Использование ПКСЗИ ШИПКА в качестве аппаратного средства идентификации для различных программных продуктов. (Тезисы доклада).

Мищенко М. Г., начальник отдела технической поддержки, Россия, Москва, ОКБ САПР

Защищенная файловая система ПКСЗИ ШИПКА и аппаратная реализация большого набора российских и зарубежных криптоалгоритмов позволяют использовать это устройство в качестве персонального идентификатора для широкого круга программных продуктов и платформ. Реализация функций идентификации и аутентификации пользователя выполняется как с помощью оригинальных программных компонентов производства ОКБ САПР, так и с помощью библиотек поддержки стандартных функций Crypto API, которые входят в состав программного обеспечения Microsoft Windows и Lotus Notes.

ПСКЗИ ШИПКА может использоваться:

1. Для идентификации и аутентификации пользователей на отдельных компьютерах, или станциях в составе рабочих групп под управлением ОС Windows 2000/XP.

Реализуется с помощью ПО, разработанного ОКБ САПР. В защищенной памяти ПКСЗИ ШИПКА хранится имя пользователя и пароль, а также имя компьютера, на котором зарегистрирован данный пользователь. Таким образом одно устройство ШИПКА может использоваться для идентификации на нескольких защищенных компьютерах. При входе в систему требуется подключить к USB порту устройство ШИПКА и ввести PIN-код, имя пользователя и пароль передаются стандартной процедуре входа в систему. При этом пароль может быть сколь угодно сложным - пользователь избавлен от необходимости запоминать последовательность символов пароля. Сложный пароль, состоящий из набора различных, в том числе и небуквенных, символов повышает надежность процедуры аутентификации, но его трудно запомнить. Использование ПСКЗИ ШИПКА повышает стойкость парольной защиты, не предъявляя повышенных требований к пользователям.

2. Как персональный идентификатор в составе комплекса СЗИ НСД "Аккорд NT/2000".

Процедура идентификации с помощью ПКСЗИ ШИПКА поддерживается специальной библиотекой в составе ПО комплекса "Аккорд NT/2000". Идентификация пользователя выполняется по уникальному номеру, который хранится в памяти устройства ШИПКА, а для аутентификации используется пароль, вводимый пользователем с клавиатуры. По результатам процедуры идентификации/ аутентификации принимается решение о легальности пользователя и при начале сеанса подключается профиль пользователя подсистемы разграничения комплекса "Аккорд NT/2000" с заранее определенными администратором безопасности правами доступа. Такая технология может применяться в мобильных компьютерах, в которых нет возможности установить аппаратный модуль доверенной загрузки (например "Аккорд АМДЗ mini-PCI"), но требуется защита информации от несанкционированного доступа. В такой конфигурации комплекс "Аккорд NT/2000" обеспечивает класс защищенности до 1В включительно при обработке информации, не содержащей сведений, относящихся к гостайне.

3. Как персональный идентификатор в составе комплекса СЗИ НСД "Аккорд NT/2000 Terminal Server Edition", на удаленном терминале.

Процедура идентификации и аутентификации аналогична той, что используется в локальной версии "Аккорд NT/2000", но особенность реализации состоит в том, что ПКСЗИ ШИПКА подключается к USB порту на удаленном терминале, а выполняется процедура на терминальном сервере. Если процедура прошла успешно, то загружается профиль доступа пользователя к ресурсам сервера, который создается и обрабатывается средствами "Аккорд NT/2000". Все прикладное программное обеспечение функционирует на сервере, там же хранится обрабатываемая информация. В такой конфигурации системы могут использоваться бездисковые удаленные терминалы, т.к. на терминал предаются только экранные образы, а с терминала на сервер поступают коды клавиатуры и мыши. Кроме того, возможна еще и дополнительная аутентификация удаленного терминала на основе служебных пакетов, в состав которых включена последовательность случайных чисел, выработанная встроенным датчиком и обработанная криптофункциями ПКСЗИ ШИПКА. Даже несанкционированный перехват такого пакета в результате сканирования сетевого трафика не позволит в дальнейшем имитировать легальный терминал в системе доступа, т.к. каждый такой пакет уникален.

4. В качестве смарт-карты в типовых решениях Microsoft.

С помощью ПКСЗИ ШИПКА может выполняться идентификация/аутентификация на домене Windows на основе сертификата, выданного центром сертификации, который поддерживается службами сертификатов (Sertificate Services) Microsoft. В состав специального ПО, разработанного ОКБ САПР, и поставляемого вместе с устройством ШИПКА, входит драйвер виртуального считывателя смарт-карт и криптопровайдер, имеющий цифровую подпись Microsoft. С помощью этих средств можно выписать сертификат для конкретного пользователя в удостоверяющем центре, установленном на контроллере домена Windows. Ключевая пара RSA генерируется внутренним ПО ПКСЗИ ШИПКА и сохраняется в защищенной области памяти. Секретный ключ никогда не экспортируется на уровень прикладного, или системного ПО, а открытый ключ передается удостоверяющему центру, и для него выписывается сертификат, который в дальнейшем хранится в устройстве ШИПКА. После выполнения этой процедуры ПКСЗИ ШИПКА может использоваться как смарт-карта при авторизации на домене Windows с любой рабочей станции, которая подключена к сети, и на которой установлено программное обеспечение, разработанное ОКБ САПР. Пользователю для входа в систему достаточно подключить в USB порт устройство ШИПКА и ввести PIN-код.

5. В качестве смарт-карты в типовых решениях на основе стандарта PKCS#11.

Криптографический стандарт PRCS#11 используется в таком достаточно распространенном программном продукте, как Lotus Notes. Библиотека поддержки данного стандарта позволяет применять ПСКЗИ ШИПКА как смарт-карту в процедуре идентификации/аутентификации, и, как защищенное хранилище ключевой информации, для подписи документа, создаваемого в Lotus Notes. Клиент Lotus Notes настраивается на работу со смарт-картой в качестве идентификатора, при этом библиотека, разработанная ОКБ САПР указывается в качестве средства работы с этой картой, а в устройстве ШИПКА сохраняется ID пользователя. При старте клиента Lotus Notes достаточно подключить ПКСЗИ ШИПКА и ввести PIN-код. После успешного ввода PIN выполняется вход в систему и в процессе дальнейшей работы в среде Lotus Notes ключевая информация в "смарт-карте" ШИПКА может использоваться для подписи документа, или почтового сообщения.

Устройство ШИПКА и все программное обеспечение для него является собственной уникальной разработкой ОКБ САПР, поэтому набор функциональных возможностей и реализованных на аппаратном уровне криптоалгоритмов может меняться в рамках партнерских соглашений с разработчиками различных информационных систем. Библиотеку доступа к стандартному набору функций ПКСЗИ ШИПКА ОКБ САПР предоставляет безвозмездно в рамках лицензионного партнерского соглашения, а создание новых функциональных расширений возможно на договорной основе. Ни одно аналогичное устройство как зарубежного, так и отечественного производства не имеет таких широких возможностей для расширения набора реализованных функций. ОКБ САПР всегда открыто для взаимовыгодного сотрудничества.