Bdrive usa fragmentação de ficheiros para os proteger

Um serviço da Bundesdruckerei, em demonstração na CeBIT 2017, usa “codificação de apagamento” para aumentar a redundância e a segurança.

bundesdruckerei_bdrive-100714081-orig

Bdrive

Oferecer a máxima privacidade sobre ficheiros parece ser objectivo do novo serviço de autenticação armazenamento empresarial em cloud que a Bundesdruckerei está a mostrar no Cebit 2017 esta semana. A organização de imprensa nacional alemã, com 250 anos de idade está a evoluir muito além das suas origens, oferecendo todos os tipos de serviços de autenticação digital segura.

Na feira de Hannover, vai estar a demonstrar o Bdrive que ao contrário de serviços como os da Dropbox, não armazena os ficheiros, apenas apenas metadados sobre eles. A tarefa de armazenar os conteúdos é deixada a outros serviços de armazenamento em cloud pública.

Mas esses serviços também não têm acesso aos ficheiros. O software cliente para Windows, cifra-os e fragmenta-os distribuindo por várias plataformas de armazenamento.

De tal forma que nenhuma aloja todos os dados. O serviço usa “codificação de apagamento” ou “erasure coding”, uma forma de interpolação polinómica”, para reconstruir um ficheiro. Mesmo quando alguns dos seus fragmentos estão a faltar, explicou Maxim Schnjakin, da Bundesdruckerei.

O Bdrive regista que serviços de cloud pública mantêm determinados fragmentos dos ficheiros, pertencentes a um utilizador, a quem foi concedido acesso e em que termos. Os clientes podem escolher os níveis de redundância para o sistema, acrescenta Schnjakin.

Ao clicar-se num link, é executado um JavaScript do Bdrive, que faz o download dos fragmentos de ficheiros necessários a partir das várias plataformas, e depois há um processo de reorganização e desencriptação do ficheiro.

Pagam uma taxa de subscrição à Bundesdruckerei, que então cuida das tarifas de armazenamento nos vários serviços em cloud utilizados. A empresa não quis nomear os parceiros de armazenamento com os quais trabalha, mas o AWS, com o Simple Storage Service (S3)Serviço de Armazenamento Simples (S3), é um exemplo de serviço passível de ser usado.

O acesso aos ficheiros é controlado pelo software cliente integrado no Windows 10. A aplicação Bdrive surge como outra localização a par do “ambiente de trabalho” ou “documentos” no explorador de ficheiros. Tarefas como o envio de “links” para descarregar ficheiros ou gestão de direitos de acesso de partilha são geridas  a partir de um menu contextual com um clique no botão direito do rato.

As pessoas convidadas a fazer um download de um ficheiro recebem um e-mail contendo um “link” para o elemento. Se for necessário uma palavra-passe, esta deve ser enviada através de outro canal seguro.

Ao clicar no elemento de ligação, é executado um JavaScript do Bdrive, que faz o download dos fragmentos de ficheiros necessários a partir das várias plataformas. E depois há um processo de reorganização e desencriptação do ficheiro.

Para máxima segurança, o controlo dos ficheiros está intimamente ligado a um dispositivo autorizado e à identidade do proprietário do ficheiro.

“Cartão inteligente”  com leitor de impressões incorporado

Visando fornecer uma segurança mais forte do que as passwords básicas permitem, a Bundesdruckerei também vai demonstrar um sistema de autenticação por impressão digital baseado num cartão inteligente ou “smartcard”, chamado GoID.bundesdruckerei_goid-100714080-medium

Um problema com muitos sistemas de autenticação biométricos é que eles envolvem um armazenamento central e a comparação dos detalhes biométricos dos utilizadores, colocando-os em risco de roubo ou divulgação.

Não é assim com o GoID, no qual as impressões digitais são lidas, armazenadas e comparadas inteiramente no cartão. A única informação que deixa o cartão é uma mensagem assinada digitalmente, a dizer se a autenticação foi bem-sucedida.

Os cartões têm um leitor de impressão digital incorporado como aqueles encontrados nos smartphones de topo de gama e comunicam por interface de RFID. Na maioria dos casos, isso significa ter de conectar um leitor externo à porta USB de um PC.
Mas o cartão também tem um teclado numérico embutido para autenticação nos casos em que uma impressão digital não foi registada.

A inscrição é realizada usando o mesmo cartão e o leitor. Software no PC gere o processo, mas os dados da impressão digital nunca saem do cartão, garante Eric Stange, da Bundesdruckerei.




Deixe um comentário

O seu email não será publicado

6 + six =