ЗАЩИЩЕННЫЕ СЛУЖЕБНЫЕ USB-НОСИТЕЛИ «СЕКРЕТ»

М.М. Грунтович, руководитель обособленного подразделения ЗАО «ОКБ САПР» в г. Пенза

Современный бум компактных USB-носителей, «флешек», привел к появлению новых уязвимостей в современных информационных системах. Простота их использования и миниатюрность позволяют бесконтрольно выносить служебную информацию за пределы охраняемой зоны. Не менее опасна угроза потери или кражи носителя с такой информацией.

Методы ршения этих проблем традиционные: полный запрет использования USB-носителей в информационной системе или ограничение доступа к ним.

Запрет сопровождается помимо оргмер заклеиванием или отключением USB-портов, установкой программных средств, отключающих соответствующие сервисы. Иногда ограничение доступа реализуется программно либо путем контроля прав доступа пользователя к накопителю, либо шифрованием его данных. Наконец, в последнее время производители USB-носителей стали предлагать устройства со встроенным аппаратным шифрованием содержимого диска.

С угрозой потери носителя борются обычно шифрованием содержимого. При этом, как правило, ключи шифрования вычисляются на основании пароля или PIN-кода, что не безгрешно.

Однако можно усовершенствовать эти механизмы, добавив криптографическую составляющую в систему аутентификации.

Фирма ЗАО «ОКБ САПР» предлагает новое семейство изделий «Секрет»[1], которые представляют собой USB-носитель с аппаратной поддержкой протокола сильной аутентификации.

Младший представитель семейства, программно-аппаратный комплекс (ПАК) «Личный секрет», является локальным вариантом изделия. В его состав входит аппаратный модуль, называемый специальным носителем (СН), и программное обеспечение (ПО), функционирующее на рабочей станции (РС) пользователя под управлением ОС Windows.

Работа СН состоит из двух стадий: регистрация СН и взаимная аутентификация.

При регистрации СН и РС обмениваются ключами аутентификации, а пользователь получает пару PIN-кодов, необходимых для выполнения операций аутентификации СН и администрирования. Регистрация выполняется в контролируемых условиях, технология изготовления СН не позволяет извлекать из него ключевую информацию.

При аутентификации СН и РС исполняется протокол взаимной аутентификации, аналог протокола «рукопожатия», использующий оба ключа аутентификации СН и РС, а также PIN-код пользователя. В случае успешного завершения протокола:

• • ПО РС убедждается в том, что СН авторизован использоваться на РС, а предъявитель PIN-кода является легитимным пользователем;
• • СН убеждается в том, что используется на РС, на которой зарегистрирован, а предъявитель PIN-кода действительно является его пользователем;
• • ПО РС и СН совместно монтируют логический диск.

В семейство «Секрет» входят также ПАК «Секрет фирмы» и ПАК «Профессиональный секрет», которые являются распределенными, корпоративными аналогами «Личного секрета». Их отличие состоит в том, что регистрация СН выполняется на так называемом Сервере аутентификации (СА), а протокол аутентификации разыгрывается между СН и ПО СА, при этом ПО РС «ретранслирует» сообщения между СН и СА.

Помимо прочего, внутреннее ПО СН «Профессиональный секрет» реализует прозрачное шифрование данных носителя по алгоритмам ГОСТ 28147 на сгенерированных нужным образом ключах.

Ядром технологии «Секрет» является процедура взаимной аутентификации СН, компьютера и пользователя. Для доступа к данным на носителе требуется совпадение всех трех компонент: ключей аутентификации СН и РС/СА, а также PIN-кода пользователя. Потеря СН или вынос его за пределы сети предприятия нарушает этот триумвират, делая доступ к данным невозможным.

По существу, в изделиях «Секрет» реализуется следующий принцип: решение о допуске к данным пользователя во внутренней памяти носителя принимается совместно компьютером и носителем. Это не может быть реализовано для обыкновенных USB-носителей, так как они являются пассивными устройствами памяти, в отличие от СН «Секрет», который является активным устройством. Только так можно избавиться от недостатков USB-носителей, не потеряв их достоинств.

---

[1] См. об этом также: Конявская С. В. Храните данные в «Секрете»! // Connect! Мир связи. М., 2010. № 3. С. 35.

Автор: Грунтович М. М.

Дата публикации: 01.01.2010

Выходные данные: Связь в Вооруженных Силах Российской Федерации - 2010. М., 2010. С. 158.

---