HAMAHAMA
UZ RU EN
BILIM BAZASI

Korporativ messenjerda ma'lumotlarni himoyalash

Yozishmalar va fayllar bitta emas, balki bir nechta mustaqil himoya qatlamiga ega bo'lganda haqiqatan ham xavfsiz bo'ladi. Quyida har bir qatlam nima qilishini va nimaga e'tibor berish kerakligini ko'rib chiqamiz.

Qisqacha

Korporativ messenjerda ma'lumotlarni himoyalash bitta texnologiya emas: uchda E2E shifrlash, transportda TLS 1.3, qurilmada SQLCipher bilan shifrlangan lokal baza, OS xavfsiz xotirasidagi kalitlar va RBAC kirish nazorati bir vaqtda ishlashi kerak. Bo'g'inlardan bittasi yo'q bo'lsa, zanjir uziladi.

Nega bitta shifrlash yetarli emas

Korporativ messenjerda ma'lumotlarni himoyalash deganda ko'pchilik faqat «xabarlar shifrlanganmi?» degan savolni tushunadi. Aslida xabar o'z hayoti davomida bir nechta holatdan o'tadi: u sizning qurilmangizda yoziladi, tarmoq orqali uzatiladi, serverda yo'naltiriladi va qabul qiluvchining qurilmasida saqlanadi. Har bir holatda alohida tahdid bor — va har biriga alohida himoya kerak.

Shuning uchun jiddiy yechim «qatlamli» (defense in depth) modelda quriladi: bir qatlam buzilsa ham, ma'lumotlar keyingi qatlam ostida qoladi. Quyida asosiy qatlamlarni ketma-ket ko'rib chiqamiz.

Xabarlarning E2E shifrlanishi

End-to-end (E2E) shifrlash xabarni jo'natuvchining qurilmasida shifrlaydi va faqat qabul qiluvchining qurilmasida ochadi. Server faqat shifrlangan baytlarni ko'radi va matnni o'qiy olmaydi. Zamonaviy standart — Signal protokoli: X3DH bilan kalit almashinuvi va Double Ratchet bilan har bir xabar uchun yangi kalit.

  • Forward secrecy — bitta kalit ochilsa ham, eski xabarlar himoyalangan qoladi.
  • Guruh chatlari — odatda har bir guruh uchun simmetrik kalit (AES-256-GCM) bilan shifrlanadi.
  • Server xabarni ko'rmaydi — bu E2E ning oddiy «server tomonda shifrlash»dan asosiy farqi.

Qurilmada saqlanadigan ma'lumotlar (encryption at rest)

E2E faqat «yo'lda» himoya qiladi. Lekin xabar qabul qilingach, u qurilmaning lokal bazasida saqlanadi. Agar bu baza ochiq matn bo'lsa, o'g'irlangan yoki nazoratsiz noutbukdan butun yozishmalar tarixi o'qib olinadi.

Yechim — lokal bazani shifrlash. Desktop mijozlarda buning keng tarqalgan usuli SQLCipher: bu SQLite ustiga qurilgan, butun ma'lumotlar bazasi fayli AES bilan shifrlangan holda diskka yoziladi. Baza fayli o'g'irlansa ham, kalitsiz uni ochib bo'lmaydi.

Diqqat: shifrlangan baza faqat kalit xavfsiz saqlangandagina ma'noli. Agar kalit shunchaki baza yonidagi faylda yotsa, shifrlash deyarli bekor.

Kalitlar OS xavfsiz xotirasida

Eng nozik element — shifrlash kalitlari. Ular serverga yuborilmasligi, log'larda paydo bo'lmasligi va oddiy konfiguratsiya faylida yotmasligi kerak. To'g'ri yondashuv — kalitlarni operatsion tizimning maxsus xavfsiz xotirasiga topshirish:

  • Windows — DPAPI / Credential Manager, foydalanuvchi seansiga bog'langan.
  • macOS — Keychain.
  • Linux — Secret Service (keyring).

Bunda kalitni faqat tegishli foydalanuvchi va faqat o'z seansida ocha oladi. Boshqa profil yoki tashqi disk orqali kirgan odam kalitga yeta olmaydi.

Transportda himoya, kirish nazorati va ma'lumotlar joylashuvi

Qatlamli himoyani yana uchta muhim element to'ldiradi:

  • TLS 1.3 — qurilma va server o'rtasidagi barcha trafik shifrlangan kanal orqali o'tadi. Bu metama'lumotlar va autentifikatsiya tokenlarini «o'rtadagi odam» hujumidan himoya qiladi.
  • RBAC (rollarga asoslangan kirish nazorati) — kim qaysi kanal, hujjat va modulga kira olishini rol darajasida belgilaydi. Bu ichki tahdid va ortiqcha huquqlardan saqlaydi.
  • Ma'lumotlar joylashuvi (data residency) — serverlar qaysi mamlakatda ekani yurisdiksiyani belgilaydi. O'zbekiston tashkilotlari uchun ma'lumotlar mamlakat ichida yoki o'z infratuzilmasida bo'lishi suverenitet talabi.

Amaliy tekshirish ro'yxati

  • Xabarlar haqiqatan E2E (server ochiq matn ko'rmaydi)mi?
  • Lokal baza diskda shifrlanadimi (at rest)?
  • Kalitlar OS xavfsiz xotirasida saqlanadimi?
  • Butun trafik TLS 1.3 orqali o'tadimi?
  • Kirish rollar bilan cheklanganmi (RBAC)?
  • Ma'lumotlar qayerda fizik saqlanadi va kim yetkazuvchi?

HAMA'da bu qanday hal qilingan

HAMA — O'zbekiston tashkilotlari uchun yagona himoyalangan platforma — yuqoridagi qatlamlarning barchasini birlashtiradi:

  • Xabarlar Signal protokoli (X3DH + Double Ratchet) bilan E2E shifrlanadi; guruhlar uchun AES-256-GCM.
  • Lokal baza SQLCipher bilan shifrlanadi, ya'ni ma'lumotlar qurilmada at rest himoyalangan.
  • Shifrlash kalitlari operatsion tizimning xavfsiz xotirasida saqlanadi.
  • Butun transport faqat TLS 1.3 orqali ishlaydi.
  • Kirish RBAC orqali boshqariladi; mavjud modullar: messenjer, videokonferensiya, HR/obut, helpdesk va boshqalar.
  • Server O'zbekistondagi himoyalangan markazda yoki tashkilotning o'z infratuzilmasida (on-premise) joylashadi — ma'lumotlar O'zbekistonda saqlanadi.

HAMA shuningdek O'z DSt ISO/IEC 27001:2023 va PP-167 (kritik axborot infratuzilmasi) talablariga muvofiqlikka tayyorgarlik ko'rmoqda.

Tez-tez beriladigan savollar

E2E shifrlash bo'lsa, lokal bazani ham shifrlash kerakmi?

Ha. E2E xabarni faqat tarmoq orqali uzatishda himoya qiladi, lekin qabul qilingan xabar qurilmada ochiq holda saqlansa, o'g'irlangan noutbukdan o'qib olinadi. Shuning uchun lokal baza ham SQLCipher kabi shifrlash bilan, kalit esa OS xavfsiz xotirasida himoyalanishi kerak.

Shifrlash kalitlari qayerda saqlanadi?

To'g'ri yondashuvda kalitlar serverda ham, oddiy faylda ham saqlanmaydi. Ular operatsion tizimning xavfsiz xotirasida — Windows DPAPI/Credential Manager yoki macOS Keychain'da — saqlanadi va faqat tegishli foydalanuvchi seansida ochiladi.

Ma'lumotlar qayerda saqlanishi nega muhim?

Ma'lumotlar joylashgan davlatning yurisdiksiyasi va qonunlari ularga kim kira olishini belgilaydi. O'zbekiston tashkilotlari uchun serverlarning mamlakat ichida yoki o'z infratuzilmasida bo'lishi suverenitet va PP-167 talablari uchun muhim.

HAMA ma'lumotlarni qanday himoyalaydi?

HAMA Signal protokoli (X3DH + Double Ratchet) asosida E2E shifrlash, transportda TLS 1.3, lokal SQLCipher bazasi, OS xavfsiz xotirasidagi kalitlar va RBAC kirish nazoratini birlashtiradi. Server O'zbekistonda yoki on-premise joylashadi.

Tegishli maqolalar

HAMA

End-to-End shifrlash nima?

 HAMA

TLS 1.3 nima va nima uchun muhim?

 HAMA

Ma'lumotlar suvereniteti nima?

Tashkilotingiz ma'lumotlarini himoyalashga tayyormisiz?

HAMA jamoasi sizning infratuzilmangiz uchun qatlamli himoyani qanday joriy etishni ko'rsatib beradi. Savollaringiz bo'lsa, biz bilan bog'laning.

Biz bilan bog'lanish