Есть офисный компьютер с установленным на нем win98 (по ряду причин стоять должна именно эта система), нужно сделать так, чтобы ряд папок и программ (типа черной бухгалтерии и т.п.) был виден только для администратора, и совершенно недоступен налоговым и проч. силовым органам.
Желательно ипользовать достаточно криптостойкий алгоритм типа RSA (что, впрочем, вероятно, сложно ввиду больших задержек вычислений). Может сойти DES, вероятно.
Интересно, есть готовый пакет, отвечающий поставленным требованиям?
Не спец в криптографии, но эти самые спецы в свое время выражали сомнение по поводу полной защищенности подобных систем. Сейчас может быть что-то поменялось.
В одной из фирм, с которыми тогда контактировал, применялся следующий алгоритм. База данных черной бухгалтерии была на съемном носителе (магнитооптика или зипдискета, уже не помню). Использовались две дискеты, днем одна была в компе, другая у директора в безопасном месте. На ночь дискета из компа также изымалась в безопасное место. Физический доступ в комнату бухгалтерии был намертво ограничен. В случае опасности главбух был обязан вынуть базу на съемном носителе и расшарашить его шпильками своих туфелек. Можно использовать съемный винт, только уничтожить его будет сложнее.
В ответ на: Не спец в криптографии, но эти самые спецы в свое время выражали сомнение по поводу полной защищенности подобных систем. Сейчас может быть что-то поменялось.
В одной из фирм, с которыми тогда контактировал, применялся следующий алгоритм. База данных черной бухгалтерии была на съемном носителе (магнитооптика или зипдискета, уже не помню). Использовались две дискеты, днем одна была в компе, другая у директора в безопасном месте.
Заказчик - вполне чайник, потому для него будет достаточно проблемно ставить/снимать какую-либо магнитооптику, железо там и т.п. Ввести код - куда как проще.
Насчет стойкости шифра. Я знаком с математическими основами криптографии и могу высказаться так: здесь ведь все зависит от ценности инфы на диске. У нас ведь не фирма Юкос - а значит и тратить пару-тройку лет на взом базы силовики не станут. Но вот после того, как у его коллег неделю назад фискалы изъяли компьютеры с вполне незащищенной черной бухалтерией, появился повод задуматься об безопасности на таком вот уровне.
Были вполне жизнеспособные реализации алгоритма DES, встраиваемые в оутлук. Вот и хотелось бы что нить, что позволяет работать с папками виндафса. Должно быть.
Эх... может самому заняться и написать код... Глядишь, денег заработаю. Дайте грант на такой вот проект.
не знаю, будет ли работать под Вин 98, но есть такая приблуда:
В ответ на: программа WinGuard позволяющая заблокировать при помощи пароля доступ к любым программам, окнам или файлам, находящимся на вашем компьютере. Вы сможете установить защиту практически на каждый элемент операционной системы, в том числе на рабочий стол, Мой Компьютер, закрыть доступ в интернет, запретить установку/удаление программного обеспечения, заблокировать панель управления, Windows и Internet Explorer или полностью "усыпить" компьютер. Кроме того, программа обладает очень простым интерфейсом.
Пробовал я пользовать подобную прогу, фигня это. Исключаеш ее из списка автозагрузки - и папка уже без пароля. Для более-менее опытного юзверя это просто, как угол дома.
все документы на диск Д так кстати всегда надо делать там делаешь папку - нужное папку шифруется - делается виртуальным диском - Е например чтоб работать с этим диском нужен пароль взломать 128битный - очень тяжело... год/два
Никакой технической сложности в этом варианте нет. Вставить-вынуть. Это чисто организационный вариант, просто требующий определенной "производственной дисциплины" на фирме. И надежность его высока. Зная наших бухгалтеров , могу сказать, что заветный суперкод будет написан на стикере, прилепленном к монитору или для надежности просто записан карандашом прямо на его корпусе (сам видел).
Я тут, важничая, позволю себе поразмышлять на тему минимальных требований, предъявляемых к такой криптосистеме:
1. Система должна корректно взаимодействовать с интерфейсом виндафса, не позволяя ему скопировать заветный код в одну из недокументированных системных переменных. [Виндафс вообще вещь загадочная: кое-кто, возможно, помнит скандал, произошедший в министерстве обороны США, когда их аналитики обнаружили в протоколах виндафса команду, позволяющую спецслужбам (ФБР и т.п.) пользоваться удаленным компьютером, как своим. Это была, конечно, не случайная дыра: Билл Гей… тсс… исполнил ее по заказу спецслужб. А тогда все Минобороны работало на винде.]
2. Система должна работать только с физической памятью, не позволяя свопить какие либо ее фрагменты. Интересно, как быть в этом случае с винвордом и прочими программами? Куда они будет делать, например, бэкап и свопиться?
3. Пожалуй, со свойством “два”, возникнут проблемы.
В ответ на: Зная наших бухгалтеров , могу сказать, что заветный суперкод будет написан на стикере, прилепленном к монитору или для надежности просто записан карандашом прямо на его корпусе (сам видел).
Так а премия на что? Я полагаю, для того, чтоб лишить ее нерадивого бухалтера, замеченного за таким безобразием.
Слышал я страшные истории .. типа сидит охранник с пистолетом возле сервера, а на сервере нарисован крестик, в который надо выстрелить, чтобы убить винт в случае шухера.
ваще-то безопасность - это комплексный вопрос. Ограничение доступа - один из не самых главных пунктов, т.к. он не может дать никаких гарантий. Если конктретный наезд, и стоит задача чего-то нарыть - нароют по-любому. Где гарантия, что девочка-бухгалтер, которая не пишет пароль на мониторе не расколется на допросе? В конце концов, она просто может дать показания, которых достаточно для.. Я бы не рекомендовал не связываться с шифрами и паролями. Тут сразу вывешивается флаг "мы тут что-то прячем!!!". Лучше не показывать. Съемный носитель - хороший вариант. Винт на салазках - как это называется ? 10 баксов цена вопроса.. Сервер/или просто комп в отдельном "чужом" помещении, без проводов можно сделать.. В любой бд можно сделать интерфейс с "частичной видимостью" + ряд хитростей, чтобы увидеть всё... Но это бесконечная тема..
http://www.strongdisk.ru Создает шифрованный файл, который при вставленном ключевом носителе и пароле появляется в виде отдельного диска. Кстати, удобно бэкапить на случай чего.