Аспекты аппаратной защиты электронного взаимодействия

1. Для жизненного цикла электронного документа характерны следующие среды существования: электронная - среда цифровых процессов; аналоговая - среда объектов, предметов; социальная - среда мыслящих субъектов. Внешняя оболочка - подмножество мыслящих субъектов социальной среды образует сектор действенности документа, диктующий правила обмена информацией своим членам - субъектам, в том числе требования к технологии взаимодействия. Если эти правила и требования выполнены, то сообщение признается документом, а содержащаяся в нем информация признается сектором, как юридический факт - формальным основанием для возникновения, изменения, прекращения конкретных отношений между субъектами общества.

Требования сектора действенности можно разделить на семантические, предъявляемые к отображению смысла информации, и технологические, диктующие оформление документа. Семантические аспекты являются прерогативой социальной среды, и потому здесь не рассматриваются, полагаются выполненными. При таком условии для признания сообщения документом необходимо, чтобы параметры технологий, использованных при его формировании, преобразовании, передаче и хранении, лежали бы в рамках допустимых отклонений от некоторого эталона, предписываемого сектором для документального электронного взаимодействия. Только в этом случае имеются основания полагать, что выполнены требования сектора действенности, например, по целостности, конфиденциальности, аутентификации документа,

Таким образом, статус документа предполагает не только идентичность (соответствие эталону) собственно документа, но и соответствие эталонным требованиям примененных информационных технологий.

2. Традиционный, аналоговый документ (АнД) формируется однократно в виде предмета - листа бумаги с поверхностью, раскрашенной узорами-буквами. Физические параметры предмета устойчивы к внешнему воздействию, их изменение сравнительно просто индицируется, в течение всего жизненного цикла предмет-документ не преобразуется в другой предмет, в любой момент времени АнД сосредоточен в единственной точке пространства, так что возможности несанкционированного доступа (НСД) ограничены. Выбор возможных традиционных информационных технологий узок, так что требования эталонной технологии очевидны по умолчанию. Иное дело — электронный документ (ЭлД). Легкость и простота модификации ЭлД заложена самой средой его существования: операции копирования и замены являются фундаментальными в машине Тьюринга. ЭлД многократно преобразуется в течение жизненного цикла, физическая индикация искажения ЭлД трудна. Здесь требования соответствия электронных технологий эталонным крайне значимы. Поэтому защита электронного обмена информацией включает две задачи: обеспечение эквивалентности (идентичности) ЭлД во всех точках жизненного цикла исходному документу — эталону; обеспечение эквивалентности технологий электронного взаимодействия эталонным, предписываемым сектором действенности.

3. В электронной среде теряет значимость свойство информации быть сведением, смыслом, знанием. Для ЭВМ стихи и случайное число в.определенном смысле неразличимы - это множество двоичных бит, на котором задан порядок - последовательность нулевых и единичных бит. Любые два множества отображают одну и ту же информацию, если сохраняется заданное отношение упорядоченности - если множества В изоморфны [1].

Так как двоичную ограниченную последовательность всегда можно преобразовать в число, то, слегка вульгаризируя, в электронной среде информация есть число. Число не меняется во времени и пространстве, оно всегда фиксировано. Статичная форма электронной информации характерна для хранения на диске памяти, где она отображается «раскраской» поверхности диска разной ориентацией магнитных доменов. Говорят, что в памяти ЭВМ хранятся данные, которые понимаются как фиксированная форма существования электронной информации, данные - это число.

ЭВМ - это не только память, но и вычисления. При изменении формата документа одни данные исчезают, другие возникают, хотя информация остается той же самой. Числа меняются, а информация - нет, так как сохраняется изоморфизм между множествами двоичных сигналов при «старом» и «новом» форматах. В электронной среде принципиально должна существовать некая новая форма существования информации, соответствующая процессу преобразования - информация не может исчезнуть на пути между «входом» и «выходом» процесса. Приходится допустить динамическую форму существования информации - в виде процесса. Но процесс по определению динамичен, является изменением чего-либо во времени, тогда как информация должна быть постоянной. Процесс должен иметь некую фиксированную во времени характеристику, и такая есть - фиксированностъ описания прогресса, в какой бы точке пространства (ЭВМ) и момент времени этот процесс ни реализовался бы. Это возможно, конкретный процесс обработки информации в ЭВМ определяется фиксированным алгоритмом, процедурой, протоколом. Допустив, что в электронной среде существуют две формы отображения информации: статическая - в форме объекта, динамическая - в форме процесса, мы тем самым допустили два кардинально отличных класса элементов электронной среды. Коль скоро первый класс определен как числа, то второй класс логично назвать функциями (преобразованиями, отображениями). На «вход» функции поступают числа-данные, на «выходе» появляется новое число-данные. В любой момент времени и в любой точке пространства функция остается функцией. Функция или близкие понятия - отображение, алгоритм, преобразование - неизменны, фиксированы.

4. В пассивной форме (хранение) ЭлД есть фиксированный объект в аналоговой среде (устройство памяти), в активизированной форме ЭлД существует как фиксированный процесс в электронной среде. Информационная безопасность имеет две составляющих: защита данных (чисел) - собственно ЭлД как физического объекта; защита процессов (функций), реализующих активизированную форму существования ЭлД. Но защита функций, т. е. алгоритмов, означает защиту вычислительной среды, инвариантной, вообще говоря, к той информации, тем данным, которые в ней обрабатываются. В электронной среде информация—данные определяется как множество с заданным на нем отношением порядка. Электронная технология также есть упорядоченное множество (операций, процессов, процедур), и потому может интерпретироваться как информация-технология. Обнаруживается глубокое внутреннее единство двух сторон: защита собственно ЭлД и защита вычислительной среды существования документа.

Содержательно задача любой защиты заключается в обеспечении постоянства (фиксированности!) Заданных свойств защищаемого объекта на всех этапах жизненного цикла. Защищенность объекта индицируется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). С этой точки зрения механизмы защиты собственно ЭлД как объекта (число, данные) и защиты ЭлД как процесса (функция, вычислительная среда) должны радикально отличаться. В первом случае в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но полная информация о результате (наблюдаемом документе). В случае защиты информации-технологии, наоборот, достоверно известны характеристики требуемой технологии - эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией - о результате.

5. Для защиты обязательны ресурсы, поэтому всегда документ избыточен либо как предмет (особая бумага, водяные знаки, печать и т.п.), либо как число (хэш-код ЭлД, цифровая подпись, шифрование и т.п.). Защита обеспечивается за счет реквизитов АнД или атрибутов ЭлД. Информация (текст документа) - всегда конечное множество, ограниченное число. При аналоговом отображении ресурсами для реквизитов является все множество элементов предмета, практически бесконечное по сравнению с информационным. При электронном отображении атрибутов ЭлД они также обязаны быть конечным числом, так что избыточность по сравнению с аналоговым способом много ниже. Таким образом, аппаратная защита объекта в принципе много эффективнее, чем программная.

Справедливо и обратное: так как фиксированность есть антитеза гибкости, то возможности аппаратных механизмов защиты много уже, чем программных, можно защитить только нечто постоянное, инвариантное к содержанию документа, - эталон. Какой смысл защищать информацию от искажений, если она априорно известна? Но, как только что показано, такой предмет защиты при электронном взаимодействии существует - это технология как процесс - вычислительная среда. Следовательно, для защиты технологии целесообразно реализовать соответствующие операции, алгоритмы, процедуры в аппаратном виде.

6. На первый взгляд, полученный результат ничего не дает: компьютер сам по себе есть аппаратная реализация среды вычислений. При аппаратной защите предлагается поместить компьютер в другую вычислительную среду, которую все равно надо защищать — задача равносильна исходной. Действительно, аппаратные модули защиты, называемые далее резидентным компонентом безопасности (РКБ), должны входить в состав защищаемой вычислительной среды, и быть также машиной Тьюринга.

Но нигде не утверждается, что РКБ должен быть таковым в любой момент времени: в силу дискретности вычислительной среды в каждый момент всегда реализуется всего одна из четырех базисных операций машины Тьюринга: сдвинуть ячейку влево, сдвинуть вправо, заменить символ, остановить процесс. (Понятно, что исходный набор базисных операций можно заменить другим, но от этого их число не меняется.) Тем самым не исключается возможность перестраиваемых извне режимов РКБ, в каждом из которых выполняется только часть базисных операций: ведь эталонная технология априорно известна.

Задачи безопасности электронного обмена данными, в решении которых должен участвовать резидентный компонент безопасности - РКБ, можно разделить на две группы, соответствующие двум основным режимам работы вычислительной системы (ВС):

- этап формирования политики безопасности — режим управления ВС;

- этап электронного обмена информацией — пользовательский режим ВС.

7. Предметной областью задач первой группы является вычислительная среда существования документа (программная база, технологии, функции), целостность и санкционированный доступ к которой должны обеспечиваться средствами защиты, - задачи целостности среды. Задачи второй группы характерны для пользовательского режима работы ВС (собственно ЭлД, числа, данные) - задачи аутентификации объектов и субъектов. Специфика групп обусловлена качественно разными объектами защиты - среда и документ. В режиме управления РКБ реализует функции эталона и представляет, в сущности, устройство памяти с очень высоким уровнем защищенности, обеспечивает только две из четырех возможных базовых вычислительных операций: запись, адрес. В пользовательском режиме РКБ сопоставляет результат с эталоном, для чего достаточно также двух операций: чтение, адрес.

Сигнал перестройки не должен выдаваться защищаемой ВС, перестройка архитектуры РКБ. осуществляется извне, защищенным воздействием системного администратора или иного уполномоченного лица.

Находясь в рамках электронной среды и взаимодействуя с ее компонентами, РКБ является вычислительной машиной Тьюринга в целом, но не в частности — не в любом конкретном режиме! А чем «проще», чем «примитивнее» среда, тем она устойчивее к модификации, искажению эталона. Установленные принципы реализованы при создании аппаратных средств защиты информации «Аккорд» [2], более 70 000 комплектов которого установлены в различных вычислительных системах России.

Литература

1. Гадасин В.А., Конявский В.А. От документа - к электронному документу. Системные основы - М.: РФК Имидж Лаб, 2001. - 192 с.

2. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999. - 325 с.

3. Проект документа "Концепция защиты общих информационных ресурсов и информационно-телекоммуникационной инфраструктуры Союзного государства" (ГНИИИ ПТЗИ Гостехкомиссии России, 2002).

4. Проект документа "Специальные требования и рекомендации по защите информации в помещениях и технических средствах" (ГНИИИ ПТЗИ Гостехкомиссии России, 2002).

Авторы: Конявский В. А.; Гадасин В. А.

Дата публикации: 01.01.2003

Библиографическая ссылка: Конявский В. А., Гадасин В. А. Аспекты аппаратной защиты электронного взаимодействия // Комплексная защита информации. 25–27 февраля 2003 года, Раубичи. Минск, 2003. С. 67–70.

---