Персональное средство криптографической защиты информации ШИПКА

Ю. В. Гусаров, Россия, Москва, ОКБ САПР

Сегодня все большую роль в жизни человека играет его персональная информационная среда. И мы четко знаем, чего хотим от средств, которые обеспечивают информационное взаимодействие - это мобильность, дружественность и защищенность. Это желаемое. А действительное?

В действительности мы становимся все теснее связаны со своим компьютером, который выполняет функцию интерфейса между человеком и его информационной средой.

В результате мы вынуждены либо ограничивать свои перемещения, либо носить свой ПК везде с собой - вдруг что-нибудь понадобиться?

При этом достаточно очевидно, что наличие строго определенного ПК на самом деле в большинстве случаев необязательно. Как правило, уникальная персональная информационная среда образуется сравнительно небольшим объемом данных и программ. Можно сказать, что типовая информационная среда персонализируется данными пользователя.

Поэтому часто в ущерб требованию защищенности информации выбирают более мобильный и дружественный вариант - копирование данных на различные носители и использование их на чужих компьютерах.

Для того чтобы обезопасить себя от НСД к этим данным, их можно зашифровать, но для этого нужно решить как минимум вопрос доверия к выполнению криптографических преобразований тем или иным техническим устройством, и далее - где потом хранить ключ?

Для того чтобы использовать криптографические методы защиты информации на чужом компьютере, необходимо заранее скопировать на какой-то носитель ключи. Значит, для того, чтобы обеспечить защищенность одних данных, мы должны существенно снизить защищенность других. Причем именно тех, от которых и зависит защищенность первых. Налицо противоречие, граничащее с абсурдом.

Ключи шифрования можно хранить на защищенном носителе, но для расшифрования его придется передать во внешнюю среду, что сразу делает все предпринятые усилия бессмысленными.

Используя разные веб-сервисы, мы вынуждены либо пренебрегать "правилами безопасности", записывая пароли на бумаге или в незащищенные файлы, либо рисковать перепутать или забыть их. Правда, можно еще жестко ограничить количество используемых веб-сервисов, в соответствии с тем, сколько паролей вы в состоянии запомнить. Вряд ли их окажется много. Необходимо надежное хранилище паролей, которое будет не только устойчивым к НСД, но и сможет помочь самому пользователю не запутаться в своих паролях.

С чужого компьютера мы не можем управлять своим банковским счетом, например, используя ПО типа "Клиент-Банк". Выбирать между защищенностью и мобильностью в данном случае вряд ли разумно. Однако потребность в защищенном и одновременно мобильном решении такого плана сегодня очевидна.

Качество в ущерб мобильности выбирают пользователи, предпочитающие лицензионное ПО. При использовании технологий типа Product Activation ограничено число компьютеров, на которых ПО может быть активировано. Из понимания этой проблемы выросла технология аппаратной защиты, привязывающая ПО к пользователю, а не к компьютеру, что справедливо - именно человек заплатил за лицензионную копию и является ее владельцем. Однако существующие на сегодняшний день реализации этой технологии обеспечивают мобильность, увы, в ущерб уровню защищенности - эмулировать их действие так же легко, как и введение "уникального" серийного номера или лицензионного ключа. Более того, к сожалению, такие аппаратные средства зачастую реализованы настолько неудачно, что использовать "защищенный" таким образом продукт вообще невозможно.

Выбирать из двух зол меньшее, пренебрегая одними требованиями времени в пользу других, становится все сложнее.

Значит пришло время устройства, которое освободит человека от необходимости выбора между необходимым.

Это Персональное Средство Криптографической Защиты Информации.

ПСКЗИ ШИПКА удовлетворяет требованиям времени, поскольку позволяет всегда иметь с собой необходимые личные данные, ключи и сертификаты, пользовательское ПО и пр., и использовать все это на любом компьютере, имеющем USB-разъем. Причем делать это без ущерба для защищенности информации. Это обеспечивается за счет аппаратной реализации криптографических алгоритмов, аппаратного ДСЧ, защищенной энергонезависимой памяти, и применения ключей, организованного так, чтобы они никогда не передавались в ПК.

Для применения ШИПКИ не требуется ни дополнительное оборудование, ни специальные навыки, ни установка на компьютер криптографических библиотек - в состав ШИПКИ входит аппаратно реализованная криптографическая библиотека.

Криптографическая библиотека ШИПКИ обеспечивает вычисления по всем российским криптографическим алгоритмам:

• шифрование по ГОСТ 28147-89,
• вычисление хэш-функции по ГОСТ Р 34.11-94,
• вычисление и проверка ЭЦП по ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001,
• вычисление и проверка ЗКА (защитных кодов аутентификации).

Кроме того, в ней реализованы и все наиболее распространенные и востребованные зарубежные алгоритмы:

• шифрование - RC2, RC4 и RC5, DES, 3DES, RSA,
• вычисление хэш-функции - MD5 и SHA-1,
• вычисление и проверка ЭЦП - RSA, DSA.

Аппаратная реализация вычислений - без привлечения ресурсов компьютера - это важное отличие устройства ШИПКА от известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован программно. В ШИПКЕ программно реализуются только транспортные процедуры и процедуры согласования форматов данных, которые никак не влияют на защищенность.

Это значит, что невозможно вмешательство в протекание процессов аутентификации, шифрования или выработки/проверки ЭЦП и их фальсификация. Также это значит, что ни во время сеанса работы, ни после отключения ШИПКИ в память компьютера не попадает ключевая информация, и она не может быть перехвачена или восстановлена злоумышленником.

Использовать возможности шифрования и ЭЦП Вы можете на любом компьютере, поскольку все ключи хранятся в ШИПКЕ. Это совершенно естественно - ведь это Ваши секретные ключи, а не Вашего компьютера.

Поддержка файловой системы позволяет хранить в памяти данных Data Flash в виде файлов информацию самого разного рода. Это не только ключи и сертификаты, но и личные данные пользователя, его пароли для веб-сервисов, пользовательское ПО и другая необходимая информация.

Однако это не значит, что любой, кто завладеет Вашей ШИПКОЙ автоматически завладеет и всей хранящейся в ней информацией - доступ к ней защищен PIN-кодом и в случае превышения допустимого числа неверных введений устройство блокируется, и вся информация на нем уничтожается.

Устройство ШИПКА является полностью программируемым. Это дает возможность легко расширять его функциональность, обновляя firmware без дополнительного оборудования - через WEB-сервис. Это очень важное качество, потому что разработки новых возможностей для ШИПКА будут продолжаться, и по мере их завершения можно будет получать обновления на свой экземпляр изделия, а не покупать каждый раз новый.

Суммируя, мы видим очевидную вещь: с помощью ПСКЗИ ШИПКА можно решать весь спектр наиболее актуальных задач по обеспечению защищенности информационного взаимодействия. На сегодняшний день предлагается ряд готовых решений с использованием ПСКЗИ ШИПКА:

• шифрование файлов и подпись их ЭЦП;
• автоматическое заполнение веб-форм и хранение необходимых для этого данных, в том числе паролей;
• аппаратная идентификация и аутентификация пользователя на ПК и ноутбуках, а также в терминальных решениях типа "тонкий клиент";
• защищенное хранилище ключей шифрования и подписи и аппаратный датчик случайных чисел;
• в качестве "смарт-карты" в типовых решениях, использующих смарт-карты. Это такие решения, как вход в домен Windows; шифрование и подпись сообщений электронной почты с использованием различных стандартов; получение сертификатов Удостоверяющего Центра для пар "имя пользователя + его открытый ключ" - для использования пространства PKI.
• защита информационных технологий с помощью защитных кодов аутентификации.

Список решений будет пополняться.

Нельзя не сказать о преимуществах использования в качестве "смарт-карты". Во-первых, ПСКЗИ ШИПКА - это USB-устройство (Vendor ID в USB-ассоциации - 17е4), следовательно, для его использования не нужны Card-reader'ы. Card-reader'ы - это довольно дорогие устройства, а при работе на нескольких компьютерах - ими понадобится оборудовать каждый из них, либо носить с собой помимо смарт-карты еще переносной Card-reader. Стало быть использование в таких решениях изделия ШИПКА - и удобнее и дешевле. При этом ни в одной своей характеристике ШИПКА не уступает смарт-картам, и более того, совмещает их возможности с большим количеством других, которыми смарт-карты не обладают.

На рынке СКЗИ в качестве персональных средств с широкими возможностями позиционируется ряд USB-ключей. Для того чтобы продемонстрировать преимущества ПСКЗИ ШИПКА, достаточно назвать показатели по наиболее важным именно с потребительской точки зрения характеристикам самой дешевой ее версии - ШИПКА-1.5, показатели которой наименее высокие.

В ПСКЗИ ШИПКА-1.5 аппаратно реализовано 14 криптографических алгоритмов - 10 зарубежных и все 4 российские.

Скорость шифрования по ГОСТ 28147-89 у ШИПКИ-1.5 - 40 кбайт/с -в 10 раз выше, чем у единственного зарубежного ключа, в котором реализован этот алгоритм, и в 100-200 раз выше, чем у отечественного. Эти цифры вряд ли нуждаются в развернутом комментарии.

В известных на сегодняшний день ключах использованы USB-контроллеры Low-speed, а в ПСКЗИ ШИПКА-1.5 - Full-speed. Поэтому скорость обмена данными по USB-интерфейсу у ПСКЗИ ШИПКА-1.5 - 200 кбайт/с для однонаправленных функций, 100 кбайт/с для двунаправленных, что превышает показатели этих ключей в 25 раз.

Криптопровайдер для ПСЗИ ШИПКА подписан ЭЦП Microsoft, что подтверждает его работоспособность в ОС Windows.

Таким образом, ШИПКА делает персональную информационную среду мобильной и защищенной одновременно. Для защищенного информационного взаимодействия больше не нужно носить с собой компьютер. Достаточно персонального средства криптографической защиты информации ШИПКА.

Автор: Гусаров Ю. В.

Дата публикации: 01.01.2006

Библиографическая ссылка: Гусаров Ю. В. Персональное средство криптографической защиты информации ШИПКА // Комплексная защита информации. Сборник материалов X Международной конференции 4–7 апреля 2006 года Суздаль. Минск, 2006 С. 213–216.

---