Комплексная защита информации на базе аппаратных шифраторов

© Панасенко Сергей, 2003

Предлагаемая статья посвящена концепции обеспечения комплексной защиты информации на основе аппаратных шифраторов серии КРИПТОН производства фирмы АНКАД.

Структура аппаратного шифратора

Прежде всего, рассмотрим типовую структуру аппаратного шифратора на примере устройства КРИПТОН-9 (см. рис. 1). Основные модули аппаратного шифратора:

Блок управления. Основной модуль, управляющий работой всего шифратора. Обычно реализуется на базе микроконтроллера.
Шифропроцессор. Представляет собой специализированную микросхему или микросхему программируемой логики (PLD – Programmable Logic Device). Именно шифропроцессор выполняет шифрование данных на ключах, которые хранятся в «хранилище ключей» - специальном модуле шифропроцессора. Шифропроцессоров может быть несколько – для взаимного контроля (путем сравнения "на лету" получаемых зашифрованных или открытых данных) и/или распараллеливания процесса шифрования. Показанный на рис. 1 КРИПТОН-9 имеет один шифропроцессор на базе PLD.
Аппаратный датчик случайных чисел. Устройство, дающее статистически случайный и непредсказуемый сигнал, преобразуемый впоследствии в цифровую форму. Случайные числа широко используются при защите информации, прежде всего, при генерации ключей шифрования и вычислении электронной цифровой подписи (ЭЦП).
Контроллер PCI(или другой системной шины – в зависимости от того, какой интерфейс имеет шифратор). Управляет процессом взаимодействия шифратора с материнской платой компьютера. Через него осуществляется обмен командами и данными между шифратором и компьютером.
Микросхемы памяти. Энергонезависимая память необходима для хранения программного обеспечения микроконтроллера, для записи журнала операций, а также для множества других целей.
Переключатели режимов работы. Обычно аппаратные шифраторы не ограничиваются выполнением функций шифрования, предоставляя множество дополнительных возможностей (отсюда и более широкое название, часто применяющееся к аппаратным шифраторам – «Устройство криптографической защиты данных» или «УКЗД»). Функциональность УКЗД, в частности, регулируется набором переключателей, позволяющих более гибко настроить шифратор под конкретные функции, требуемые пользователю.
Интерфейсы для подключения ключевых носителей. Для обеспечения наиболее надежной защиты необходимо обеспечить прямой ввод ключей шифрования в УКЗД. В принципе, ключи можно хранить и на обычной дискете, но в этом случае они будут вводиться в устройство, проходя через системную шину компьютера, где есть теоретическая возможность их перехвата. Поэтому аппаратные шифраторы обычно снабжаются интерфейсом для подключения каких-либо устройств хранения ключей. Например, на рис. 1 показаны разъемы для подключения ридеров смарт-карт и коннекторов для работы с электронными таблетками Touch Memory.
Помимо собственно функций шифрования по какому-либо алгоритму (например, по отечественному стандарту шифрования – ГОСТ 28147-89), аппаратный шифратор должен выполнять еще, как минимум, следующие:

Использование аппаратных шифраторов в современных операционных системах

Операционные системы современных компьютеров (прежде всего, различные варианты UNIX и Microsoft Windows) являются многозадачными. Поэтому при обращении к шифратору в таких системах необходимо учитывать возможность одновременного вызова функций шифратора различных программ. Например, в Microsoft Windows шифратор может получить команды сразу от нескольких программ:

Во избежание возникновения коллизий, программы не имеют прямого доступа к шифратору и управляют им через специальные программные модули. Шифраторами фирмы АНКАД (т.е. УКЗД серии КРИПТОН и рядом других) в операционных системах семейства Microsoft Windows управляет универсальный программный интерфейс Crypton API (см. рис. 2), решающий следующие задачи:

Таким образом, при обращении любой Windows-программы к УКЗД, направленная шифратору команда проходит несколько уровней:

  1. Уровень приложений.
  2. Уровень, обеспечивающий интерфейс между приложением и драйвером УКЗД (т.е. уровень Crypton API).
  3. Уровень ядра операционной системы – драйвер УКЗД.
  4. Аппаратный уровень – собственно УКЗД.

Подобная структура обращений к устройствам не нова – очень похожим образом в многозадачных операционных системах работают многие устройства, ресурсы которых разделяются между различными приложениями. Например, сетевые карты или модемы. С последними аналогия совершенно прямая – структура «модем ↔ драйвер ↔ программный интерфейс Telephony API ↔ различные приложения верхнего уровня» весьма похожа на представленную на данной схеме.
На верхнем же уровне схемы может быть любое программное обеспечение, использующее функциональность шифратора:программы шифрования файлов по требованию пользователя;

Шифраторы серии КРИПТОН

Основу средств защиты информации фирмы АНКАД составляет линейка аппаратных шифраторов серии КРИПТОН. Рассмотрим подробно наиболее современные из моделей семейства КРИПТОН:

Перечисленные шифраторы имеют следующие общие характеристики:

  1. Реализуют алгоритм шифрования ГОСТ 28147-89.
  2. Подключаются к шине PCI компьютера.
  3. Предоставляют функции «электронного замка» - т.е. на базе данных УКЗД возможно построение систем ограничения и разграничения доступа к компьютеру с контролем целостности исполняемых модулей операционной системы и других важных файлов.
  4. Могут использовать напрямую целый ряд специализированных носителей криптографических ключей, в частности:

Кроме того, интерфейс Crypton API позволяет загружать в УКЗД криптографические ключи и из оперативной памяти компьютера (что, однако, менее безопасно, чем «прямая» загрузка ключей в устройство), что позволяет использовать в качестве ключевых носителей более распространенные и менее дорогостоящие дискеты, USB-ключи и т.д.
В качестве ключевого носителя может быть использован, например, USB-ключ ruToken (см. рис. 4) – совместная разработка компаний АНКАД и «Актив». Однако, ruToken является также и полноценным шифратором для шины USB, поскольку в нем реализованы все режимы алгоритма ГОСТ 28147-89, а драйвер ruToken для Crypton API позволяет использовать его вместо перечисленных выше шифраторов КРИПТОН, правда, с заметной потерей в скорости шифрования.

Специализированные шифраторы

Наиболее удобным для конечного пользователя вариантом использования аппаратного шифратора является автоматическое шифрование данных. Такой шифратор достаточно настроить один раз опытному администратору, после чего вся информация, обрабатываемая конечным пользователем, будет автоматически и незаметно для пользователя шифроваться (пользователю, однако, будет необходимо предъявить шифратору ключи шифрования). Для таких случаев фирмой АНКАД разработаны два варианта «проходных шифраторов» (ПШ), т.е. устройств, выполняющих прозрачное шифрование проходящей через них информации:

Для управления работой данных шифраторов: для настройки и загрузки в них криптографических ключей (разъемы для подключения ключевых носителей у данных шифраторов отсутствуют) – предназначен аппаратно-программный модуль доверенной загрузки (АПМДЗ) КРИПТОН-ЗАМОК (см. рис. 7). Данное устройство, помимо управления ПШ, является также полнофункциональным электронным замком и выполняет следующие функции:

АПМДЗ может являться центром обеспечения безопасности всего компьютера. Эта технология несколько перекликается с новейшей технологией от Microsoft – Palladium, основу применения которой также составляет аппаратный модуль безопасности.

Прикладное программное обеспечение

Программное обеспечение, выполняющее функции защиты информации, должно быть максимально удобным для пользователя и предъявлять минимальные требования к его квалификации. В противном случае, можно утверждать, что максимальная эффективность от внедрения программных средств защиты достигнута не будет, поскольку:

Поэтому любая программа защиты информации должна соответствовать, как минимум, одной из следующих характеристик:

В качестве примера средства защиты, дублирующего основные функции Windows Explorer, можно привести специализированный архиватор (программа, выполняющая специализированное архивирование: вычисление ЭЦП информации, ее сжатие и зашифрование) Crypton ArcMail – его главное окно приведено на рис. 8. Как видно на рисунке, меню данного окна содержит все основные файловые функции, т.е. все операции с файлами, выполняемые пользователями обычно в Windows Explorer, можно производить непосредственно в программе Crypton ArcMail.
Основной интерфейс пакетов программ КРИПТОН® Подпись и КРИПТОН® Шифрование (выполняющих, соответственно, операции с ЭЦП и шифрование файлов) – расширения контекстного меню Windows Explorer, через которые можно выполнять основные команды данных программных продуктов (см. рис. 9). Все функции по защите информации могут быть выполнены пользователем, не выходя из стандартной оболочки – Windows Explorer.

Похожим образом организован интерфейс к модулям защиты электронных документов Crypton Word и Crypton Excel: доступ к ним пользователь может осуществлять непосредственно из Microsoft Word и Microsoft Excel через дополнительные панели инструментов (см. рис. 10). Т.е. при желании подписать электронной подписью документ и зашифровать его, пользователь не должен выходить из Microsoft Word или переключаться на другую программу – достаточно нажать кнопку, после чего текущий (редактируемый в настоящий момент) документ будет сохранен, подписан и зашифрован. Использовать же Crypton Outlook еще проще – Crypton Outlook осуществляет перехват письма при попытке его отправки, подписывает и шифрует текст письма и все вложения, после чего отправляет уже зашифрованное письмо. А при получении зашифрованного письма Crypton Outlook его автоматически расшифровывает и проверяет ЭЦП.

Упомянутые выше программные продукты обладают также следующими общими характеристиками:

В заключение, стоит упомянуть и о том, что деятельность по разработке, производству, распространению и техническому обслуживанию шифраторов (как аппаратных, так и программных) является лицензируемой, как в нашей стране, так и в большинстве развитых стран мира.

 

Рисунки:

  1. Структура аппаратных шифраторов.
  2. Применение шифраторов серии КРИПТОН в Microsoft Windows.
  3. КРИПТОН-4/PCI.
  4. USB-шифратор ruToken.
  5. КРИПТОН AncNet.
  6. КРИПТОН-IDE.
  7. АПМДЗ КРИПТОН-ЗАМОК.
  8. Главное окно специализированного архиватора Crypton ArcMail.
  9. КРИПТОН® Подпись: расширение меню Windows Explorer.
  10. Crypton Word: дополнительная панель в Microsoft Word.
Алгоритмы шифрования...

Rambler's Top100 OZON.ru

Перейти на главную страницу

Карта сайта

Список статей