|
|
|
Средства защиты информации : Теория |
|
26.12.2007 ПСКЗИ ШИПКА: решение разных типов задач
С. В. Конявская, к. ф. н. Поскольку криптографические преобразования – шифрование и ЭЦП – признаются единственным надежным способом защиты информации, передаваемой по каналам связи, пристальное внимание к средствам защиты информации, имеющим криптографические функции совершенно естественно как со стороны рынка, так и со стороны государства. Возрастающее значение мобильности в современном мире придает особую привлекательность персональным средствам. Однако необходимо учитывать, что использование дешевых непроверенных и ненадежных средств влечет за собой подчас худшие последствия, чем не использование средств защиты вообще, потому что к незащищенности добавляется безосновательная успокоенность. Поэтому сегодня хорошо понятно, что для обеспечения безопасности информационного взаимодействия на самых разных уровнях предпочтительнее использовать отечественные сертифицированные средства, разработанные компаниями с долговременной хорошей репутацией в области защиты информации. Именно такое средство – ПСКЗИ ШИПКА. Персональное средство криптографической защиты информации (ПСКЗИ) ШИПКА (Шифрование, Идентификация, Подпись, Коды Аутентификации) представляет собой специализированное мобильное устройство, позволяющее надежно выполнять криптографические преобразования и хранить ключи. Базовым элементом ПСКЗИ ШИПКА является микропроцессор, имеющий собственную энергонезависимую память. Кроме того, ПСКЗИ ШИПКА снабжено аппаратным датчиком случайных чисел (ДСЧ) и внешней памятью (data flash). Взаимодействие ПСКЗИ ШИПКА и персонального компьютера может быть организовано через различные интерфейсы. Микропроцессор может выполнять различные операции общего назначения (в том числе и криптографические). В энергонезависимой памяти процессора можно надежно хранить данные (ключи защиты файловой системы, пароли доступа к ключам). ДСЧ позволяет получать качественные последовательности случайных чисел (что очень важно при генерации ключей). В data flash можно хранить большие объемы данных (файлы или ключи, защищенные на ключах защиты файловой системы). Транспортный интерфейс позволяет обмениваться командами и данными с ПЭВМ (существуют реализации устройства, снабженные контроллером USB – ШИПКА-1.5 и 1.6, устройство ШИПКА-CF может обрабатывать данные, передаваемые через интерфейс compact flash, ШИПКА-Express и ШИПКА-Cardbus, соответственно, ExpressCard или PCCARD/CardBus, а ШИПКА-модуль общается с ПЭВМ через I2C и UART). Задачи, которые можно решать с помощью ПСКЗИ ШИПКА разных версий, можно разделить на три большие группы: 1. К задачам первой группы относятся, в частности, следующие: · шифрование и/или подпись файлов; · автоматическое заполнение веб-форм и хранение необходимых для этого данных, в том числе паролей; · аппаратная идентификация и аутентификация пользователя на ПК и ноутбуках, а также в терминальных решениях типа “тонкий клиент”; · защищенное хранилище ключей шифрования и подписи и аппаратный датчик случайных чисел; · авторизация при входе в домены; · шифрование и подпись сообщений электронной почты с использованием различных стандартов; · защита информационных технологий с помощью защитных кодов аутентификации. 2. Архитектура ПСКЗИ ШИПКА такова, что доступ к информации имеет только владелец, но правила доступа к устройству задает администратор в соответствии с корпоративными документами, что позволяет правильно использовать персональное средство защиты информации в корпоративной среде. Помимо организации с помощью ШИПКИ доступа к тем или иным приложениям и прочей функциональности стандартных смарт-карт, ПСКЗИ ШИПКА может применяться для обеспечения подтверждения авторства и целостности электронных сообщений и документов в ЛВС или при использовании технологий терминального доступа, потому что - ключевая информация, ассоциированная с пользователем, и программное обеспечение, выполняющее криптографические преобразования, сосредоточены в одном устройстве, доступны на исполнение только авторизованному пользователю и технологически защищены от чтения и модификации; - собственные ресурсы устройства (возможность получения аппаратной случайной последовательности, возможность хранения собственного закрытого и открытого ключа, возможность хранения отрытого ключа терминального сервера, а также возможность вычисления и проверки подписи) достаточны для организации защиты виртуальных каналов. При этом, что очень важно, внутреннее ПО ПСКЗИ ШИПКА не нуждается в адаптации для терминального либо локального использования. Поддержка стандартных интерфейсов (криптопровайдера и PKCS#11), позволяет комфортно работать с ПО различных производителей без дополнительной настройки процедур взаимодействия с внутренним ПО ПСКЗИ ШИПКА. Это важно, поскольку корпоративная система информационного взаимодействия не может строиться по шаблону – она должна решать задачи, стоящие перед данной организацией, а они могут быть связаны с использованием самых разных приложений. 3. По мере движения к информационному обществу в самых разных сферах жизни применяется все большее число электронных устройств бытового и промышленного назначения, в которые в определенных обстоятельствах может быть нужно встроить поддержку криптографических функций. Однако в таких решениях обычно не применяются интерфейсы для расширения типа PCI, PCI-Express и т. п., а используются шины типа I2C, SPI и т. п. В этом случае каждое устройство должно проектироваться с учетом соответствующих требований для таких устройств и (скорее всего) с расчетом на проведение соответствующих процедур сертификации. Учитывая огромное количество возможных архитектурных и схемотехнических решений, для которых возможно потребуется разработка и сертификация криптографической подсистемы, хорошо понятно, что отдельное решение для каждого случая – не может быть реализовано в разумные сроки, хотя бы из-за конечной пропускной способности сертифицирующих органов. Именно для разработчиков таких устройств, которые должны иметь криптографическую подсистему, предназначена ШИПКА-модуль. Устройство монтируется на печатную плату и выполнено в виде пластикового модуля, имеющего 14 штыревых выводов. Габаритные размеры корпуса (без учета выводов) 25x25x15 мм. Фактически ШИПКА-модуль представляет собой вариант изделия ШИПКА с интерфейсами I2C и UART (во время работы доступен лишь один интерфейс, тип которого определяется при старте модуля и задается выводами конфигурации). Модуль требует для питания 5В для питания ядра и 1.5..5В для питания интерфейса ввода/вывода. Устройство имеет повышенную вибро- и влагостойкость и может быть выпущено как для коммерческого, так и для индустриального (-40..+85) температурного диапазонов. Разборка устройства механически затруднена (модуль залит жестким компаундом), однако даже если ее осуществить – криптографические критичные данные извлечь будет невозможно из-за архитектурных особенностей примененной элементной базы. Таким образом, разработчик специализированного устройства может использовать готовую аппаратную криптографическую подсистему, а не разрабатывать собственную. Достоинством ПСКЗИ ШИПКА, важным для решения всех трех групп задач, является ее перепрограммируемость. В основе устройства – универсальный перепрограммируемый микропроцессор, а это значит, что - функциональность устройства может быть изменена под те или иные требования, что делает интеграцию устройства в различные системы более удобной; - набор реализованных в криптографической библиотеке алгоритмов может включать в себя те, алгоритмы, которые предпочтительнее для тех или иных задач и не содержать никаких других, а может предоставлять пользователю возможность выбора, если это предусмотрено политикой безопасности; - дополнительные функции, реализованные во внутреннем ПО (firmware) ПСКЗИ ШИПКА, если они появились позже, чем устройство было приобретено, могут быть получены пользователем в виде обновления – это существенно продлевает срок эффективной службы устройства и делает его применение более экономичным, чем использование более дешевых средств, не предполагающих возможность обновления и расширения возможностей. С учетом приведенных особенностей, ПСКЗИ ШИПКА представляется одним из наиболее эффективных на сегодняшний день инструментов обеспечения безопасности информационного взаимодействия. А будучи российским сертифицированным продуктом, она может уверенно рекомендоваться к применению в системах и сетях самых разных уровней. Статью "26.12.2007 ПСКЗИ ШИПКА: решение разных типов задач" |
||
|
Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. | info@morepc.ru |
|