Сквозное Шифрование позволяет зашифровать все данные полученные с компьютера компании о действиях сотрудника в момент их появления. Расшифровка данных произойдет только в интернеaт-браузере владельца учетной записи, в момент просмотра списка сотрудников, отчетов.
При этом все функции учета рабочего времени и отчеты продуктивности будут работать как обычно, поскольку StaffCounter производит определённые операции с зашифрованными данными но результат остается зашифрованным и его может посмотреть только владелец секретного ключа. В нашем случае, это операции сортировки и агрегирования данных. Как и любая другая система учета рабочего времени, StaffCounter учитывает частоту использования приложений, сайтов а также суммирует данные периоды в длительность работы по каждому приложению. Это делается чтобы анализировать наглядно на что именно уходит рабочее время сотрудника. При этом архитектура Сквозного Шифрования надежно скрывает имена сотрудников, приложений и сайтов, рабочих документов от самой системы StaffCounter, но дает возможность считать продуктивное рабочее время и строить отчеты в базе данных нашего сервера.
Зайдите в ваш профиль на сервере и нажмите кнопку “Enable Encryption”. Обратите внимание, что этот параметр не повлияет на существующие устройства и данные вашей учетной записи.
Щелкните на кнопке Backup Keys, чтобы загрузить файл резервной копии для вашего главного ключа шифрования. Это позволит вам получить доступ к своим данным в автономном режиме, а также восстановить доступ к вашей учетной записи, если вы забыли пароль.
Загрузка StaffCounter для Windows v.9.2 (beta) >
Для обновления – просто переустановите StaffCounter поверх существующей версии. Для новой установки – установите его и откройте StaffCounter, чтобы подключить его к своей учетной записи. Узнайте больше о том, как его подключить.
Когда устройство добавлено – оно начнет выгружать только данные о производительности сотрудников в простой форме, пока вы не подтвердите шифрование для него в профиле учетной записи, описанном в следующей главе.
После успешного обновления или установки нового приложения StaffCounter Agent вам необходимо посетить страницу Dashboard снова. Вы должны увидеть уведомление о подтверждении новых устройств с поддержкой шифрования. Перейдите по ссылке >
На странице «Профиль» – раздел «Encryption» – отметьте новое устройство и нажмите «Confirm Encryption».
Готово. В течение часа подтверждение будет получено приложением StaffCounter на компьютере, и оно начнет сбор и шифрование всех данных о производительности в соответствии с настройками.
Вы не заметите особых изменений в своей панели инструментов и в отчете, несмотря на то, что вся информация зашифрована. Это возможно благодаря процессу дешифрования на лету прямо в веб-браузере благодаря стандарту Web Crypto API, доступному в большинстве браузеров, таких как Chrome, Firefox, Opera, Safari и других. Специально разработанный код Java Script работает в веб-браузере постоянно расшифровывает все зашифрованные строки в содержимом веб-страницы, передаваемой сервером StaffCounter.
Как E2EE влияет на отслеживание времени, категоризацию продуктивности и предупреждения?
Учет времени и отчеты о производительности будут работать точно так же, но правила продуктивности необходимо переназначить.
Фактически, зашифрованные данные имеют текстовую структуру. Например, до шифрования StaffCounter использует строку «winword.exe» или «gmail.com» для расчета общего времени, проведенного в приложении, и назначения категории производительности.
После включения шифрования StaffCounter использует токенизированные строки, которые выглядят как «w6Wd4SSxgK9EqmHuR4EAWw ==» или «UssM8UxGazi4kDxn5JDO4g ==» для расчета того же общего времени или присвоения категории производительности. Это возможно, потому что для шифрования всех данных, загружаемых компьютерами из определенной учетной записи / организации на сервер StaffCounter, используется один и тот же ключ шифрования. Таким образом, конкретное имя приложения, заголовок или URL-адрес поддерживает одну и ту же токенизированную текстовую форму в данных одной учетной записи. Это позволяет обрабатывать зашифрованные данные таким же образом, но с максимальным уровнем анонимности и конфиденциальности.
Поскольку рабочая папка программы Staffcounter видна всем пользователям, то если не включить шифрование, то журналы и скриншоты, хранящиеся локально, доступны для просмотра всем пользователям. Но после включения шифрования они приобретают нечитабельных характер. Это обеспечит надежную защиту предприятия от инсайдеров.
Все отчеты, отправляемые на электронную почту аккаунта, будут содержать зашифрованные данные. Это позволяет защитить конфиденциальность даже после периода хранения данных в вашей организации. Мы работаем над публикацией подключаемого модуля веб-браузера, который позволит расшифровывать отчеты StaffCounter в любой электронной почте в Интернете, такой как Gmail или Outlook.
StaffCounter позволяет скачивать все данные для конкретного компьютера или отдела. Эти данные включают в себя необработанный журнал действий пользователя в хронологическом порядке и скриншоты. Если шифрование включено, эта резервная копия будет зашифрована. Для просмотра данных вам необходимо установить плагин SafeJKA Browser.
Такие менеджеры не смогут видеть расшифрованные данные. Вся информация предстанет в нечитабельном виде.
Для того, чтобы прочитать информацию, директор (учетная запись, предоставляющая доступ), должен предоставить свои ключи шифрования менеджеру (учетной записи, принимающей доступ). Для этого в учетной записи директора, на странице Profile нужно произвести резервное копирование ключей в текстовый файл.
На закладке Tools нужно выполнить команду Backup keys
Будет загружен текстовый json-файл. В этом файле нужно будет поменять email с адреса директора на адрес менеджера – помошника.
После этого директор должен передать этот файл менеджеру. Менеджер, у себя в профиле, тоже на странице profile, в разделе encryption на закладке Tools осуществляет импорт ключей путем команды Restore keys. После этого система автоматически произведет выход из учетной записи. После повторного входа данные директора уже будут представлены в расшифрованном виде.
Функциональность E2EE имеет открытый исходный код и размещена в файле jsec.js, доступном на сайте data.staffcounte.net. Шифрование основано на Web Crypto API, доступном в большинстве веб-браузеров и выполняется только в памяти веб-браузера. Служба StaffCounter помогает хранить и обмениваться открытыми ключами и непрозрачными зашифрованными данными между владельцем учетной записи пользователя и компьютером с приложением StaffCounter Agent.
Краткая спецификация StaffCounter End-2-End Encryption:
- Каждая учетная запись пользователя и агенты StaffCounter, установленные на компьютерах, генерируют свою собственную пару ключей RSA с 2048-битными приватными и открытыми ключами.
- Владелец учетной записи пользователя генерирует случайный 256-битный ключ шифрования AES, который называется MasterKey.
- MasterKey защищен паролем учетной записи пользователя с помощью промежуточного ключа PBKDF / AES-256 и хранится в службе StaffCounter в виде зашифрованного большого двоичного объекта.
- Учетная запись пользователя шифрует MasterKey с помощью RSA-SHA1 и отправляет его на компьютеры с помощью службы StaffCounter в виде зашифрованного большого двоичного объекта.
- StaffCounter Agent шифрует конфиденциальную информацию в производственных данных с помощью AES-256 бит MasterKey: имя приложения, заголовок окна, URL-адрес, нажатия клавиш, буфер обмена, текст чата, имя документа, снимки экрана, снимки с камеры, голосовые данные. Мета-данные, такие как тип действия, время и продолжительность, хранятся в понятной форме.
- Вывод ключей PBKDF используется для защиты пароля учетной записи пользователя и генерации промежуточных ключей шифрования.
- Пароль учетной записи пользователя никогда не передается на сервер StaffCounter в открытом виде.
- После включения шифрование данных нельзя отключить в учетной записи StaffCounter и в приложениях агента.
Сервис StaffCounter не выполняет криптографические операции и хранит только открытые ключи или непрозрачные зашифрованные данные. Мы работаем над продолжением улучшений, позволяющих владельцам учетных записей пользователей хранить MasterKey и соответствующие RSA SecretKey только в памяти браузера доверенного компьютера. В настоящее время мы работаем над плагином SafeJKA для веб-браузеров, который реализует строгую аутентификацию и принцип владения шифрованием.
