В современном мире информационной безопасности особенно важно иметь инструменты, которые способны не только защищать данные, но и обеспечивать абсолютный контроль над процессом исполнения программного обеспечения. Velvet Security Framework — это инновационное решение для Linux-систем, созданное с нуля для организации детерминированной безопасности и доверия на уровне исполняемых файлов, сетевых коммуникаций и управления секретами. Его особенности и функциональность делают его идеальным выбором для тех, кто заботится о суверенности своих вычислительных сред и стремится минимизировать риски, связанные с утечками, внедрением вредоносного кода и внешними атаками. Velvet Suite представляет собой полный стек security-модулей для Linux, сконцентрированных на устранении так называемых «постоянных секретов» и на встраивании криптографических компонентов, которые полностью автономны и не требуют внешних инфраструктурных зависимостей. Ключевым аспектом является применение механизмов реального времени для контроля исполнения приложений через бинарное белое списание, что гарантирует запуск на устройстве лишь тех программ, которые проверены и разрешены по их криптографическому хэшу SHA-256.
Такое хэш-ориентированное доверие выводит систему за рамки традиционных моделей, когда проверка основывается на именах файлов, цифровых подписях или правах доступа, тем самым исключая возможность подделки, подмены ссылок или внедрения вредоносных исполняемых объектов. Основным элементом безопасности является VelvetSafe — системный демон с высокими привилегиями, который использует Linux фанофицера (fanotify) для мониторинга всех попыток запуска бинарных файлов. Механизм белого списка в VelvetSafe строится на уникальных SHA-256 хэшах файлов, что делает невозможным обход через подмену или манипуляции с файлами. VelvetSafe поддерживает особый режим «grace», который активируется во время загрузки системы или при восстановлении и временно разрешает выполнение критически важных системных компонентов. Этот режим автоматически отключается с появлением активной пользовательской сессии, что гарантирует полноценный контроль над политиками безопасности в рабочем состоянии системы.
Управление белым списком и поддержание актуальности доверенной базы обеспечивается с помощью VelvetScan. Этот инструмент выполняет сканирование ключевых каталогов Linux, таких как /bin, /usr/bin, /lib и пользовательских папок с исполняемыми файлами. Он создает и поддерживает базу данных доверия (SQLite), регистрируя криптографические хэши для каждого обнаруженного исполняемого файла, помечая их статусом Trusted (белый список). VelvetScan также удаляет устаревшие записи и обновляет изменённые бинарники, обеспечивая непрерывную синхронизацию базы доверия с фактическим содержимым системы и поддерживая целостность контроля исполнения. Для удобного взаимодействия с базой доверия разработан VelvetLog — командный инструмент для управления whitelist и blacklist на основе содержимого файлов.
Он позволяет администраторам безопасно добавлять, изменять или удалять записи, работать с конфликтами хэшей и интегрируется в автоматизированные скрипты и системы развертывания. Отсутствие зависимости от запущенных служб делает VelvetLog незаменимым для аварийных и безголовых сред, где необходимо восстановить или изменить политики безопасности вручную. Для более комфортного и визуального управления системой была создана VelvetGUI — графический интерфейс, построенный с использованием PyQt6. Интерфейс предоставляет полный доступ к базе доверия, позволяя просматривать все хэши, управлять доверительными статусами и запускать сканирование системы без необходимости владения глубокими знаниями командной строки. Это облегчает администрирование и повышает оперативность реакции на появление новых исполняемых объектов или угроз.
Кроме контроля исполнения Velvet Suite включает компоненты, обеспечивающие надежную сетевую безопасность и управление пользователями. VelvetCTL объединяет функции контроля доступа на уровне MAC-адресов, управление сетевым файрволом (Phalanx), ведение криптографически защищенных журналов событий (Xerxes) и организацию иерархической идентификации пользователей и устройств (Yggdrasil). Все эти подсистемы обеспечивают не только надежный контроль, но и возможность детального аудита, что важно для поддержания детерминированного доверия в комплексной среде. Одним из уникальных элементов Velvet Suite является VelvetBeacon — менеджер секретов, работающий полностью в памяти и периодически обновляющий ключи шифрования. Он раздаёт короткоживущие секреты по локальному TCP или UNIX сокету, благодаря чему все компоненты системы могут синхронизироваться и использовать актуальные ключи без сохранения долговременного материала на диске, что повышает уровни безопасности и снижает риски компрометации.
Для организации защищенной передачи данных разработаны VaultCLI и FileServer.py. Они реализуют протокол детерминированной, полностью зашифрованной передачи файлов с поддержкой идентификаторов UUID и хранением только шифрованных бинарных данных на сервере. Это обеспечивает надежный, частный обмен файлами без зависимости от облачных сервисов или третьих сторон, что особенно актуально в условиях требования к суверенитету данных. VelvetTLS представляет собой легковесный транспортный шифровальный слой с использованием специальных потоковых шифров и бессертификатной аутентификации, реализуемый поверх TCP или UNIX-сокетов.
Такая архитектура обеспечивает защищенную коммуникацию без необходимости традиционных PKI-структур, что снижает сложность и уязвимости, присущие классическим протоколам TLS. Для безопасного обмена сообщениями предусмотрен Messenger — командный чат-клиент, использующий VelvetTLS и уникальную технологию кодирования сообщений через форматирование SHA-256, что обеспечивает конфиденциальность, недоказуемость и защищенность каждой сессии. Почтовый сервер сообщений работает как простой ретранслятор, не сохраняя личных данных или содержимого сообщений, что значительно минимизирует поверхность атаки. Важной частью комплекса является Styx — локальный парольный менеджер с необычной методикой хранения данных через стеганографию в медиафайлах. Оно позволяет разбивать учетные данные на зашифрованные фрагменты, распределенные по различным типам файлов, что исключает возможность обнаружения и компрометации паролей.
Помимо локальной версии, StyxOnline обеспечивает безопасную синхронизацию паролей между устройствами при помощи продвинутых криптографических протоколов. Velvet Security Framework — это не просто набор инструментов безопасности, а полноценная экосистема, создающая уникальный доверительный контур на устройствах и в сетях. Благодаря использованию локального криптографического контроля, отсутствию постоянных секретов на дисках, продвинутым методам управления ключами и сетевой инфраструктуре, этот комплекс обеспечивает надежную защиту даже в условиях ограниченного подключения к интернету или полностью изолированных систем. Реализация Velvet Suite актуальна для высокозащищенных корпоративных, государственных и исследовательских организаций, а также для пользователей, которые не готовы жертвовать контролем ради удобства работы с облачными сервисами. Открытое исследование и возможная адаптация таких систем будет способствовать развитию безопасных вычислительных архитектур с максимальным уровнем конфиденциальности и автономности.
Постоянная активная разработка и внедрение новых криптографических методов делают Velvet Security Framework перспективным решением для будущего IT-безопасности. Применение в реальных инфраструктурах позволит определить устойчивость и практическую эффективность, что важно для основанных на доверии вычислительных моделей и технологий защиты информации.
