Мультидоступ

Иллюстрация концепции мультидоступа в Novij Protocol

Мультидоступ в Novij Protocol — система криптографического делегирования прав без централизованного сервера. Любая операция с данными выполняется только при наличии действующего ключа, выданного владельцем (мастер-клиентом). Права можно гибко распределять между пользователями и группами, а при необходимости — отзывать. Под капотом — схема взаимосвязей между блоками, ключами и событиями, скрытая от конечного пользователя.

Архитектура ключей

  • Мастер-ключ (у владельца данных) создаёт саб-ключи и определяет их права.
  • Оплата операций может идти либо через мастер-ключ, либо с баланса владельца саб-ключа — настраивается при выдаче.
  • Ключ шифрования блока обновляется по необходимости, например при переходе к следующему блоку или отзыве доступа.
  • При отзыве доступа саб-ключ перестаёт получать новые ключи шифрования и может лишь читать старые данные, но не записывать и не расшифровывать новые.

Права доступа

Матрица прав распределяется отдельно для данных, групп и пользователей:

  • Данные: чтение | запись | удаление
  • Группы: чтение | редактирование | удаление
  • Пользователи: создание | редактирование | удаление

Механизм отзыва

  • Владельцу достаточно перестать публиковать новый ключ шифрования для конкретного саб-ключа.
  • Пользователь, вышедший в онлайн после отзыва, увидит только старые блоки и утратит возможность читать или писать новые данные.

Частичный доступ к данным

Один логический лист разбивается на независимые блоки:

  • Общие блоки читаются несколькими группами.
  • Приватные блоки доступны одной группе.
  • Клиент собирает нужные блоки локально, формируя целостный вид.

Реальные кейсы

  • IT-проект. Разработчики получают чтение/запись репозитория, внешний аудитор — только чтение. После ревью саб-ключ аудитора отзывается, разработчики продолжают работу без перерыва.
  • Медицинская клиника. Врачам выдаются саб-ключи с доступом к записям своих пациентов. Лаборатория имеет чтение результатов анализов, но не видит личные данные. При увольнении врача его саб-ключ блокируется, новые записи остаются недоступными.
  • Отдел продаж. Менеджерам доступна запись в свои сделки, а руководителю — чтение всех сделок. При перераспределении территорий руководитель отзывает саб-ключи и выпускает новые с ограниченными сегментами клиентов.
  • HR-отдел. Рекрутеры создают карточки кандидатов (запись), нанимающий менеджер видит статус, но не редактирует резюме. При смене директора его старый саб-ключ отключается и выдаётся новый, содержащий права чтения на все кадры и записи только в свой блок замечаний.
  • Филиальная сеть. Головной офис держит мастер-ключ, филиалам выдаёт саб-ключи: каждому — чтение общих данных и запись в свой филиальный блок. При закрытии филиала ключ отзывается, вся история остаётся неизменной.