Есть необходимость хранения данных в зашифрованном виде.
Методом поиска найдено
а) При помощи внешней библиотеки
б) При помощи подключения к виндовой службе криптографии

Что хочется. Хочется пример шифрования основанный на сертификатах.
Прошу ссылок где посмотреть пример на 1с)

Может базу 1С держать в шифровано-подключаемом контейнере?

(1) Нет такие сложности не нужны. Есть рабочая база, есть копии для разработчиков. Требуется чтоб часть данных была недоступна в том числе и для них. Те основная масса необходимая для работы должна быть полностью доступна

1. определите какие данные подлежат шифрованию (например ссылку нельзя шифровать, суммы - не имеет значение)
2. почитать теорию, особенно про резервный мастер ключ (который на случай утери основного)
3. продумать процедуру смены ключа (перешифровки)
...
...
99. понять, что задача - бред сивой кобылы...

(3) Не понимая целей. Любую задачу можно назвать бредом.
Рассказывать цели, даже и не собираюсь. Я прошу подсказки по конкретному вопросу. Я не прошу сделать, я прошу ссылок
Основываясь на Вашем суждении могу сказать что 99 процентов задач стоящих перед Вами это бред сивой кобылы)

В принципе я на текущий момент могу обоими способами найденными мной. Просто хотелось бы посмотреть на реализацию шифрования при помощи сертификатов

P/S/ Кто вам сказал что ссылку нельзя зашифровать? Что нельзя ее получить в виде строки? ) К примеру ЗначениеВСтрокуВнутр. Огульно называть все бредом, как бы не самая здравая мысль не находите?

(4) Шифровать ссылки не имеет смысла, сами по себе они не несут никакой информации.

(4)Сделай отдельную базу с фэковыми данными и пусть резвятся. А задача и правда хрень какая то

(5)+ нарушается контроль ссылочной целостности, например при удалении помеченых обьектов....

(4) поищи на ИТС есть готовая обработка по обезличиванию данных, перед тем как отдавать базу - прогоняй через нее и не парь людям мозги....

а ты сейчас идешь верным путем к уничтожении базы...

прикинь, ты поменял ключ (банально етокин потеряли), перешифровал базу а тебя просят поднять бекап 3х месячной давности, сколько гемороя ты поимеш?

если хочешь безопасности - то начинать надо не с этого... если интересно могу рассказать.

(5) я не говорил что собираюсь шифровать ссылки) Это уже домыслы из (3)
(6) мне не нужно шифровать базу. Где вы об этом прочитали.

Мне нужно шифровать некие данные. тексты, договора, соглашения итд, которые должны быть доступны только определенным лицам. Задача стоит, чтоб эти данные не могли получить даже разработчики. Так как их много, есть удаленные итд

(7)ключи. это надо чтоб потерялся ключ у ответственного сотрудника и пропал сейф безопасников. с такой же вероятностью сгорит сервер и все хранилище с бекапами вместе)

(8) предположим есть некий договор который доступен только 1. Ивану, у него персональняй ключ, что будет если
2. Ивана уволят и он не вернет ключ
3. Иван потеряет ключ
4. Примут на работу Петра которому надо то-же дать доступ ко всем старым документам Ивана

и т.д.


а вообще смотри 1с:документооборот, там реализована ЭЦП вложений...

(8) ну и бардак

(9) сейчас большенство ключей неизвлекаемые, например етокины.... с них нельзя копию сделать...

(12)+ и кстати имеют срок действия, обычно два или пять лет... потом требуется смена...

(8) Чем не устраивает обезличивание при создании тестовых баз? А в рабочую не давайте разработчикам доступа.

(8) Для разработчиков база обезличивается. Обработка, как уже говорилось ранее, есть на ИТС.
Гемор придумываете.
Что б эффективно работать, в плане модификации и разработки, с такой базой, потребуется очень строгое соблюдение технологий разработки и четкое управление требованиями. В общем не рекомендовал бы я вам подобного.
Если уж так нужно шифровать какую-то информацию, то проще эту информацию хранить в другой базе в зашифрованном виде. В основной базе, хранить внешние ссылки к зашифрованным объектам второй базы.

(0) напиши свое шифрование с преферансом и балеринами.
в сети полно примеров реализации алгоритмов AES (Rijndael)
если паранойя совсем зашкаливает - реализуй старый добрый RSA, там вообще элементарная реализация.

скажем так ключи обходятся дешевле чем информация ушедшая на сторону, уровни даже не сопоставимы.
(13) да хоть ежемесячно. ключи копейки, информация слитая это миллионы вечнозеленых

я уже написал что наел для себя решение на службе криптования винды и с использованием библиотек. Хочу просто посмотреть как релизовано криптование на сертификатах. про документооборот, спасибо, посмотрю

кстати от штатного 1с ника защитить данные в сети довольно тяжело, например на прошлой работе я демонстрировал коллегам из соседнего отдела взлом диасофта за 5 минут... и взлом чужого сервера 1с с их "супер секретными базами", разумеется все это было с согласия директора IT и начальника службы безопасности...

по этому все потуги в защите надо начинать с трех пунктов
1. определить объект защиты
2. определить периметр защиты
3. определить стоимость объекта за периметром (сколько злоумышленик выложит бабла за перемещение объекта за периметр)

исходя из соотношения полученой суммы к ЗП сотрудников и строится защита...

(15) под разработчиками я понимаю и себя) иногда нужны реальные данные чтоб разобрать жалобы пользователя на конкретных примеров.

защита сервера не моя беда, для этого есть служба электронной безопасности включая админов. для работы с людьми есть другая служба безопасности) Моя в том чтоб данных в базе хранлись в закрытом виде от всех, кроме тех для кого она предназначена

https://www.pgpru.com/soft

http://soft.mydiv.net/win/download-PGP-Desktop.html

в общем дискуссия по принципу, а зачем, сделай так или сделай так считаю малопродуктивна. Есть решения которые я указал в (0) они достаточны и дают надежную гарантию, исключая утечки, независимые от меня (это к админам и безопасникам). я хотел просто посмотреть пример защиты построенной на сертификатах. мне Сказали посмотреть (10) сейчас занимаюсь поиском этой конфигурации).

Все спасибо

Так я не понимаю, в 1С есть МенеджерКриптографии, работает с любыми установленными в системе криптопровайдерами. Подходят виндовые - сами набомбили сертификатов и пользуйте, нужны ГОСТ - покупайте гостовские криптопровайдеры и в путь. Просто если ключи пользователей будут тоже храниться в 1С, то любой разработчик возьмет ключ пользователя и посмотри, что там в зашифрованных данных. Опять же как будет организован совместный доступ к документам, например финдира и комдира? Разве можно разными ключами зашифровать данные? Это подписать можно.

(25) о) а я как то даже и не знал. пошел смотреть встроенные возможности) Спасибо

(25) Опять же как будет организован совместный доступ к документам, например финдира и комдира? Разве можно разными ключами зашифровать данные?

можно, если хитро извернуться ))

(27) Для каждого разрешенного чтеца иметь для него шифрованную копию? Мне только такой вариант приходит в голову

(26) У тебя планируется совместный доступ к зашифрованным данным? Просто эту проблему нужно обдумать в  первую очередь.

(28) о чем я написал еще в (3).....

такие задачи нужнго начинать с чтения теории.....

(8) В файлы на диск и виндовыми правами.

(29) А разве ассиметричное шифрование предусматривает наличие резервного мастер-ключа? Я о таком не слышал. Опять полагаю, что можно всегда делать копию на резервном сертификате, а доступ к резервному ключу ограничивать только случаями восстановления данных.

(25) Для этого сам объект шифруется отдельным ключом C, который затем шифруется ключами A и B (для Васи и Пети) и кладется рядом (также реализуются и закладки). Когда надо прочитать документ - Вася с помощью ключа A расшифровывает ключ C, и уже им расшифровывает документ.

(30) кстати самое простое решение...

(32) да, именно так, но правильнее ключи по группам доступа делить - а не каждый ключ на объект.
(30) EFS предлагаешь? ломается под правами админа элементарно.

(34) Если админ крысит - то он сольет и базу с пользовательскими ключами...

(35) причем тут админ, при помощи ERD и админский пароль снимается ))

(36) читаем (18)

дальше есть правило "50% сотрудников готовы пойти на должностное преступление за годовую зп", если например сумма которую готов выложить злодей состовляет 1мл $ то это значит, что суммарная зп за год лиц которым необходимо ступить в сговор была более 1 мл $ тогда инсайдерский взлом не имеет смысла.... В данном примере выходит, что должно быть примерно 40 человек с зп в 2000$, без технической защиты.

Если например мы включаем средства аудита, и банально сокращаем доступ - то количество людей включая тех кто имеет доступ к аудиту играет ведущую роль, или например вариант когда есть один контролер с высокой ЗП (например директор с зп в 1мл% в год), то тогда достаточно только одного этого контроля....

короче считать нужно через деньги, по тому как сольют не админы так сами менеджеры вместе со своими ключами...

(34) А если потом понадобится изменить доступ к одному из больших объектов, тогда что? Перешифровывать?
Элкомсофтом не смог восстановить файл, который был на моей прошлой учётной записи в домене. Есть какие-то другие способы?

(37) и чего?...
(38) AEFSDR использовал? полную версию Проф пробовал?

(38) для этого и существует мастер ключ который используется в обязательном порядке для всех обьектов...

но недостаток такого подхода - этот мастер ключ доступен в 1с, более правильным является дописка мастер ключа регламентым заданием....

(40) это был только один файл который я доверил EFS, и он был не сильно нужен. А как его извлечь с КД АД и использовать при штатном восстановлении?
РАРу как-то доверия больше.

А разве нельзя дать 1С только открытую часть от мастер ключа? Закрытую же использовать только когда понадобится, возможно, и не через 1С.

(41) можно и так

(36) Ну если там такой бардак, что любой хрен имеет физический доступ к серверу... то может там и ценной информации нет совсем?