Назначение и возможности комплекса File Guard
Программно-аппаратный комплекс File Guard предназначен для криптографической защиты файлов (документов формата PDF и текстовых данных TXT) от несанкционированного доступа, копирования, модификации и распространения. Система обеспечивает строгий контроль над жизненным циклом электронного документа на конечном устройстве пользователя.
В отличие от классических систем управления цифровыми правами (DRM), наш продукт работает непосредственно с операционной системой семейства Windows на уровне доверенных служб (WindowsDriverFoundation). Это позволяет блокировать любые попытки компрометации данных, включая использование виртуальных машин (Hyper-V, VMWare, VirtualBox), отладчиков памяти и специализированного ПО для снятия дампов.
С 1 октября 2024 года доступна обновленная версия клиентского модуля с улучшенным алгоритмом деривации ключей (PBKDF2-HMAC-SHA256, 480 000 итераций). Рекомендуется обновить дистрибутивы на рабочих местах.
Архитектура и механизм работы
Система состоит из двух независимых компонентов: утилиты шифрования (Encryptor), используемой автором контента, и защищенного просмотрщика (Viewer), устанавливаемого на ПК конечного пользователя. Процесс обмена защищенной информацией строится по следующему алгоритму:
- Автор шифрует исходный документ алгоритмом AES-GCM (длина ключа 256 бит).
- Пользователь скачивает клиентский модуль и генерирует уникальный аппаратный идентификатор компьютера (Device ID).
- Идентификатор передается автору для генерации уникального токена активации (серийного номера).
- При попытке открытия файла, модуль Viewer проверяет соответствие токена аппаратному хэшу ПК. В случае несовпадения генерируется аппаратное исключение
InvalidTag.
Ключевые технологии защиты (Anti-Piracy)
| Подсистема | Описание механизма |
|---|---|
| Защита от скриншотов | Интеграция с API Windows (флаг WDA_EXCLUDEFROMCAPTURE). При попытке сделать снимок экрана, использовать программы для записи видео (OBS, Bandicam) или начать трансляцию (Zoom, Skype, Discord) — окно с документом автоматически скрывается (черный экран). |
| Изоляция памяти | Расшифровка документа производится строго в оперативной памяти в защищенном адресном пространстве процесса. Временные файлы на жестком диске (HDD/SSD) не создаются, что исключает возможность их восстановления утилитами восстановления данных. |
| Аппаратная привязка | Формирование хэша на основе серийных номеров материнской платы, процессора (CPU ID) и MAC-адресов сетевых интерфейсов. Лицензия не может быть перенесена на другой ПК путем простого копирования файлов. |
| Защита от отладки | Обнаружение попыток подключения отладчика (анти-отладка) и немедленное завершение работы приложения при обнаружении инструментов анализа кода. |
| Защита от дампинга памяти | Запрет на создание дампов процесса через системные механизмы (минидампы, дампы пользовательского режима). При попытке создания дампа происходит экстренное завершение работы. |
* Программный комплекс разработан в строгом соответствии с ГОСТ Р ИСО/МЭК 27001 и проходит процедуру оценки соответствия.
