¿Restringir el acceso al contenido del archivo es una forma de obtener información sensible pero necesaria para el día a día de un software de terceros?

Si entiendo esta pregunta correctamente, estás proponiendo un sistema donde las aplicaciones nunca pueden leer un archivo, pero solo envían comandos a una interfaz que lee y modifica datos. De esa manera, la aplicación no sabrá nada sobre los datos con los que opera. Eso no va a funcionar como una forma de proteger sus datos. Déjame explicarte por qué.

Digamos que tengo algunas fotos que quiero recortar, pero no quiero que mi aplicación de edición de fotos las vea. La aplicación de edición de fotos simplemente enviaría el comando de recorte a la interfaz JPG, y la interfaz realizará el recorte.

Y si quiero ver la imagen en la pantalla mientras la recorro, creo que la interfaz también tendrá que ocuparse de eso. Y si la ventana de la aplicación de fotos se redimensionara para ajustarse a la imagen, la interfaz tendría que hacerlo también porque la aplicación no sabría el tamaño de la imagen. Pero sepa que la aplicación de fotos no sabe el tamaño de su propia ventana ... ¿cómo puede controlar qué botones se muestran en la barra de herramientas? Supongo que la interfaz también tendrá que ocuparse de eso.

¿Ves lo que está pasando aquí? La interfaz está asumiendo toda la complejidad que maneja la aplicación. Simplemente no hay una interfaz limpia entre la lectura y la escritura, por lo que la interfaz solo tragará más y más aplicaciones hasta que la aplicación sea solo un shell vacío alrededor de la interfaz.

Y si la interfaz es tan compleja como solía ser la aplicación, uno tiene que hacer la pregunta: ¿De dónde vienen las interfaces? La gente simplemente descargará interfaces llenas de troyanos en lugar de aplicaciones llenas de troyanos.

Este tipo de ocultación de información tiene algunas debilidades clave.

Primero, para ser útil, los datos ocultos deben producir algún tipo de salida visible. Esa salida visible se puede analizar para una entrada dada y, en general, es posible trabajar hacia atrás para determinar qué aspecto de al menos parte del original debe tener. Eventualmente, puede acumular lo suficiente para realizar modificaciones maliciosas sin tener que ver directamente los datos que está cambiando.

Segundo, no todos los ataques están relacionados con la captura de datos. Este sistema no hace nada para evitar la corrupción o destrucción de datos. No importa si puedo ver sus registros financieros si puedo decir "establecer todos los saldos debidos a 0". Si alguien puede destruir su sistema, no ayuda mucho que no tengan acceso para VER sus datos.

Por último, un sistema de este tipo aún sería potencialmente vulnerable a las vulnerabilidades que podrían comprometer la funcionalidad del sistema operativo. El sistema operativo aún debe poder escribir en él y cuanto más complejas sean las instrucciones que operan con los datos, mayor será la posibilidad de que un error de software permita romper el sistema en mayor o menor medida.

Eso no significa que tales sistemas sean inútiles, pero tienen casos de uso muy específicos y se usan como parte de una defensa en profundidad para evitar el uso indebido. Existe un tipo completo de criptografía llamada encriptación homomórfica que permite realizar operaciones matemáticas en datos encriptados sin descifrarlos. Dichos sistemas son bastante complejos, pero son útiles en situaciones donde las operaciones deben ser realizadas por sistemas que no deben tener conocimiento de los datos en los que realmente están operando.

La clave, al igual que con todo lo relacionado con la seguridad, es comprender las amenazas que necesita mitigar y las capacidades y debilidades de las herramientas que está utilizando para abordar esas amenazas. Las operaciones de datos opacos son una herramienta, pero muy especializada y limitada que se ajusta a un nicho muy específico y generalmente pequeño.