Как включить сквозное шифрование (E2EE)

KidLogger — это первое в мире решение для мониторинга, предлагающее сквозное шифрование (E2EE). Все данные, перехватываемые с устройств ребенка, шифруются непосредственно на самом устройстве и могут быть дешифрованы только владельцем учетной записи. В отличие от SSL-шифрования, которое защищает данные только в процессе передачи (data in transit), E2EE гарантирует, что информация остается зашифрованной даже после поступления на облачные серверы KidLogger. Данные хранятся в защищенном виде во всех инстансах баз данных, средах выполнения и алгоритмах обработки внутри нашей облачной инфраструктуры.

Когда вы входите в свою учетную запись KidLogger, данные передаются в исходном зашифрованном виде и дешифруются «на лету» (on-the-fly) прямо в вашем веб-браузере с помощью JavaScript и встроенных криптографических функций браузера. В данном руководстве объясняется, как установить или обновить KidLogger Agent и включить функцию E2EE.

Мы рады объявить, что сквозное шифрование теперь доступно в экспериментальном режиме для новых учетных записей пользователей. Как и другие инструменты учета времени, KidLogger фиксирует, как часто и как долго используется каждое приложение, документ или веб-сайт, рассчитывает общее время и организует результаты в отчеты. Новизна заключается в том, что благодаря E2EE эти данные теперь полностью зашифрованы — даже от собственных серверов KidLogger.
Чтобы протестировать эту функцию, скачайте последнюю версию KidLogger Agent для Windows с поддержкой E2EE и выполните указанные ниже действия.

Шаг 1: Включите шифрование в своем профиле

Перейдите на страницу своего Профиля и нажмите «Включить шифрование». Обратите внимание, что эта настройка применяется только к новым устройствам — она не повлияет на уже существующие устройства или ранее сохраненные данные.

Включить шифрование

Затем нажмите «Резервное копирование ключей» (Backup Keys), чтобы скачать защищенный файл, содержащий ваш Мастер-ключ шифрования. Этот файл необходим для автономного доступа к вашим данным и для восстановления учетной записи в случае, если вы забудете свой пароль.

Шаг 2: Установите новую версию KidLogger Agent

Скачайте новый KidLogger Agent.

Для обновления: просто установите программу поверх текущей версии.
Для чистой установки: установите новую версию и запустите KidLogger, чтобы привязать приложение к своей учетной записи. Узнайте, как привязать устройство.

Первоначально вновь добавленное устройство будет отправлять данные об активности только в анонимизированном и нешифрованном виде. Вам потребуется подтвердить шифрование для этого устройства в профиле вашей учетной записи, как описано в следующем шаге.

Шаг 3: Подтвердите устройства для зашифрованных данных

После установки или обновления агента зайдите в свою Панель управления (Dashboard), используя веб-браузер Mozilla Firefox (это важно!). Вы увидите уведомление с предложением подтвердить шифрование для нового устройства.

Подтвердить устройства

Если вы вошли в систему через браузер Mozilla Firefox, это сообщение появится и затем исчезнет автоматически.

На этом все. В течение часа KidLogger Agent на устройстве получит подтверждение и начнет сбор и шифрование данных об активности на основе ваших настроек.

Шаг 4: Просмотр зашифрованной панели управления и отчетов

Несмотря на то, что ваши данные зашифрованы, Панель управления и отчеты визуально останутся практически неизменными. Это возможно благодаря дешифрованию в реальном времени, выполняемому прямо в вашем веб-браузере с помощью Web Crypto API, который поддерживается большинством современных браузеров, таких как Chrome, Firefox, Opera и Safari. Наш собственный JavaScript запускается в вашем браузере и автоматически расшифровывает весь зашифрованный контент, полученный от серверов KidLogger.

Как E2EE влияет на учет времени?

Зашифрованные данные сохраняют точно такую же структуру, как и незашифрованные. Например, изначально KidLogger мог фиксировать значения вроде «winword.exe» или «gmail.com» для расчета времени, проведенного в приложении.
При включенном шифровании эти текстовые значения преобразуются в зашифрованные токены вида «w6Wd4SSxgK9EqmHuR4EAWw==" или «UssM8UxGazi4kDxn5JDO4g==».
Поскольку каждая учетная запись использует уникальный ключ шифрования, идентичные входящие данные (например, имя приложения или веб-сайта) всегда будут генерировать один и тот же зашифрованный токен. Такая детерминированная согласованность позволяет KidLogger точно анализировать статистику использования, обеспечивая при этом абсолютную конфиденциальность данных.

Зашифрованные приложения

Технические примечания

Функция E2EE имеет открытый исходный код и реализована в файле jsec.js, доступном на сайте kidlogger.net. Она использует Web Crypto API и работает полностью в оперативной памяти вашего браузера. Серверы KidLogger отвечают только за хранение данных и обмен ключами — сами они никаких операций шифрования не выполняют.

Краткое описание реализации KidLogger E2EE

  • Каждая учетная запись пользователя и каждый установленный агент генерируют свою собственную пару ключей RSA (2048-бит).
  • Владелец учетной записи также генерирует случайный 256-битный симметричный ключ AES, называемый Мастер-ключом.
  • Мастер-ключ шифруется с использованием пароля учетной записи с помощью PBKDF и AES-256, а затем сохраняется на сервере в виде зашифрованного блока данных (блоба).
  • Мастер-ключ также зашифровывается с помощью RSA-SHA1 и отправляется на клиентские устройства (агенты) через сервис KidLogger.
  • Агенты используют Мастер-ключ для шифрования всех конфиденциальных данных: названий приложений, заголовков окон, URL-адресов, нажатий клавиш (keystrokes), содержимого буфера обмена (clipboard), текста чатов, имен документов, снимков экрана, фотографий и аудиозаписей.
  • Неконфиденциальные метаданные (например, временные метки, длительность активности, типы действий) остаются незашифрованными для обеспечения возможности составления отчетов.
  • Пароли никогда не отправляются на серверы KidLogger в открытом текстовом виде (plain text).
  • После активации функции E2EE ее нельзя будет отключить обратно.
  • Сервис KidLogger не хранит и не запрашивает закрытые ключи (Private Keys), а управляет только открытыми ключами (Public Keys) и зашифрованными пакетами данных.
  • Мы работаем над дальнейшим улучшением этой модели, чтобы ключи шифрования хранились исключительно в памяти браузера на доверенных устройствах. В настоящее время ведется разработка плагина для браузеров SafeJKA, который обеспечит строгий контроль над безопасной аутентификацией и единоличным владением ключами.