в выборках. Есть ведь еще обеспечение целостности данных - это когда СУБД не дает, допустим, списать сумму с пустого счета. Очевидно, она это может только, если открыто видит номер счета/владельца. И обеспечение целостности - дело ядра сервера, а не клиентской сессии.Как же это обходится средствами Аладдина?

Странное у Вас представление о задачах ядра сервера. Что-то подсказывает, что ядро субд совсем не догадывается, что некий набор байтов - это номер счёта. И уж тем более ему всё равно пустой он или ещё что-то. Вы путаете задачи системного и прикладного софта.

Да я сам удивляюсь как такой "предметный" функционал перекладывается на ядро СУБД, но тем не менее вот статья где прямо про это говорится: http://citforum.ru/database/dblearn/dblearn09.shtmlИли тут http://www.codenet.ru/db/sql/003.php про триггеры.

Почитал. Познавательно :)Однако к задачам ядра СУБД никакого отношения это не имеет. И там и там - задачи прикладного ПО.

Тогда что вы относите к задачам ядра СУБД?Уж не сохранение ли записей на диск и чтение их оттуда? :)

Да. А также sql-движок, оптимизатор, работа с сетью, бэкап/восстановление и еще много чего. Поставьте Oracle с нуля. Много там информации о счетах обнаружите? :)
0 0
Александр Додохов написал

Манни Девис написал 29.05.2017 12:44

Александр Додохов написал 29.05.2017 12:08

Манни Девис написал 29.05.2017 02:04

Дело не только в выборках. Есть ведь еще обеспечение целостности данных - это когда СУБД не дает, допустим, списать сумму с пустого счета. Очевидно, она это может только, если открыто видит номер счета/владельца. И обеспечение целостности - дело ядра сервера, а не клиентской сессии.Как же это обходится средствами Аладдина?

Странное у Вас представление о задачах ядра сервера. Что-то подсказывает, что ядро субд совсем не догадывается, что некий набор байтов - это номер счёта. И уж тем более ему всё равно пустой он или ещё что-то. Вы путаете задачи системного и прикладного софта.

Да я сам удивляюсь как такой "предметный" функционал перекладывается на ядро СУБД, но тем не менее вот статья где прямо про это говорится: http://citforum.ru/database/dblearn/dblearn09.shtmlИли тут http://www.codenet.ru/db/sql/003.php про триггеры.

Почитал. Познавательно :)Однако к задачам ядра СУБД никакого отношения это не имеет. И там и там - задачи прикладного ПО.
0 1
Александр Додохов написал

TeodorSeven написал 29.05.2017 12:25

Алладин работает против импортозамещения. Для охраны данных есть специальные более эффективные методы. А вот экономическую составляющую (уход от зависимости) эта уловка не решает, а, наоборот, распространяет на неопределенный срок.В статье свалили в одну кучу MS, Oracle и Postgress. Последний, хоть и американский по происхождению, всё же интернациональный. И российский в том числе. Так что не надо мазать всех одним ... колером.Тормозов эти костыли добавят, настройку СУБД усложнят, глюков поднасыпят, импортозамещение задержат.

Основная задача этого ПО - защита информации от утечек. И даже "российскийвтомчисле" postgres от них не застрахован.
0 0
Александр Додохов написал

azteca написал 29.05.2017 09:14

Любая более менее серьезная БД стоит отдельно без выхода в интернет, с очень ограниченным доступом по локальной сети, для этого там как минимум есть 2 специальных человека АБД и сисадмин, которые следят , что бы ничего не передалось наружу лишнего , то что не должно, и удаленно ничего нельзя было сделать с системой. Рostgresql вообще с открытым кодом, там все прозрачно, много разработччиков находится в России. Если импортозамещение, так импортозамещение, зачем эта профонация

Всё верно, кроме "профОнации" :) Утечки информации - дело рук не только злобных империалистов, но и вполне наших сисадминов. На них тоже ориентирована такая защита.
0 1
Александр Додохов написал

Манни Девис написал 29.05.2017 02:04

Пугачев Николай написал 29.05.2017 00:57

Просто интересно понять как база будет работать с выборками данных по условиям, содержащим строки.Если СУБД видит только зашифрованные строки, то такие выборки станут диким трешем и СУБД проще выкинуть. Если СУБД видит расшифрованные строки и может их использовать в индексах - то в чем тогда польза от софта Аладдина?

Дело не только в выборках. Есть ведь еще обеспечение целостности данных - это когда СУБД не дает, допустим, списать сумму с пустого счета. Очевидно, она это может только, если открыто видит номер счета/владельца. И обеспечение целостности - дело ядра сервера, а не клиентской сессии.Как же это обходится средствами Аладдина?

Странное у Вас представление о задачах ядра сервера. Что-то подсказывает, что ядро субд совсем не догадывается, что некий набор байтов - это номер счёта. И уж тем более ему всё равно пустой он или ещё что-то. Вы путаете задачи системного и прикладного софта.
0 0
Александр Додохов написал

Пугачев Николай написал 29.05.2017 00:57

Мухамед написал 29.05.2017 00:09

IvanAndTchuka написал 28.05.2017 20:59

Александр Додохов написал 28.05.2017 18:44

Для авторизованного пользователя - да, в открытом.p.s. В Вашем запросе синтаксическая ошибка :)

Вот и все: как только пользователь авторизовался СУБД Oracle или еще что-то работает и информацией в открытом виде и при желании отправляет ее куда хочет. Т.о. речь идет о защите данных на внешнем носителе, а не от импортной СУБД. Спасибо.

Наивно думать что вам тут откроют все секреты!!!P.s. "Может вам ключи дать ,от квартиры,где..."

Да не нужны никакие секреты.Просто интересно понять как база будет работать с выборками данных по условиям, содержащим строки.Если СУБД видит только зашифрованные строки, то такие выборки станут диким трешем и СУБД проще выкинуть. Если СУБД видит расшифрованные строки и может их использовать в индексах - то в чем тогда польза от софта Аладдина?

Про индексы отвечал выше. Системы (в т.ч. гос. масштаба) работают, полёт нормальный.
0 3
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 20:59

Александр Додохов написал 28.05.2017 18:44

Для авторизованного пользователя - да, в открытом.p.s. В Вашем запросе синтаксическая ошибка :)

Вот и все: как только пользователь авторизовался СУБД Oracle или еще что-то работает и информацией в открытом виде и при желании отправляет ее куда хочет. Т.о. речь идет о защите данных на внешнем носителе, а не от импортной СУБД. Спасибо.

Суждение ошибочное, но - пожалуйста. Понимаю, что аналогия - не доказательство, но тем не менее. Ваше суждение сродни такому: пользователь предъявил ключ, получил данные, списал на бумажку и передал в Oracle ;)
0 1
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 18:41

Александр Додохов написал 28.05.2017 16:14

Если Вы имели в виду диверсификацию ключа шифрования, предусмотренную работой алгоритма, то да. Повторю, реализация шифрования и защиты ключей реализованы в полном соответствии с ГОСТ'ами и рекомендациями ТК-26.select "ФИО" from "таблица" where substr("ФИО",1,1) between 'З' and 'П' order by "ФИО" - Вы это хотели увидеть?

Т.е. если выбрать всех Петровых, то это будет выглядеть как-то так:select "ФИО" from "таблица" where substr("ФИО",1,6) between 'Петров' order by "ФИО"Т.е. доступ в открытом виде!

Для авторизованного пользователя - да, в открытом.p.s. В Вашем запросе синтаксическая ошибка :)
0 3
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 15:55

З и П - это первые буквы ФИО. Интересно как это поиск ведется "зашифрованным данным идет по доменным индексам, не содержащим незашифрованных данных"? А как же диверсификация ключей шифрования?Так что с примером?

Если Вы имели в виду диверсификацию ключа шифрования, предусмотренную работой алгоритма, то да. Повторю, реализация шифрования и защиты ключей реализованы в полном соответствии с ГОСТ'ами и рекомендациями ТК-26.select "ФИО" from "таблица" where substr("ФИО",1,1) between 'З' and 'П' order by "ФИО" - Вы это хотели увидеть?
0 1
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 15:31

[quote id="279034" name="Александр Додохов" ]Чудеса бывают :) Но это не новая субд, о а СЗИ, работающее на уровне приложения, о чём, собственно, в статье и говорилось. Для ДСЧ - соболь/аккорд.

А СУБД-то где работает? СЗИ на уровне приложения и расшифровывает (т.е. СКЗИ все же) (алгоритм Кузнечик, Магма или 28147?). А куда передаетрасшифрованные данные?Это как СУБД манипулирует зашифрованными данными? А ключи как же (имеются ввиду не ключи шифрования)? И так, имеется простая БД: ФИО и возраст. Ключ - ФИО. Как сделать выборку людей с ФИО от З до П в обратном порядке без участия СУБД!

Очевидно, субд работает на сервере. СЗИ на уровне приложения занимается шифрованием, работой с ключами шифрования. Очевидно опять таки, что данные передаются приложению на клиенте (хотя физически это м.б. и сервер). Манипулирует == управляет, т.к. субд - это система управления :) Алгоритмы ГОСТы 89 и 2015, реализованы для всех режимов. Есть также варианты белорусской и казахстанской криптографии и des/3des/aes. Поиск по зашифрованным данным идет по доменным индексам, не содержащим незашифрованных данных. Про "З" и "П" не совсем понял, что имеется в виду.
0 1
Александр Додохов написал

Чукча из чума написал 28.05.2017 13:43

Александр Додохов написал 28.05.2017 13:06

Чукча из чума написал 28.05.2017 12:45

Хм, а просто диск зашифровать - не тоже самое получится?

Не то же. Если зашифрован диск, то все кто имеет доступ в БД получат расшифрованную информацию. В рассматриваемом случае доступ будет только у клиента, имеющего ключ шифрования.

Это про какой-то мягко говоря странный случай Вы рассказываете. Стоит сервер, все, кому не лень, имеют доступ к СУБД и диску, про ACL сисадмин там и не слышал.

Ничего странного. Сложно представить приложение, получающее зашифрованную строку, предъявляющее ключ шифрования, расшифровывающее/зашифровывающее информацию? И базу, которая манипулирует зашифрованными строками?
0 0
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 13:51

Александр Додохов написал 28.05.2017 12:24

После расшифрования с ними работает клиентское приложение, которое их запрашивало.

Т.е. СУБД здесь никак не участвует и вы сделали новую СУБД аля «Аладдин Р. Д.». Круто, Oracle, MS SQL, Tibero (корейский аналог Oracle) и PostgreSQL, кто там еще, отдыхают и еще КС3. Бывают чудеса.А какой датчик для КС2 используете?

Чудеса бывают :) Но это не новая субд, о а СЗИ, работающее на уровне приложения, о чём, собственно, в статье и говорилось. Для ДСЧ - соболь/аккорд.
0 0
Александр Додохов написал

Чукча из чума написал 28.05.2017 12:45

Хм, а просто диск зашифровать - не тоже самое получится?

Не то же. Если зашифрован диск, то все кто имеет доступ в БД получат расшифрованную информацию. В рассматриваемом случае доступ будет только у клиента, имеющего ключ шифрования.
0 2
Александр Додохов написал

IvanAndTchuka написал 28.05.2017 09:33

Александр Додохов написал 27.05.2017 22:06

СУБД ничего не запрашивает. Пользователь работает с расшифрованием в своем сеансе, не в сеансе сервера. В этом основное отличие от встроенных механизмов шифрования СУБД.

А после вашего расшифрования кто или что с данными работает? Уж не СУБД ли?

После расшифрования с ними работает клиентское приложение, которое их запрашивало.
0 1
Александр Додохов написал

IvanAndTchuka написал 27.05.2017 20:22

Александр Додохов написал 27.05.2017 18:48

В субд всея информация зашифрована. Расшифровывается в процессе работы пользователя, имеющего ключ шифрования.

Ключ - это хорошо. Вот именно, в СУБД, то бишь на внешнем носителе, информация хранится зашифрованная. А в процессе работы не пользователя (он только сидит за компьютером и клавиши нажимает как я сейчас, да еще введет ключ для расшифровки, который запросит СУБД, то бишь Oracle), а СУБД, вся информация обрабатывается СУБД в открытом виде.Так что вы защищаете информацию, которая хранится на диске. Если его уведут, то доступа в информации не получат.Но СУБД Oracle может забрать ключ при первом же его вводе.

СУБД ничего не запрашивает. Пользователь работает с расшифрованием в своем сеансе, не в сеансе сервера. В этом основное отличие от встроенных механизмов шифрования СУБД.
1 1
Александр Додохов написал
В субд всея информация зашифрована. Расшифровывается в процессе работы пользователя, имеющего ключ шифрования.
0 1
Александр Додохов написал
4 Prostoysoft. Средство защиты - наложенное, работает на прикладном уровне. С чего бы Oracle/Microsioft опасаться нарушения лицензии?
RU,
---