<< Предыдущая

стр. 35
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Аппаратная реализация функций КС. Использование аппаратных средств снимает
проблему обеспечения целостности системы. В большинстве современных систем защиты от НСД
применяется зашивка программного обеспечения в ПЗУ или в аналогичную микросхему. Таким
образом, для внесения изменений в ПО необходимо получить доступ к соответствующей плате и
заменить микросхему.
В случае использования универсального процессора реализация подобных действий
потребует применения специального оборудования, что еще более затруднит проведение атаки.
Использование специализированного процессора с реализацией алгоритма работы в виде
интегральной микросхемы полностью снимает проблему нарушения целостности этого алгоритма.
На практике для повышения класса защищенности КС функции аутентификации пользователя,
проверки целостности (платы КРИПТОН-НСД, АККОРД и др.), криптографические функции
(платы КРИПТОН-4, КРИПТОН-4К/8, КРИПТОН-4К/16, КРИПТОН-4/PCI, КРИПТОН-7/PCI,
КРИПТОН-8/PCI), образующие ядро системы безопасности, реализуются аппаратно (табл.10.1), все
остальные функции – программно.
Для построения надежной системы защиты КС ее разработчик должен владеть возможно
более полными знаниями о конкретной операционной системе (ОС), под управлением которой будет
работать система. В настоящее время отечественные разработчики располагают относительно
полной информацией только об одной операционной системе — DOS. Таким образом, к целиком
контролируемым можно отнести КС, работающие в операционной системе DOS, или КС собственной
разработки.
Таблица 10.1
Аппаратные устройства криптографической защиты данных серии КРИПТОН
Наименование Описание

КРИПТОН-4 Шифрование по ГОСТ 28147-89 (специализированным
шифропроцессором "Блюминг-1").
Генерация случайных чисел.
Хранение 3 ключей и 1 узла замены в шифраторе.
Загрузка ключей в устройство до загрузки ОС, с дискеты
или со смарт-карты, минуя оперативную память ПК.
Защита от НСД.
Скорость шифрования до 350 Кбайт/с
Интерфейс шины ISA-8.
КРИПТОН-4К/8 Функции устройства КРИПТОН-4.
Более современная, чем в КРИПТОН-4, отечественная
элементная база (шифропроцессор "Блюминг-1К").
Аппаратный журнал работы с устройством.
Загрузка ключей с Touch-Memory.
Скорость шифрования до 610 Кбайт/с.
Интерфейс шины ISA-8.
КРИПТОН-4К/16 Функции устройства КРИПТОН-4K/8.
Функции электронного замка персонального компьютера
- разграничение доступа, проверка целостности ОС.
Скорость шифрования до 950 Кбайт/с.
Интерфейс шины ISA-16.
КРИПТОН-4/PCI Функции устройства КРИПТОН-4K/16.
Скорость шифрования до 1100 Кбайт/с.
Интерфейс шины PCI Target.
Возможность параллельной работы нескольких плат.
КРИПТОН-7/PCI Функции устройства КРИПТОН-4/PCI.
Хранение до 1000 ключей (таблиц сетевых ключей) в
защищенном ОЗУ. Управление доступом к ключам.
Скорость шифрования до 1300 Кбайт/с.
Интерфейс шины PCI Master/Target.
Возможность параллельной работы нескольких плат.
КРИПТОН-8/PCI Функции устройства КРИПТОН-7/PCI.
Хранение 32 ключей и 2 узлов замены в шифраторе, до
4000 ключей в защищенном ОЗУ. Аппаратная
реализация быстрой смены ключей.
Скорость шифрования до 8800 Кбайт/с.
Интерфейс шины PCI Master/Target.
Возможность параллельной работы нескольких плат.
КРИПТОН-НСД Шифрование по ГОСТ 28147-89 (программой из ПЗУ).
Генерация случайных чисел.
Защита от НСД.
Загрузка ключей с дискет, смарт-карт и Touch-Memory
Специализированная Размещение коммуникационных модулей внутри платы
сетевая плата для исключения их обхода (стадия разработки)


Частично контролируемые компьютерные системы,
Именно к таким системам можно отнести современные КС, использующие ОС Windows 95/98,
Windows NT, различные версии UNIX, поскольку аттестовать их программное обеспечение полностью
не представляется возможным. Сегодня вряд ли кто-нибудь возьмется достоверно утверждать, что в
нем отсутствуют ошибки, программные закладки недобросовестных разработчиков или
соответствующих служб.
Безопасность в таких КС может быть обеспечена:
• использованием специальных аттестованных (полностью контролируемых) аппаратно-
программных средств, выполняющих ряд защищенных операций и играющих роль
специализированных модулей безопасности;
• изоляцией от злоумышленника ненадежной компьютерной среды, отдельного ее компонента или
отдельного процесса с помощью полностью контролируемых средств.
В частично контролируемых КС использование каких-либо программно реализованных
функций, отвечающих за шифрование, электронную цифровую подпись, доступ к информации, доступ
к сети и т.д., становится показателем наивности администратора безопасности. Основную опасность
представляет при этом возможность перехвата ключей пользователя, используемых при шифровании
и предоставлении полномочий доступа к информации.
Одним из наиболее известных и надежных аппаратных модулей безопасности являются
платы серии КРИПТОН, обеспечивающие как защиту ключей шифрования и электронной цифровой
подписи (ЭЦП), так и неизменность их алгоритмов. Все используемые в системе ключи могут
шифроваться на мастер-ключе (загружаемом в плату минуя шину компьютера) и храниться на
внешнем носителе в зашифрованном виде. Они расшифровываются только внутри платы, в которой
применяются специальные методы фильтрации и зашумления для предотвращения возможности
считывания ключей с помощью специальной аппаратуры. В качестве ключевых носителей
используются дискеты, микропроцессорные электронные карточки (смарт-карты) и «таблетки» Touch-
Memory.
В современных аппаратно-программных средствах защиты от НСД для частично
контролируемых КС можно серьезно рассматривать только функции доступа к ПК, выполняемые до
загрузки операционной системы, и аппаратные функции блокировки портов ПК. Таким образом,
существуют широкие возможности для разработки модулей безопасности для защиты выбранных
процессов в частично контролируемых системах.
Основная проблема защиты отечественных корпоративных и ведомственных сетей состоит в
том, что их программное и аппаратное обеспечение в значительной степени является
заимствованным, приспособленным к ведомственным нуждам и производится за рубежом.
Сертификация и аттестация компонентов этих сетей очень трудоемкий процесс. За время аттестации
одной системы в продажу поступает, как правило, не одна, а несколько новых версий системы или
отдельных ее элементов.
Для построения защищенной сети необходимо прежде всего обеспечить защиту ее
компонентов. К основным компонентам сети относятся:
• абонентские места, персональные компьютеры или терминалы клиента;
• центры коммутации пакетов, маршрутизаторы, шлюзы и сетевые экраны;
• корпоративный сервер, локальные серверы и серверы приложений;
• отдельные сегменты сетей.
Защита каждого из компонентов (как правило, компьютера) складывается из:
• исключения несанкционированного доступа к компьютеру со стороны консоли;
• разграничения доступа к ресурсам компьютера со стороны консоли;
• исключения несанкционированного доступа к компьютеру со стороны сети;
• разграничения доступа к ресурсам компьютера со стороны сети;
• обеспечения секретности используемых для защиты криптографических ключей.
Кроме того, необходимо также защитить сеть целиком от проникновения извне и каналы
обмена с другими сетями.


10.2. Основные элементы и средства защиты
от несанкционированного доступа
Фирма АНКАД известна на отечественном рынке как разработчик, производитель и поставщик
аппаратно-программных криптографических средств защиты информации серии КРИПТОН.
Традиционно они выпускались в виде устройств с минимальным программным обеспечением.
Встраивание их в конечные системы осуществлялось пользователем. В настоящий момент наряду с
производством и поставкой устройств фирма предлагает готовые решения: от программ абонентского
шифрования и электронной подписи до защиты отдельных рабочих мест и систем в целом.
В состав средств криптографической защиты информации (СКЗИ) фирмы АНКАД включены
(рис. 10.1):
• устройства криптографической защиты данных (УКЗД) и их программные эмуляторы;
• контроллеры смарт-карт;
• системы защиты информации от несанкционированного доступа (СЗИ НСД);
• программы абонентского шифрования, электронной подписи и защиты электронной почты;
• коммуникационные программы прозрачного шифрования IP-пакетов и ограничения доступа к
компьютеру по сети;
• криптомаршрутизаторы;
• библиотеки поддержки различных типов смарт-карт;
• библиотеки функций шифрования и электронной цифровой подписи для различных
операционных систем.
Отдельным рядом (семейством) устройств с использованием криптографических методов
защиты являются специализированные модули безопасности для терминального оборудования,
контрольно-кассовых машин, банкоматов и другого оборудования, используемого в палтежных и
расчетных системах.

Программные продукты Системы защиты информации
архивного, абонентского и прозрачного от несанкционированного доступа
шифрования, ЭЦП, защиты сетей (СЗИ НСД)


Библиотеки

Библиотеки Библиотеки Библиотеки
функций ЭЦП функций шифрования работы со смарт-картами



Crypton API

Драйвер-эмулятор Драйвера плат Драйвера устройств для
Crypton Emulator серии КРИПТОН работы со смарт-картами




Устройства работы
Платы
Платы
со смарт-картами
КРИПТОН-4/PCI,
КРИПТОН-4 ,
SCAT-200, SA-101i,
7/PCI, 8/PCI
4К/8, 4K/16, НСД
SR-210


Интерфейс RS-232
Шина ISA Шина PCI


Рис. 10.1. Структура средств криптографической защиты информации

Устройства криптографической защиты данных серии КРИПТОН
Отличительной особенностью и в этом смысле уникальностью семейства УКЗД фирмы
АНКАД является разработанная ею в рамках научно-технического сотрудничества с ФАПСИ
отечественная специализированная микропроцессорная элементная база для наиболее полной и
достоверной аппаратной реализации российского стандарта шифрования (см. табл. 10.1).
В настоящее время серийно выпускаются УКЗД КРИПТОН-4, 4К/8 и 4К/16, предназначенные
для шифрования по ГОСТ 28147-89 и генерации случайных чисел при формировании ключей. С 2000
года начинается производство устройств серии КРИПТОН с интерфейсом шины PCI.
В качестве ключевых носителей используются дискеты, микропроцессорные электронные
карточки (смарт-карты) и "таблетки" Touch-Memory. Все ключи, используемые в системе, могут
шифроваться на мастер-ключе и храниться на внешнем носителе в зашифрованном виде. Они
расшифровываются только внутри платы.
Устройство может выполнять проверку целостности программного обеспечения до загрузки
операционной системы, а также играть роль электронного замка персонального компьютера,
обеспечивая контроль и разграничение доступа к нему.
УКЗД семейства КРИПТОН аттестованы в ФАПСИ, широко применяются в разнообразных
защищенных системах и сетях передачи данных и имеют сертификаты соответствия ФАПСИ в
составе ряда АРМ абонентских пунктов при организации шифровальной связи I класса для защиты
информации, содержащей сведения, составляющие государственную тайну.
Для систем защиты информации от несанкционированного доступа разработана специальная
плата КРИПТОН-НСД, выполняющая программное шифрование по ГОСТ 28147-89, аппаратную
генерацию случайных чисел, загрузку ключей с дискет, смарт-карт или Touch Memory.
Для встраивания в конечные системы пользователя УКЗД имеют два уровня интерфейса в
виде набора команд устройства и библиотеки функций. Команды выполняются драйверами устройств
для операционных систем DOS, Windows 95/98 и NT 4.0, UNIX. Функции реализованы на основе
команд.
Наиболее важными особенностями рассматриваемых плат являются:
• наличие загружаемого до загрузки операционной системы мастер-ключа, что исключает его
перехват;
• выполнение криптографических функций внутри платы, что исключает их подмену или искажение;
• наличие аппаратного датчика случайных чисел;
• реализация функций проверки целостности файлов операционной системы и разграничения
доступа к компьютеру;
• высокая скорость шифрования: от 350 Кбайт/с (КРИПТОН-4) до 8800 Кбайт/с (КРИПТОН 8/PCI).
Допустимо параллельное подключение нескольких устройств одновременно в одном
персональном компьютере, что может значительно повысить интегральную скорость шифрования и
расширить другие возможности при обработке информации.
Средства серии КРИПТОН независимо от операционной среды обеспечивают:
• защиту ключей шифрования и электронной цифровой подписи (ЭЦП);
• неизменность алгоритма шифрования и ЭЦП.
Все ключи, используемые в системе, могут шифроваться на мастер-ключе и храниться на
внешнем носителе в зашифрованном виде. Они расшифровываются только внутри платы. В качестве
ключевых носителей используются дискеты, микропроцессорные электронные карточки (смарт-карты)
и "таблетки" Touch-Memory.

Устройства для работы со смарт-картами.
Для ввода ключей, записанных на смарт-карты предлагаются разработанные Фирмой
«АНКАД» устройства для работы со смарт-картами, функции которых приведены в табл. 10.2.

Таблица 10.2
Устройства для работы со смарт-картами
Наименование Описание

SA-101i Запись/чтение информации на/с смарт-карты EEPROM
(Адаптер (протокол I2C).
смарт-карт) Интерфейс с УКЗД серии КРИПТОН, обеспечивающий прямую
загрузку ключей в устройство
SCAT-200 Шифрование по ГОСТ 28147-89, DES.
(Контроллер Память для хранения одного мастер-ключа.
смарт-карт) Генерация случайных чисел.
Запись/чтение информации на/с смарт-карты.
Протоколы карт: I2C, GPM, ISO 7816 T=0.
Интерфейс RS-232 с компьютером и специализированный
интерфейс с УКЗД серии КРИПТОН
SR-210 Запись/чтение информации на/с смарт-карты.
Протоколы карт: I2C, GPM, ISO 7816 T=0, Т=1.
(Контроллер
Интерфейс RS-232 с компьютером и специализированный
смарт-карт)
интерфейс с УКЗД серии КРИПТОН


Адаптер смарт-карт SA-101i предназначен для чтения и записи информации на смарт-
картах. Адаптер подключается к УКЗД КРИПТОН и позволяет вводить в него ключи шифрования,
хранящиеся на смарт-карте пользователя.
На одной смарт-карте могут быть размещены:
• таблица заполнения блока подстановок УЗ (ГОСТ 28147-89);
• главный ключ шифрования;
• секретный и открытый ключи электронной цифровой подписи (ЭЦП) пользователя;
• открытый ключ ЭЦП сертификационного центра;
• идентификатор пользователя системы защиты от несанкционированного доступа КРИПТОН-ВЕТО.
Адаптер SA-101i выпускается во внутреннем исполнении и легко встраивается в
персональный компьютер на свободное место, предназначенное для дисковода.
Универсальный контроллер смарт-карт SCAT-200 предназначен для работы со смарт-

<< Предыдущая

стр. 35
(из 48 стр.)

ОГЛАВЛЕНИЕ

Следующая >>