PDF security

Расскажи потом, как от скриншотов этих ваших ценнейших документов защитился.

В теории, PDF содержит все необходимые механизмы для интеграции с PKI, в том числе incremental changes. Т.е. сам документ может быть подписан, и, затем, может быть добавлена отдельная подпись получателя документа.

Далее на системе data leakage protection можно ловить эти подписи передаваемые по недоверенным каналам.

Но это все только от совсем тупых сливальщиков. А им лучше не предоставлять доступ к классифицированным данным.

Никто не помешает сотруднику делать снимки экрана на мобильник и прогонять их сковзь распознование текста. Тут даже водяные знаки не помогут.

Учитывая что вопрос на лоре (и в /t/), то речь не идет об охраняемых комнатах для ознакомления только с экрана под прицелом сертифицированной системы видеонаблюдения. скорее всего должно хватать простых административно технических мер - подписанный юридически грамотный NDA, правильной классификации документов, информированность о хранении всей почты, наличии системы DLP (есть ли, нет ли этих систем - не так и важно) - процентов 80 желающих слить «что бы было» это остановит. Ну зарплата у сотрудников должна учитывать доступ.

От скринов водяным знаком, да, другого не вижу способа

От скринов водяным знаком, да, другого не вижу способа

Выше уже написали, что скрины можно и мобильником с экрана делать. Да и не факт, что после банального jpeg останутся различимые знаки.

Нет, тут все гораздо проще, нужно сделать на коленке систему которая просто по утекшему файлу определяла бы источник утечки

Ну а проблема то в чем, если можно генерить файл под каждого? Криптохеши у них значит разные у всех - т.е. определить от кого утекло проблемы нет.

При реализации «на коленке» такой подход создаёт проблем больше решает. Что будете делать если файлик сотрудника A в dropbox/куда-то-ещё выложит сотрудник B?

поэтому думается о следующем:
Защитить каждый документ паролем, уникальным. Но какой-нибудь мастер-пароль на все документы поставить один.
Такое возможно в PDF? И главное, используя свободные библиотеки

После jpeg (иногда) остаются в скринах, уже не 100% конечно. Но вот после OCR ловить уже нечего.

Было некое решение (точнее была его реклама) которое форматировало текст под конкретного пользователя - типа если сделать распечатку - у разных пользователей будет немного разный вариант исходников (эта система под исходники расчитана была) - как по мне так балшит.

И как пароль поможет найти от кого утекло?

Сделали уникальный документ - и храните в базе его хеш и кому он предоставлен.

Да, звучит лучше всего.
Тогда следующий вопрос - а что из свободного ПО принято использовать для генерации watermarks? Poppler умеет что-нибудь такое?

Сам не делал, но гугл намекает нам, что:

man pdftk

pdftk - A handy tool for manipulating PDF

Apply a Background Watermark or a Foreground Stamp

Да. Сам тоже гуглил и увидел, но судя по слову tk это нечто с гуем, а хотелось бы нечто библиотечное, или imagemagick. Хотелось бы реальных примеров, но если их не будет, то разберусь сам, конечно

а, таки нет, pdftk консольная но похоже платная

Написать в документе Выдано тому-то тому-то. Сгенерить хэш.

бумажный экземпляр под роспись. иное - никак.

Экземпляры должны быть рукописными. С мелкими различиями. Тогда, при OCR будет видно. Например, на странице 11, пятый параграф, заглавные буквы обозначают ФИО сотрудника. Для каждого сделано по-своему. Хотя эту идею можно использовать и в PDF...

Ну, тогда все USB заклеить, почтой пользоваться запретить, Интернетом - запретить, вести логирование работы, личный досмотр при входе на наличие фото- , видео- камер, usb-накопителей, изъятие телефонов

Хотя, по вопросу ТСа важен бюджет, все решаемо, да. Но судя по тому, что он пишет это здесь бюджета нет и вопрос так, не особо важен.

Да, и я вангую, что это он будет делать для

МФТИ (ГУ) '15 Факультет:Аэромеханики и летательной техники

а, таки нет, pdftk консольная но похоже платная

Устанавливается «yum install pdftk» из репозитория fedora

Да, и я вангую, что это он будет делать для МФТИ

ТС в ВШЭ учился. Вероятно окончил уже.

Методами стеганографии. Различия в яркости отдельных страниц (яркости символов), ими закодировать сообщение. Например - id пользователя. И не надо будет писать ничего. В какую именно информацию/метаинформацию внедрять - сам решишь. Чтобы пользователь не «почистил» её, можно запаролить мастер-ключом.

Как ты собрался pdf защищать? Если нельзя документацию выносить за пределы предприятия, организуй на предприятии полностью автономную локалку (абсолютно без выхода наружу), полностью догола раздевай на входе народ и заставляй переодеваться в рабочую спецовку после прохождения досмотра на рентгене, а еще лучше запри рабов в шарашку и пусть работают.

Ну ты и фантаст! Прогоняем pdf через pdftk, pdftops или иной конвейер (особо тупые могут на «pdf-принтере распечатать»), вуаля! Никаких твоих защит.

Ты мне того ламера напоминаешь, который интересовался, какого хрена он платит за трафик, если ничего не качает, а только смотрит.

Если пользователь не полный даун, то не взлетит. Любой документ, содержимое которого можно увидеть на экране, уже ничем не защищен. Тупо, как говорили, надергать скриншотов и заOCRить. А в случае с pdf все намного проще.

Любой документ, содержимое которого можно увидеть на экране, уже ничем не защищен.

А, вы про скриншоты. Так торренты же для раздачи больших PDF:JPEG/DjVu файлов обещают к 2016 году закрыть. А делать OCR - это муторная задача, к тому же если «ксерить» большой документ. 4 секунды на страницу+перелистывание - порядка 2 страниц в минуту при нормальной скорости ручной подачи: 120 страниц в час без отдыха. А если книга 500 страниц, какой нормальный человек будет таким заниматься, а потом чистить и выравнивать результат, вычитывать текст после ABBYY Finereader Sprint(R)(C)? Знаешь, работа неблагодарная.

От простого же воровства и утечки информации можно защититься только, если делать вирусный код - типа макросов в Excel. Который будет выполнять некоторые действия в обход команд пользователя. Привилегии в смысле «безопасности» у этого скрипта будут больше пользовательских. Как технически - не знаю.

после прохождения досмотра на рентгене,

Если так подходить к делу, то лучше вместо PDF использовать EXE с анимированными пляшущими буквами.

А, вы про скриншоты

Не только. Про возможности консольных утилит работы с pdf уже говорилось.

к тому же если «ксерить» большой документ,

то можно на штатив от фотоувеличителя присобачить фотоаппарат, к нему — автопривод на ножную педальку. Перевернул странички, жамкнул педальку, дальше перевернул. И будет тебе страниц 30-60 в минуту!

ABBYY

Фу, как пошло на сайте о свободных ресурсах этот шлак фекально огороженный вспоминать! Только cuneiform!

Excel

Тебя что, вантузятники покусали и ты бешенством заразился?

EXE

Действительно, тебе стоит пройти курс лечения от бешенства!

Учти, укусы вантузятников смертельно опасны! Если вовремя не вылечиться, то будешь потерян.

Всем умникам... Вы когда последний раз pdf файнридером открывали? В общем, не технический вопрос. Только печатные копии, прошитые, под наблюдением.

Только не в яркости, потому что OCR. Надо внедрять опечатки в случайных местах, кодируя ими id пользователя. В наше время обилие опечаток никого не удивит, а утекший любым способом кусок документа позволит идентифицировать вора.

Вы когда последний раз pdf файнридером открывали?

Активно использовал в 2006 году, до принятия ГКч4. А что?

Только cuneiform!

<flame>Чем оно лучше Tesseract?</flame>

Тем, что про tesseract я первый раз в жизни слышу ☺

А для чего тогда водяные знаки?

Для того, чтобы не умеющий работать за компьютером, не мог себе нормальную распечатку сделать.

Ну вот и сойдет

Так у тебя там все некомпетентные что ли? И нафиг они всрались?