Облачный «диск» защищает файлы фрагментацией и дактилоскопией

Чтобы обеспечить более надежную защиту по сравнению с обычными паролями, Bundesdruckerei предлагает систему дактилоскопической аутентификации на основе смарт-карт GoID


11:30 10.04.2017   |   22446 |  Питер Сойер |  Служба новостей IDG

Рубрика Технологии



Сервис Bdrive, предлагаемый компанией Bundesdruckerei, шифрует данные клиентов и распределяет их между несколькими публичными облачными сервисами хранения.

Компания Bundesdruckerei представила на прошедшей в Ганновере выставке CeBIT облачные сервисы аутентификации и хранения данных, предлагающие защитные механизмы повышенной надежности.

Bundesdruckerei — полиграфическая компания с 250-летней историей. Первоначально она занималась печатью банкнот и паспортов, а сегодня предлагает различные виды сервисов цифровой аутентификации. В частности, на CeBIT прошла презентация сервиса Bdrive для корпоративных заказчиков, позволяющего защищенно хранить важные файлы в облаке.

В отличие от сервисов вроде Dropbox, Bdrive хранит не сами файлы, а только их метаданные. При этом задача хранения возлагается на другие публичные облачные сервисы, у которых тоже нет доступа к содержанию файлов: клиентское программное обеспечение Bdrive шифрует файлы и делит их на фрагменты, распределяя между несколькими сервисами таким образом, что ни один из них не содержит какой-либо файл целиком. Как объяснил представитель Bundesdruckerei Максим Шнякин, сборка файла при его загрузке происходит с использованием избыточного кода (erasure coding), что позволяет восстановить данные даже в случае отсутствия отдельных фрагментов. Необходимый уровень избыточности выбирается пользователем.

Bdrive запоминает, в каких облачных сервисах хранятся различные фрагменты файла, кому из пользователей он принадлежит, а также кому и с какими привилегиями предоставлен доступ. Клиент вносит абонентскую плату Bundesdruckerei, а об оплате сторонних облачных сервисов компания заботится сама.

С какими именно сервис-провайдерами она сотрудничает, не уточняется, но возможно, что один из них — Simple Storage Service (S3) в облаке Amazon.

Доступ к файлам контролируется с помощью клиентского ПО, которое встраивается в Windows 10. Bdrive отображается в «Проводнике» наряду с «Рабочим столом», «Загрузками» и «Документами», и для него в контекстном меню, вызываемом по щелчку правой кнопки мыши, доступны операции отправки ссылок на скачивание файла и назначения прав доступа.

Пользователь, которому дают доступ к файлу, получает сообщение электронной почты со ссылкой. Если нужен пароль, он передается по другому, защищенному каналу. При переходе по ссылке для скачивания Bdrive запускает код JavaScript, который загружает необходимые фрагменты из различных хранилищ, собирает файл и декодирует его.

Для дополнительной безопасности доступ к управлению файлами Bdrive предоставляется только после проверки ряда параметров авторизованного устройства и удостоверения личности владельца данных.

Чтобы обеспечить более сильную защиту по сравнению с обычными паролями, Bundesdruckerei также предлагает систему дактилоскопической аутентификации на основе смарт-карт — GoID.

Один из недостатков систем биометрической аутентификации состоит в том, что они пользуются централизованными хранилищами и системами сопоставления биометрических характеристик, что повышает риск утечки данных. GoID лишена этого недостатка: операции по считыванию, сохранению и сопоставлению отпечатков пальцев выполняются на смарт-карте. Единственная информация, которую карта передает во внешний мир, — это заверенное с помощью электронной подписи сообщение о том, прошла ли аутентификация успешно.

Карты GoID несколько толще, чем кредитки, но в бумажнике умещаются. Они оснащены встроенным сканером отпечатков пальцев — таким, как на смартфонах старшего класса, а не протяжным, как на некоторых ноутбуках. Сканер получает электропитание и обменивается данными через RFID-интерфейс: для активации карты требуется внешний ридер, подключенный, например, к порту USB компьютера.

Чтобы пройти аутентификацию, пользователь помещает карту на ридер и прикладывает к ней палец. На случай, если дактилоскопическая аутентификация не сработает, на карте предусмотрена цифровая клавиатура.

Регистрация выполняется с помощью тех же карты и ридера. Эта процедура проходит под контролем программного обеспечения, работающего на ПК, но сами данные отпечатка пальца никогда не покидают карты, подчеркивают в Bundesdruckerei.

В компании уже пользуются картами для собственных нужд и предлагают их заказчикам в составе пакета услуг по управлению учетными данными и аутентификации. Как сообщают в Bundesdrukerei, стоимость карт варьируется в зависимости от того, с какими сервисами они предлагаются.

Помимо работы с Bdrive и аутентификации в Windows, карты можно использовать для ограничения доступа к зданиям. В компании выражают уверенность в том, что, поскольку биометрические данные никогда не покидают карту, система будет пользоваться более высоким спросом среди коммерческих заказчиков в тех странах, где конфиденциальность ценят особенно высоко.


Теги: Информационная безопасность Биометрия Облачное хранение Аутентификация Шифрование
На ту же тему: