Всем привет!
Есть определенные данные, которые требуют некого шифрования. Для расшифровки нужен ключ, и этот ключ надо откуда-то брать.
Как его можно безопасно хранить, чтоб злоумышленник, который украл базу, не смог расшифровать данные.
Кто что использует?
Если пароль хранится в самой базе 1С, то я не вижу возможности его спрятать.
Безопасное хранение паролей от БСП - это какая-то фигня.

Реализовывать какой-то сторонний сервис (не на 1С), который будет возвращать тебе ключ...
Только такой вариант мне видится, но какой-то он очень замороченный

В голове

Остальное - от лукавого

Т.е. данные в базе (мы имеем ввиду базу 1с 8) будут храниться в зашифрованном виде, при попытке доступа к этим данным из программы 1с эти данные на лету должны расшифровываться и отображаться уже в расшифрованном виде?

Например: все наименования контрагентов в базе зашифрованы. Бухгалтер открывая документ Поступление товаров и услуг видит в поле "Поставщик" уже расшифрованное наименование контрагента.

Так?

Можно в в переменных среды. И при старте получать их из окружения.

(1) Ключ то можно перехватить отладчиком 1С. Или Fiddler-ом. Или mem сканнером. И так далее, все глубже и глубже.

(0) >Безопасное хранение паролей от БСП - это какая-то фигня.

Уверен?

(7)+ Ключ пиши в безопасное хранилище, зашифрованный от СисИнфо = Новый СистемнаяИнформация

(0) Ключ валяется локально на сервере

(8)+ Даже если базу сопрут целиком, то повторить СистемнаяИнформация не так то просто

"Даже если базу сопрут целиком, то повторить СистемнаяИнформация не так то просто"

просто добавил памяти в сервер
https://i.ytimg.com/vi/kjBPDOo6wl4/maxresdefault.jpg

(4) Не совсем так. Определенные данные шифруются, в 1С их никто не видит, но при определенных операциях с помощью ключа данные расшифровываются (не для пользователя)

(12) Операции шифровки/расшифровки - во внешней компоненте, ключ в ней не хранить статично, но генерировать запутанным алгоритмом, не опираясь на внешние данные.

(8) хмм... но я не очень понимаю как это использовать. И кстати ключ не может зависеть от системных данных, ключ будет выдаваться внешней системой.

(12) Ну или отдавать данные на сервер в облако и получать расшифрованные данные и обратно. Но - муторно, достаточно (13), все равно это никому не надо ломать себе голову.

(12) В 8ке же есть криптография. Возьми любой рутокен, создай сертификаты и ключи. Запиши туда собственный ключ и пользуйся.

(15) Может никому и не надо, но служба безопасности не пропустит )

(16) Для меня это пока всё очень непонятно выглядит )

(18) Самое время прокачать скилы. Мне наоборот такие задачи нравятся, когда можно что то новое использовать.

Ключ на токене,последний открывается по пин-коду.
Шифрование и расшифровка во внешней компоненте.
После загрузки ключа мы токен вынимаем,чтобы данные с него не считалм.

(16) это тоже самое что просо файл на сервере

(0) Прежде всего нужно понять, что именно защищаем, от кого защищаем, и в каких условиях. По-умному модель угроз называется.

Без этого можно бесконечно толочь воду в ступе.

(22) " определенные данные". " злоумышленник".  "который украл базу, не смог расшифровать данные. " - так понятнее?

(21) Нет, т.к. для доступа к ключу нужно знать пинкод.

Не совсем понимаю, что значит взять токен/рутокен. Если имеется ввиду флешка, то такой вариант не подходит, кто её будет на сервере вставлять/вынимать, тем более что все удаленно работают, а севрера в ЦОДах.
В идеале чтоб какая-то внешняя программа выдавала токен. Базу украли, а токен не получить. Или даже не токен, а сразу ключ.
Ещё осложняется тем, что ключ не будет формироваться в 1С, я не могу сам его создавать. Ключ будет нам передан, чтоб мы его безопасно где-то хранили. Вопрос где?

Создание неквалифицированной ЭЦП
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=19826

Шифрование файлов БСП
https://fastcode.im/Templates/BspDetails/obshhijmodul-rabotasfajlamisluzhebnyjklient-zashifrovat/zashifrovat

(25)нахрена тебе токер когда файл с ключом на сервере тоже самое?

(25) Зачем на сервере вставлять/вынимать? На клиенте все это делается.

(25) На бумаге. А бумага в сейфе. Вполне безопасно

"Где же всё-таки хранить секретные ключи" - в секретном месте

Можно сделать так,что для каждого клиента - свой ключ.
Причем,на сервере данные расшифровываются и тут же шифруются ключом клиента,и уже эти данные передаются на клиента - там они просто расшифровываются и отображаются.
Но,тут проблема в том,что все данные формы уедут на сервер при первом же серверном вызове - поэтому - на 1с это очень сложно сделать.