Направления развития ПСКЗИ ШИПКА

На сегодняшний день ПСКЗИ ШИПКА представляет собой классическое программно-аппаратное СКЗИ, выполненное в форм-факторе USB-брелка. На базе данного устройства аппаратно реализованы основные российские криптографические алгоритмы и создан ряд приложений с целью использования ШИПКА для решения типовых задач обычного пользователя - хранение ключевой информации, защищенный вход в ОС, шифрование и подпись файлов на диске, шифрование и подпись сообщений электронной почты, возможность хранения и автозаполнения форм авторизации Интернет-ресурсов.

Что выделяет ПСКЗИ ШИПКА среди других устройств такого класса? В первую очередь - наличие активного внутреннего процессора, с помощью которого выполняются все криптографические примитивы. Сама концепция довольно проста, однако при ее реализации становится невозможной любая попытка НСД к защищенной области памяти устройства.

Что больше всего приятно для пользователя, так это возможность обновления встроенного программного обеспечения (firmware) без замены аппаратной части. Всегда приятно чувствовать заботу разработчика о судьбе своих проданных творений, а кроме того это никак не принуждает конечного пользователя нести дополнительные расходы.

Последний штрих в ПСКЗИ ШИПКА - наличие SDK, с помощью которого можно с легкостью использовать криптографический функционал СКЗИ для встраивания в свои нетиповые системы. Такая схема применения ПСКЗИ ШИПКА полностью снимает с пользователей (разработчиков) головную боль, связанную с использованием сертифицированных криптографических средств.

Дальнейшее развитие ПСКЗИ ШИПКА возможно по двум направлениям:

1. Разработка защищенных решений с применением уже реализованных на сегодняшний день в ПСКЗИ ШИПКА возможностей;

2. Развитие возможностей ПСКЗИ ШИПКА, в том числе с изменением ее аппаратной архитектуры, позволяющее «превращать» ШИПКА фактически в защищенный «компьютер».

В данной работе мы не будем подробно рассматривать варианты использования существующих возможностей. Остановимся на перспективах развития аппаратной базы устройства.

Наиболее очевидным путем развития ШИПКА по второму направлению является встраивание и после этого - использование внутренней flash-памяти в том же устройстве. В дополнение к этому при использовании более мощной элементной базы существует возможность разместить в этой памяти полноценную ОС, например на базе сертифицированного дистрибутива Linux, и запускать её вместо основной ОС рабочей станции.

При внедрении механизмов контроля целостности и самотестирования в рамках такого устройства уже можно говорить о создании некоторой полностью изолированной среды на базе недоверенного АРМ. А в случае встраивания соответствующих защитных механизмов - о полноценном изолированном тонком клиенте, с помощью которого можно удаленно поработать, например, во внутренней корпоративной сети или в системе банк-клиент. При правильной настройке системы говорить об утечке информации или об НСД к данным в таком устройстве не приходится, так как все возможные каналы взяты под контроль и не могут использоваться внешними приложениями (по отношению к встроенной ОС, контроль которой также осуществляется в ходе самотестирования).

Ранее для безопасной работы пользователя и создания доверенной среды необходимо было внедрять достаточно дорогие средства защиты информации от НСД. Предложенная же концепция позволяет фактически за минимальные вложения получить возможность использовать полностью доверенную среду без привязки к защищенности самой рабочей станции - то есть сделать шаг от доверенной среды к доверенному сеансу. Такой вариант успешно прорабатывался в рамках проекта «Защищенный домашний компьютер». Аналогичное решение сейчас готовится к внедрению.

Однако в данной реализации существует ряд неудобств для пользователя. Основное из них - необходимость каждый раз перезагружать АРМ и загружаться с ШИПКА для организации защищенной работы. Эту проблему можно решить, организовав возможность одновременной работы встроенной в ШИПКА ОС в рамках основной ОС рабочей станции (рис. 1).

Рисунок 1. Работа с встроенной в ШИПКА ОС на недоверенном АРМ

Пользователю достаточно будет сделать следующее:

• Запустить программное обеспечение для своеобразной виртуализации и подключить устройство ШИПКА;
• После подключения ШИПКА к рабочей станции выполнить процедуру идентификации (ввести PIN-код).

По завершении необходимых процедур идентификации/аутентификации на устройстве будет запущена встроенная ОС (например, из семейства Linux), загрузится необходимый профиль и дополнительное ПО, необходимое для работы пользователя. Доступ к гостевой ОС будет осуществляться в рамках специально сформированного окна в основной ОС, framebuffer для прорисовки которого полностью обрабатывается в ШИПКА.

При наведении курсора во внутреннюю область этого окна в ШИПКА будут передаваться только нажатие клавиш с клавиатуры и изменения положения мыши. В то же время в защищенное окно от ШИПКА будет передаваться только изменение framebuffer.

Таким образом, возможна одновременная работа встроенной в ШИПКА ОС и основной ОС на обычной рабочей станции, причем за счет коммуникации с использованием недоверенных АРМов по собственному защищенному каналу обеспечивается её изолированность от основной ОС.

Однако тут возникает несколько вопросов безопасности:

1. Глобальный и общий вопрос доставки и защиты framebuffer от ШИПКА до специального окна и обратно. На пути передачи framebuffer возникает довольно много аппаратных и программных компонентов рабочей станции, использовать которые для транзита открытого потока нельзя. В рамках этого вопроса необходимо учесть:

• возможность защиты передаваемого framebuffer окна от его изменения до отрисовки на экране;
• возможность защиты от перехвата и подмены передаваемых в устройство ШИПКА данных;
• возможность защиты изображения в специальном окне от операций print screen.

Для решения первых двух проблем можно добавить простейший дисплей и минимальное число кнопок на устройство. Это позволит с одной стороны все вычисления проводить в защищенной среде и использовать АРМ только как средство связи и ввода данных, а с другой стороны это обеспечит контроль со стороны пользователя за обрабатываемой информацией (контроль правильности введенной информации или отсылаемых данных, а также контроль конечного адресата).

В качестве решения третьей проблемы можно предложить зашумление, кодировку с помощью специального кодека, программный перехват всех операций print screen.

2. Вопрос возможности обмена данными между основной и гостевой ОС.

Этот вопрос можно решать двумя практически противоположными подходами.

Можно запретить такой обмен, и организовать систему, при которой «основная» ОС во время работы в доверенном сеансе не будет использоваться вообще. Этот подход уместен, если задача, решаемая совмещением ОС, сводится к тому, чтобы пользователю не было необходимости каждый раз перезагружать компьютер для смены сеанса. При этом, если для работы в доверенном сеансе ему нужны какие-то данные, хранящиеся на ПК, можно предоставить ему возможность с помощью специального ПО и соответствующего регламента заранее записать на ШИПКУ необходимые данные. Однако это можно допускать только в том случае, если есть четко описанная возможность проверки подлинности и целостности таких данных.

Второй же вариант, при котором необходима-таки возможность обмена данными между ОС, допустим только в том случае, если ПК надежно защищен от НСД, то есть не является, собственно, «недоверенным АРМ».

Еще одной идеей использования ШИПКА на новой элементной базе является создание полноценного терминального сервера на базе полученного устройства, в котором можно предусмотреть альтернативный (доверенный) канал связи с внешним миром:

• GPRS, 3G
• Wi-Fi
• Bluetooth, и прочее

Можно с уверенностью сказать, что на пути реализации новых идей все возникающие вопросы и проблемы носят чисто технологический характер и могут быть решены.

С учетом довольно больших мощностей существующих на данный момент аппаратных решений к описанным вариантам использования ШИПКА вполне можно добавить поточное шифрование данных и организацию любых других доступных на сегодняшний день сервисов.

Авторы: Каннер А. М.; Счастный Д. Ю.

Дата публикации: 01.01.2010

Библиографическая ссылка: Каннер А. М., Счастный Д. Ю. Направления развития ПСКЗИ ШИПКА // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 86–90.