Bővebb információért, keressen bennünket: +36 20 555 1574

DocuSek

Termékismertető a DocuSek márkanevű online biztonsági iratmegőrző rendszerről.

A DocuSeK egy olyan iratmegőrzési rendszer, amit a Contractums Global Zrt. informatikusai fejlesztettek a szintén a cég által fejlesztett vállalatirányítási rendszer részeként. A termék használatához viszont nincs szükség magára a vállalati rendszerre.

Mi is az a DocuSeK?

Egy cég működése során mindig gondot jelent a keletkező mindennemű papíralapú dokumentum (legyen az szerződés számla, cégiratok és ezer más).

Megoldást jelentett korunk nagy vívmánya a digitalizálás.

Ebben az esetben viszont azonnal felmerül a kérdés, hogy a digitalizált dokumentumok tárolását miképp oldjuk meg?

100 esetben szinte a válasz mindig a saját, vagy szolgáltató által adott védett vonalas szerver.

Mi nem ezt ajánljuk.

Mi létrehoztunk egy olyan virtuális értékmegőrző bankot ahova fontos iratainak digitalizált változatát megőrzésre elteheti.

Ez a bank egy olyan alkalmazás, amely az Amazon világméretű felhőszerver rendszerére épülve

szinte végtelen tárhellyel 0% adatlopási veszélynek kitéve, amíg a világon, internet és áramszolgáltatás létezik, vagy ameddig a szolgáltatást fizetik, őrzi a feltöltött adatokat, és hozzáférhetővé csak a megfelelő jogosultságokkal rendelkező személy számára engedi.

Azzal sem kell foglalkozni, hogy ez milyen hardver eszközön fut, ugyanis csak internet elérés, valamint megfelelő belépési jogosultság kell hozzá, és ezt megteheti bárhonnan.

Miként működik?

A szofter USB adathordozón kerül értékesítésre az ügyfelek részére, ami egyben hardverkulcsként is szolgál. Indításkor a szoftver belépteti Önt a www.docusek.com weboldalra, egy olyan szolgáltatási felületre ahova feltöltheti digitalizált dokumentumait. A dokumentumok egy az ön által készített könyvtárba kerülnek a feltöltés dátumával, és a feltöltő adataival. Ezt egy cégen belül megteheti több felhasználó is, akik számát, jogosultságát a döntéshozó határozhat meg. A döntéshozó vagy nevezzük fő adminisztrátornak akár folyamatosan figyelemmel kísérheti a dokumentumok adatlapján, ki és hányszor, vagy milyen jogosultságú személy nézte meg vagy töltött le másolatot az ominózus dokumentumról.

A dokumentumokat csak egy különleges kód segítségével lehet a rendszerből eltávolítani.

Ezen üzenet és annak bármely csatolt anyaga bizalmas, jogi védelem alatt áll, a nyilvános közléstől védett.

A dokumentumok tárolása oly nagyfokú biztonsági megoldásokkal megalkotott kódolt adatdobozokban történik, hogy tartalmát sem a szolgáltató sem az Amazon mint szerverszolgáltató nem csak hogy nem látja, de a helyzetét a világhálón sem tudja beazonosítani. azt kizárólag, csak a felhasználó mesterkódjaival lehetséges.

Hozzáférhetősége, a felhasználón kívül, másnak nem lehetséges, beleértjük a mások közé akár a nemzetbiztonság szolgálatok, és egyéb hatóságok informatikusait, vagy a hekkerkedésből és adathalászatból élők tömegét is.

Milyen megoldásokat nyújt?

Ön feltölthet bármilyen preferált formátumot (pdf. excell. word. stb). A dokumentumok időbélyegzőt és kísérő adatlapot kapnak.

Ön a dokumentumait elláthatja időzárral, emlékeztető küldéssel.

Kategorizálhatja, a dokumentum adatlapján megjegyzéseket fűzhet hozzá. Kérhet a feltöltéséről, letöltésről, megnyitásról, rögzítéséről bizonylatot, értesítést.

Létrehozhat segítségünkkel nyilvános akár partnerek által az ön weboldalán látható feltöltési modult, amelyre a feltöltött adatok az ön későbbi jóváhagyásával eltárolásra kerül, az ön által létrehozott könyvtárban.

Adminisztrátorként prioritásokat, láthatóságot oszthat szét vagy adhat a felhasználók részére.

Zárolhat, elrejthet könyvtárakat, amely csak egy adott kód beírására vagy időzítve jelennek meg megadott időintervallumokban esetlegesen e-mailben értesítve az elérhetőségéről vagy magát a benne tárolt dokumentum másolatát elküldve a megjelölt e-mail címre.

Dokumentumokról készíthet másolati mentést a gépére, vagy példányt, példányokat nyomtathat.

Megadhat szövegmezőket, amely mindenképp rákerülnek a másolati mentésekre, nyomtatásokra.

A rendszer használatáról, létezéséről az ön gépein látható nyom nem jelentkezik, az adatok kizárólag a felhőben tárolódnak, ahonnan a kinyerésükhöz csak az ön kódjával lehetséges.

Biztonság – az elsődleges szempont

Mai világunkban dokumentumaink biztosítása kiemelten fontos – egy, mind Önnek, mind az Ön ügyfeleinek kritikus részlet. Gyakran a legbiztonságosabb megoldásnak azt tartjuk, ha az adataink papíron, egy raktár mélyén rejtőznek. De ennek nem kell így lennie.

A DocuSek célja az, hogy egy újfajta biztonságos megoldást kínáljon Önnek a digitalis világ lehetőségeivel. Tehát pontosan hogyan is tároljuk dokumentumait a DocuSek-en belül?

Amikor dokumentumait bedigitalizálja és felkészíti a feltöltésre, szolgáltatásunk nem csak elkódolást végez a lehető legmagasabb szintű titkosítással, hanem apró részekre is vágjuk a dokumentumot. Ezeket a részeket véletlenszerűen különböző kontinensekre küldünk szét. A dokumentum nem csupán digitális elkódolással lesz védelmezve, hanem fel lesz vágva apró darabokra is. Mintha egy papírlapot tépne szét, és darabjait magas biztonságú banki széfekben tárolná szerte a világon.

Végül még mi sem tudjuk megmondani, hogy melyik dokumentum darabjai hol lesznek és hogyan kell visszafejteni ezeket. Sem pedig más. Alkalmazkodunk a nemzetközi titkosítási konvenciókhoz, és mindezt úgy tesszük, hogy Önnek a legjobb, a nemzetközi törvények által endegélyezett titkosítási módszereket biztosítsuk egy több szinten redundáns adattároló rendszerben elérhető áron.

Elsődleges tulajdonságok

Biztonságos

A DocuSek egy sornyi biztonsági lépést alkalmaz annak érdekében, hogy csak Ön és az Ön által felhatalmazott személyek legyenek képesek egy-egy dokumentumot elérni.

Elosztott

A biztonsággal kéz-a-kézben, rendszerünk a feltöltések előtt álló titkosítandó dokumentumokat véletlen darabszámú és méretű szeletekre vágja, és elrejti őket szerte a világban. Csakis a személyes azonosító kulccsal lehetséges visszafejteni, hogy az egyes darabok hol vannak pontosan.

Redundáns

Különlegesen magas szintű redundanciát kínálunk úgy, hogy szerte a világon tárolunk másolatokat dokumentumainak darabjairól ezáltal ellehetetlenítve a dokumetumok hardverhiba okozta elvesztését. Meg vagyunk róla győződve, hogy dokumentumai még a legtöbb vis major esemény alatt is biztonságban maradnának.

Megbízható

99.99% rendelkezésre állást ajánlunk. Nincs egyetlen pont sem, ahol egy meghibásodás általános problémát okozhat.

Méretezhető

Ezt a rendszert úgy terveztük, hogy képes legyen elbírni és önmagát méretezni bármilyen szintű érdeklődést és használatot. A szolgáltatás akár magánzemélyeknek, akár a legnagyobb cégeknek is képes megoldást biztosítani a dokumentumok tárolásában.

Gyors

A redszerbe történő feltöltések több világrégión keresztül elosztottak, míg a letöltések egy ennél is nagyobb, globális elosztóhely-hálózatot használnak ki a sebesség növelése érdekében.

Egyszerű

A webes alapú adminisztrációs felület használatával egyszerű feladat less a fájlok biztosítása vagy dokumentumainak megtalálása – akár a digitalis, akár a papír alapú verzióról van szó.

Szintén egyszerű feladat dokumentumainak klienseivel való megosztása is, bár megoldásunk képes rá, hogy ezt jól irányítható feltételek között tegye meg. Ön don’t, hogy kivel osztja meg dokumentumait és milyen hosszú időre.

A DocuSek Felhő Alapú Szolgáltatás

A szolgáltatás elérése

Az online DocuSek szolgáltatás eléréséhez kérjük látogasson el a http://www.docusek.com vagy http://www.docusek.eu címek egyikére.

Az Ön személyes kulcsa

Minden csoport tulajdonosa rendelkezik egy személyes kulcsfájllal, amely a dokumentumok feltöltésekor és letöltésekor használatos.

Az Ön személyes kulcsának rendelkezésre kell állni minden a dokumentumokra irányuló művelet alatt. Enélkül nem lehetséges a dokumentumok fel- és letöltése. A kulcsot az Ön által irányított szervezeten belül tartsa titokban! Ideális esetben a fájl egy USB kulcson található, amelyet abban a számítógépben használ amellyel archivált dokumentumain dolgozik.

Személyes kulcs igénylése

Személyes kulcsa akkor kerül kiküldésre, amikor egy csoport tokent vásárol, amely lehetővé teszi, hogy saját csoportot üzemeltessen. Csupán a csoport üzemeltetője kap személyes kulcsot. Habár az Ön kulcsát mi nem tároljuk sehol, azt meg tudjuk állapítani, hogy helyes kulcsot használ –e dokumentumainak feltöltése kozben.

A kulcs elvesztése

Figyelem! A személyes kulcs elvesztése elkódolt dokumentumainak elvesztésével jár. Csupán Önnek van hozzáférése saját személyes kulcsához, ezért jó ötlet egy biztonsági másolat készítése, és ennek mások által nem hozzáférhető tárolása.

Dönthet arról, hogy egy-egy dokumentum ne legyen elkódolva mielőtt feltölti. Ebben az esetben a dokumentum akár a személyes kulcs nélkül is elérhető lehet a szolgáltatásba való belépés után.

Hozzáférés léthrehozása

Új hozzáférés létrehozása egyrészt a DocuSek-nél való közvetlen kérelmezéssel lehetséges, vagy úgy, hogy egy meglévő csoport vezetője meghívót küld a csoportjához.

Hogyan kell kérelmezni a DocuSek hozzáférést?

A DocuSek hozzáférés igényléséhez írjon emailt az Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. címre.

Miért nem lehetséges a DocuSek szolgáltatásra közvetlenül feliratkozni?

Jelenleg szolgáltatásunk csak olyan felhasználók számára elérhető, akiket más felhasználóink hívnak meg a rendszerbe. Ez segít nekünk jobban megérteni azt, hogy rendszerünk hogyan képes méretezni magát. Ez emellett egy tudatos biztonsági lépés amelyet a DocuSek szolgáltatás biztonságának további javítása érdekében tettünk.

Csoportok

Úgy gondoljunk a csoportokra a DocuSek-en belül mint kis cégekre vagy osztályokra – valójában funkcionális csapatokra, akik ugyanazon dokumentumokkal dolgoznak.

A Csoportokat a csoporttulajdonos vezeti és egyetlen személyes kulcsot használnak, amelyet a csoporttulajdonos oszt meg. A csoporttagok különböző jogosultságokat kapnak ahhoz, hogy elérhesség a tevékenységi napló, letöltsenek vagy archiváljanak, esetleg mélyfagyasszanak dokumentumokat.

Elérések típusai, szerepkörök és hozzáférési jogosultságok

Minden regisztrált DocuSek felhasználó akár több csoport tagja is lehet. Hasonlóan, minden regisztrált DocuSek felhasználó bármennyi új csoportot is létrehozhat.

Az új csoportok létrehozása csoporttokenek felhasználásával lehetséges, amelyek egyszer felhasználható jegyek.

Csoportadminisztráció

A csoporttulajdonosok csoportjukat az Vezérlőpulton keresztül tudják irányítani. Itt lehetséges a csoport tagjainak feladatokat ill. Hozzáférési jogosultságokat osztani, új felhasználókat meghívni a csoportba és további meghívótokeneket vásárolni.

Olvasás, írás és naplóhozzáférés jogosultságok

Egy csoport tagjaihoz ötféle jogosultságot lehet rendelni, valamint létezik egy pseudo-jogosultság a vendég hozzáférések kezelésére.

Tulajdonos

Minden csoportnak egyetlen tulajdonosa van. A tuajdonos a felelős a csoport személyes kulcsának kezeléséért amely lehetővé teszi a kódolással védelmezett dokumentumok olvasását és archiválását.

Csak a tulajdonosok tudnak új tagokat meghívni a csoportba, habár bárki képes további meghívókat vásárolni a csoport részére, amelyet a tulajdonos bármikor felhasználhat új tagok meghívásához.

A tolajdonlás átadható a csoport egy másik tagjának a DosuSek-kel való egyeztetésen keresztül miután megbizonyosodtunk róla, hogy a kérelem valódi.

Adminisztrátor

Egy adminisztrátor a csoport más tagjainak jogosultságait kezeli – adhat napló, olvasás és írás jogosultságokat. Szintén el tudja érni a csoport felhasználási szokásai alapján elkészített statisztikai analitikai adatokat is.

Napló

A napló hozzáféréssel rendelkező felhasználók képesek olvasni és keresni a csoport hozzáférési és tevékenységi naplójában. Meg tudják nézni, hogy ki mit csinált és mikor.

Olvasás

Az olvasás joggal rendelkező csoporttagok le tudnak tölteni és meg tudnak osztani előzőleg archivált dokumentumokat.

Írás

Az írás jogosultsággal rendelkező tagok dokumentumokat tudnak archiválni és feltölteni a DocuSek biztonságos felhő infrastruktúrájába. Ezek lehetnek kódolt és kódolatlan dokumentumok is.

Fontos megjegyezni, hogy nincs feltétlenül szükség olvasási jogosultságra a dokumentumok archiváláslhoz.

Vendég

A vendég jogosultsággal rendelkező felhasználók olyan meghívott tagok, akik csak bizonyos dokumentumokhoz kapnak hozzáférést. Minden vendégnek regisztrálnia kell magát a DocuSek rendszerben, de csupán előzőleg archivált majd megosztott dokumentumokat tudnak letölteni.

A vendégek számára a belépés nem lehetséges a DocuSek oldalra – ők ideiglenes felhasználók, akik letöltéshez kapnak elérést bizonyos dokumentumokhoz. Emiatt nem nekik kell regisztrálni, hanem regisztrációjukat a meghívó csoporttagnak kell intéznie. Erről azonnali üzenetet kap a vendég, hogy email címét így tudja hitelesíteni mielőtt a dokumentumok hozzáférését engedélyezzük számára.

A vendégek csupán titkosítatlan archívumokhoz tudnak hozzáférni. A vendégek – és bárki általában a csoportok kívül – soha nem kaphatják meg a csoport személyes titkosítási kulcsát.

Új felhasználók meghívása a csoportba

Minden csoportnak van adott számú meghívótokenje, amellyekkel a csoporttulajdonos új tagokat hívhat meg a csoportba. Minden meghívás egy tokent emészt fel. A meghívótokenek egyszer használatos jegyek.

Minden tag aki meg let hívva a csoportba egy meghívótoken használatával teljes jogú taggá válik (aki képes akár csoportot is létrehozni), bár kezdetben csoportjogosultságok nélkül.

A tagokat az email címük segítségével kell meghívni. Ha egy tag még nem regisztrált a rendszerben, akkor egy regisztrációs ív kitöltésével ezt meg kell tenniül azt az email címet használva, amelyen keresztül a meghívót kapták. Ha a meghívott tag már regisztrált DocuSek felhasználó, akkor a felhasználó azonnal a csoport tagjává válik.

A szolgáltatás bővítése

A csoport méretének növelése és új csoportok készítése egyszerű feladat a DocuSek rendszerében. Ez tokenek használatával történik, amelyek egyszer használatos jegyek új tagok meghívásához és új csoportok létrehozásához. A tokenek segítségével bármely DocuSek felhasználó tud új tagokat hozzáadni csoportjaihoz vagy új csoportokat létrehozni.

Az új tokenek – jegyek – vásárlása a DocuSek weboldalon vagy viszonteladóinkon keresztül történik. Itt a vásárló egy különleges kódot kap, amely a Vezérlőpulton keresztül beváltható új tokenekre.

Dokumentumok archiválása

A DocuSek jól tudja, hogy a dokumentumok archiválása sok időbe kerülhet. Éppen ezért folyamatosan fejlesztjük szolgáltatásunk ezen részét, hogy egyre gyorsabbá tegyük a folyamatot amelyben adatait egy fájlból vagy egy az asztalán lévő papírhalomból a DocuSek által kínált biztonságos online tárhelybe tudja továbbítani.

Az archiváláshoz az szükséges, hogy a dokumentumok feltöltésével foglalkozó csoporttag írás jogosultsággal rendelkezzen. Bár további jogosultságok nem szükségesek, ha a dokumentumot titkosított formában kell tárolni, akkor a felhasználónak szintén használnia kell a csoport személyes titkosítási kulcsát a számítógépé, amelyet a csoporttulajdonostól kaphat meg.

Az archiválás jelentős képessége az, hogy dokumentumok képei feltölthetőek mobil eszközökről is. Bár ez még fejlesztés alatt van, ez a lehetőség lehetővé fogja tenni felhasználóink számára azt, hogy egy dokumentum magas felbontású képét másodpercek alatt archiválni tudják egy okostelefon segítségével.

Titkosítatlan forma

A DocuSek felhőbe feltöltött, a csoport személyes kulcsa felhasználása nélkül titkosítatlan dokumentumokra titkosítatlan dokumentumok megnevezéssel hivatkozunk.

A név ellenére azonban a titkosítatlan dokumentumok feldolgozása is megannyi biztonsági lépést alkalmaz annak érdekében, hogy csak a felhatalmazott felhasználók tudják elérni őket.

Még ezeknél a dokumentumoknál is egy egyszerű titkosítási módszert alkalmaz a DocuSek a dokumentumok darabolásával együtt, amelyket aztán több kontinensen szór szét.

A darabok elosztását egy komplex algoritmus vezérli, amely biztosítja, hogy csak az illetékesek tudják a dokumentum darabjai összeillesztésével azt újra elolvasni.

Titkosított forma

A dokumentumjainak kritikusabb része vitathatatlanul titkosítást fog igényelni.

Ehhez a csoporttulajdonos személyes titkosító kulcsát kell használni, amely csoportonként egyedi. Egy titkosított dokumentumot csak azzal a kulccsal lehet olvasni, amellyel előzőleg azt titkosították. Lényegében ez azt jelenti, hogy ha a kulcsot elveszítjük, akkor elveszik a titkosított dokumentumainkhoz való hozzáférésünk is. Emiatt nagyon fontos, hogy a kulcsról egy másolatot készítsünk, és azt egy biztonságos helyen, gondosan elzárva őrizzük meg.

A DocuSek nem tárolja vagy ismeri a csoportok titkosítási kulcsoait. Ezek a fájlok soha nem hagyják el a számítógépet, soha nem töltődnek fel a DocuSek szervereire. Emiatt különösen hasznosak arra, hogy a dokumentumokat titkosítsák.

Miután titkosítva lettek, ezek a dokumentumok is kihasználják a DocuSek szeletelt és szétszórt tárolási elvét, amellyel szolgáltatásunk különösen hatékony lesz digitális dokumentumainak tárolásában.

Dokumentumok megosztása

A DocuSek különböző publikus és privát dokumentummegosztási módszert ajánl titkosítatlan dokumentumokhoz. A titkosított dokumentumok a csoport privát titkosítási kulcsát igénylik.

A DocuSek nem tanácsolja a csoport személyes titkosítási kulcsának megosztását a saját csoporton kívül. A titkosított dokumentumok megosztása lehetőleg történjen privát csatornákon keresztül.

Olvasási jogokkal rendelkező tagként egy dokumentum megosztása egyszerű:

1. Készítsen szűrőt amely jellemzi a dokumentumok listáját amelyet meg akar osztani.

2. Ajda meg a célcsoportot – email címeket, amelyekre a megosztást szeretné eszközölni.

3. Opcionálisan kérjen jelszót amelyet a célszemélyeknek kell megadnia amikor a megosztott dokumentumokat elérik. Mi kiküldjük a linkeket a megosztott dokumentumokra, Ön pedig személyesen átadhajta a jelszót.

Pár beállítás további rugalmasságot kölcsönöz dokumentumai megosztásához.

- Célszemélyek címei mező kitöltése vagy üresen hagyása teljes publikus eléréshez.

- Az elérés idejének hossza – állítsa be mennyi ideig szeretné, hogy a dokumentum megosztása aktív maradjon.

- Az elérés indulásának ideje – adja meg mely időponttól lehetséges a dokumentumok elérése.

A dokumentumok mélyfagyasztása

A mélyfagyasztás egy kifejezés amely olyan dokumentumokra használhatunk, amelyekről tudjuk, hogy hosszú időre nem less rájuk szükség. Ez egy dokumentum archiválásának valós formája, egy sokkal hatékonyabb módja a tárhelyköltségek irányításának.

A mélyfagyasztott dokumentumok tárolása kevesebbe kerül mint az állandóan naprakész archívumoké. A DocuSek képes használni olyan technológiákat a tárolásra, amelyeknek nem feltétlenül kell minden pillanatban rendelkezésre állniuk.

A dokumentumok mélyfagyasztása bármely dokumentum számára lehetséges, amely előtte a szolgáltatáson keresztül archiválva let. Miután mélyfagyasztásra jelölünk meg egy dokumentumot, a folyamat rendszerint egy órán belül megtörténik. Miután befejeződött, a dokumentum nem less letölthető vagy megosztható – ez csak a hagyományos archívumok esetében lehetséges -, azonban ezen dokumentumok tárolásának a költségei jelentősen kisebbek.

Egy mélyfagyasztott dokumentum kiolvasztása az archívumlistából indítható, és általában 3-5 óra közötti időt vesz igénybe, de eltarthat akár egy teljes napon keresztül is. Ezért olyan dokumentumok esetében érdemes használni a szolgáltatást, amelyeknél biztosan lehet legalább egy nappal előre tudni, hogy mikor lesz újra szükség a dokumentumra.

Docusek - technikai működési leírás

A dokumentum célja a Docusek dokumentumtitkosító rendszer technikai hátterének, működésének és a működtetés feltételeinek magyarázata és elemzése. A leírás IT rendszerüzemeltetői, elosztott rendszereken jártas alkalmazásfejlesztői és biztonságtechnikai szakmai ismereteket feltételez.

Rendszerháttér

A Docusek titkosítási és adattárolási elve egészen a felhő alapú számítástechnika megjelenéséig nem volt lehetséges. Az utóbbi 5–10 év ezen a területen kiemelkedő fejlődéseket hozott. A felhő alapú rendszerekben szerzett gyakorlattal immár nem csak a hagyományos számítástechnikára levetített módon vagyunk képesek feladatokat futtatni és adatot tárolni, hanem új, innovatív módszerek is előtérbe kerülhetnek amelyek a rendszerek elosztott természetét is képesek kihasználni.

A Docusek rendszere pontosan a felhő elosztottságára épít. Partnerül a megvalósításban az amerikai Amazon Web Services (AWS) mellett döntöttünk. A szolgáltatás szerte a világban tárol titkosított adat-töredékeket az AWS által szolgáltatott végpontokon.

A szolgáltatás elsődleges interfésze egy internet-böngészőben használható webes felület. Itt a felhasználó hitelesítés után képes elérni saját dokumentumait, újakat feltölteni illetve a felhasználói csoportjait adminisztrálni.

A szolgáltatás nagy mértékben épít az AWS adatbiztonsággal kapcsolatos képességeire és kiemelkedő szolgáltatásaira. Bővebben lásd: Adatvédelem és titoktartás.

Működési leírás

A Docusek mögötti újszerű titkosítási módszer alapvető lényege az, hogy minden dokumentumot - képzeljük el ezeket úgy, mint egy papírra nyomtatott képet - a folyamat “széttép” tetszőleges méretű darabokra, majd azokat titkosítva tárolja számunkra ismeretlen helyeken szerte a világban.

Ahhoz, hogy a dokumentum újra összeilleszthető legyen, egy olyan determinisztikus algoritmusra támaszkodunk, amely teljes mértékben nélkülözi az egyéb, szintén determinisztikus véletlenszám-generátoroknál gyakran előforduló ún. “varratokat” (seams) - ezek ritkán előforduló kódsorozatok, amelyek kiszámíthatóan megjelennek a sorozat mintájában.

Az alábbi ábra egy felhasználó által feltöltött és titkosított dokumentum tárolásának a folyamatát mutatja be.

A folyamat a következő lépésekből áll:

  1. A felhasználó hitelesíti magát a kliens oldalon.
  2. A felhasználó rendelkezésére áll egyedi hardver (USB) kulcsa.
  3. A feltöltendő ill. titkosítandó fájl kijelölésre kerül és a felhasználó megkezdi a feldolgozást.
    1. A feltöltendő fájlról készül egy ún. “checksum” hash, amelynek a feladata az, hogy a feltöltést követő olvasási ellenőrző folyamat eredményét hitelesítse.
    2. A feldolgozási esemény globálisan egyedi azonosítót (UUID) kap. Ez az azonosító a hardverkulcsra mentésre kerül.
      1. Opcionálisan az eseményazonosító egy elkülönített, biztonságos online tárhelyre is mentésre kerül.
      2. Az eseményazonosítóra az olvasáshoz lesz szükség.
    3. A hardver kulcs azonosítója és az eseményazonosító alapján a kliens oldalon futtatható fragmentációs szolgáltatás elindul.
      1. A szolgáltatás az azonosítók segítségével egy Mersenne-Twister RNG algoritmusra épülő determinisztikus kódsorozatot generál. Ez a kódsorozat procedurálisan generálja le a későbbiekben a fájl kívánt darabjainak (a továbbiakban: fragmensek) a számát, méretét, helyét és nevét a világban elszórt tárhelyeinken belül.
      2. A titkosítandó dokumentum bizonyos szabályok keretein belül fizikailag is fragmensekre darabolódik. Minden feldolgozott fragmens a memóriából törlődik már feldolgozás közben.
        1. A fragmensek önállóan nem használható adatok. A fájl méretétől függően több száz vagy akár több ezer fragmens is alkothatja a titkosított fájlt.
        2. Minden fragmens esetében egy determinisztikus eljárással határozzuk meg, hogy milyen és mennyi szintű titkosító kódolást kell fizikailag végrehajtani az adott fragmensen.
        3. A kész fragmensen AES 256 bites titkosítást is alkalmazunk. Tároláskor ez HMAC-SHA256 titkosítással egészül ki, amely az AWS Signature Version 4 specifikáció részét képezi.
      3. A fragmensek számára előzetesen legenerált Mersenne-Twister kódsorozat segítségével meghatározzuk, hogy az adott fragmens melyik régióban és milyen elérési úttal lesz tárolva.
      4. A fragmens tárolási kérelmét az aláírás-szolgáltató szerver felé továbbítjuk.
        1. Ez a szerver sem kap adatot a fájlból, amely feltöltésre kerül. Nincsen közbenső szerver a kliens és a végső tárhely között, ez a szerver azonban engedélyt tud kérni adott hitelesített kliens számára az írási vagy olvasási eseményhez.
        2. A hitelesítés a háttérben megtörténik a kiválasztott tárhely régiós végpont és a hitelesítő szerver között a kliens nevében.
        3. A hitelesítő szerver a kialkudott aláírást továbbítja a kliens felé, amely ezzel jogosult lesz az adott írási vagy olvasási aktivitás végrehajtására.
        4. A kliens felveszi a kapcsolatot közvetlenül a tárhely régiós végponttal, és tárolja az aktuális fragmenst. Itt történik először valós hálózatos adatátvitel. A kommunikáció titkosított vonalon (HTTPS) történik, azonban maga az adatcsomag is többszörösen titkosított ennél a pontnál.
        5. A végpont visszajelez a sikeres tárolásról a kliens felé. A kliens erről nem tájékoztatja az aláírás-szolgáltató szervert. Az aláírás-szolgáltató szerver nem készít az aláíráskérés folyamatáról, kommunikációjáról naplóbejegyzést.
    4. A fragmentációs folyamat végén - miután minden fragmens tárolva van valahol - a kliens a feltöltött fájl ellenőrző hash és az ellenőrző kódok kivételével minden adatot töröl vagy felülír a memóriában.
      1. A fragmentációs folyamat része lehet további ál-fragmensek képzése, amely összezavarásos (obfuscation) módszereknek adhat teret.
    5. A sikeres folyamat ellenőrzése érdekében az ellenőrző kódok és a Mersenne-Twister algoritmus segítségével újra előállítja a determinisztikus kódsorozatot.
      1. A kódsorozat segítségével visszafejti a fájl fragmenseinek a számát, tárhelyét és elnevezését, majd a fragmenseket egyenként letölti.
      2. Minden fragmenst egyenként dekódol a fragmens saját algoritmusának megfelelően.
      3. Összeilleszti az eredményt egyetlen dokumentummá, amelyről új checksum hash-t készít.
      4. Összehasonlítja a két checksum hash-t, amelyek egyezése sikeres feltöltést feltételez.
  4. A felhasználót tájékoztatja a rendszer a sikeres feltöltésről.

Az eljárás biztonságtechnikai előnyei

A szolgáltatás célja egy olyan rendszer üzemeltetése, amely tetszőleges méretű és formátumú, digitálisan tárolt adatot képes a jelenlegi titkosítási módszerektől eltérő módon, rétegelt biztonsági eljárásokat egymásra építve megvalósítani.

A megoldás kritikus pontja az, hogy a kliens oldalán történik meg a titkosítás és a fragmentációs folyamat, míg az authentikációhoz, a tároláshoz és az olvasáshoz az engedélyeket egy központi szerver szolgáltatja. Ez több előnnyel is jár:

- Minden folyamat központilag van authentikálva. Mivel ugyanez a szerver felelős az írási és olvasási hitelesítésekért, ezért az engedélykezelés kikerülhetetlen ahhoz, hogy az egyes fragmenseket a kliens írni vagy olvasni tudja.

- Sem a belső, sem pedig az internetes hálózaton nem utazik kódolatlan adat. Minden adat egyedileg kódolt, és transzfer csak akkor történik, amikor a tárhelyet a kliens el akarja érni. Ez mindig közvetlenül történik.

- Az adatcsomagok (fragmensek) jellemzői változnak minden felhasználó esetében és minden alkalommal. A folyamat csupán akkor reprodukálható olvasáshoz, ha az adott felhasználó az adott eseménykód és hardver kulcs birtokában próbálja meg elérni a fájlt, hiszen ezek nélkül nem ismert a fájl helye, neve és darabjainak száma.

- A fragmensek tárolásának a folyamata lehet párhuzamos vagy lineáris véletlenszerű sorrendben, így a kommunikációs végpontok címeinek figyelése a fragmensek pozíciójának meghatározásához egy esetleges man-in-the-middle támadás esetén nem vezet megfelelő konklúzióra.

További előny az, hogy a fragmensek birtokában:

- Ismeretlen a titkosítási eljárás, hiszen ez változó minden fragmens esetében

- Ismeretlen a fragmens pozíciója a fájlon belül, összeilleszteni pedig nem lehetséges dekódolás nélkül

- Ismeretlen a fragmens neve, így minden tárolt fragmenssel minden egyéb fragmens védelme javul.

- A fragmensek feldolgozása és összeillesztése késleltethető az aláírás-szolgáltató szerver szintjén minden felhasználó esetében egyedileg, ezzel késleltetve a brute-force jellegű olvasási támadásokat a kliens feldolgozási sebességétől függetlenül.

Emiatt - habár a fragmensek titkosan tárolt adatok szigorú hozzáférési szabályokkal - önmagukban gyakorlatilag használhatatlan adatok.

Technikai kihívások

Jelen pillanatban egy jelentős technikai kihívást látunk a megvalósításban.

A rendszerben “szétvágott” dokumentumok újra összeépíthetősége egy determinisztikus véletlenszám-generátor (RNG) működésére épít. Ez a generátor adja meg a kódsorozatot, amely alapján az ejárás során felmerülő változók értéket kapnak.

A legtöbb hasonló RNG működése és eredményei nagyban összefüggnek az alkalmazott platform képességeivel. Függnek annak processzor-architektúrájától, a tárolt adatok bitszélességétől, az órajeltől, stb. Az egyik kihívás az lesz, hogy a Mersenne-Twister (http://www.math.sci.hiroshima-u.ac.jp/~m-mat/MT/emt.html) RNG algoritmus egy olyan verzióját tudjuk kifejleszteni, amely platformtól, eszköztől és számítási kapacitástól függetlenül képes gyorsan és ezen változókon keresztül is determinánsan adatot szolgáltatni.

Adatvédelem és titoktartás

Rendszerünk az Amazon Web Services elosztott virtuális szerverfarmjára és annak szolgáltatásaira épül. Felhasználóink adatai és az egyes titkosított fragmensek is ezen a rendszeren belül kerülnek tárolásra. Az Amazon Web Services-re mint partnerre azért esett a választásunk, mert kiemelkedő szinten teljesített biztonsági és folyamatkezelési tanúsítványokkal rendelkezik. A jelentősebb érvényben lévő tanúsítványok a jelen dokumentum írásának pillanatában a következőek:

- ISO 9001:2008

- ISO/IEC 27001:2013

- ISO/IEC 27017:2015

- ISO/IEC 27018:2014

- PCI DSS Level 1

- FedRAMP megfelelősség

- CJIS megfelelősség

- NIST megfelelősség

- EU Adatvédelmi Direktíva (EU Data Protection Directive) megfelelősség

- US Védelmi Minisztériumi megfelelősség

- AICPA Trust Services biztonsági elveknek és kritériumoknak való megfelelés és erről SOC 3 jelentések megléte

- IT Kiindulási Védelmi megfelelősség (Ausztria)

- Egyesült Királyság kormányzati elveknek és kritériumoknak való megfelelősség

Redundancia

A tárolt fragmensek az AWS adattárolásai irányelvei alapján redundánsan tárolt adatok.

Kapcsolat infók

Fióktelep: SYSInfo Kft.
H-1131 Budapest, Gyöngyösi utca 84. I/2. fsz. 8.

Székhely: SYSInfo Kft.
H-5600 Békéscsaba, Jókai utca 23/6

Iroda: SYSInfo Kft.
H-1139 Budapest, Szegedi út 1.
(SZÁLLÍTÁSI CÍM, áruátvétel, postacím)

Telefon: +36 20 377 377 3

Fax: +36 1 783 32 31

E-mail. info@sysinfo.hu

Nyitva tartás

Iroda: SYSInfo Kft.
H-1139 Budapest, Szegedi út 1.

Hétfő: 9:00 - 17:30

Kedd: 9:00 - 17:30

Szerda: 9:00 - 17:30

Csütörtök: 9:00 - 17:30

Péntek: 9:00 - 17:30

Cégadatok

SYSInfo Rendszerinformatikai Kft.

Adószám: 12364769-2-04

EU adószám: HU 12364769

Cégjegyzékszám: 04-09-009284

KSH szám: 12364769-6202-113-04

Bankszámlaszámok:
(HUF): 10918001-00000081-18250009
(USD): 10918001-00000081-18250016
(EUR): 10918001-00000081-18250023