Защита информации с USB-интерфейсом

Системный администратор как никто другой знает, каким должно быть устройство, которое можно было бы раздать пользователям, не поставив под угрозу ни корпоративную систему, ни нервную систему - свою, руководства и пользователей. Это устройство должно быть легко использовать и трудно сломать. К сожалению, чаще бывает наоборот.

Счастливое исключение представляют собой USB-устройства. Именно поэтому, несмотря на ворчание разработчиков, пеняющих на ограниченные возможности USB-интерфейса,  возможность подключения через этот интерфейс существенно повышает шансы на успех любого продукта. Через USB сегодня можно подключать не только привычные мышь, клавиатуру, и флешь-память, но и довольно экзотичные вещи типа USB-подогревателей, USB-вентиляторов с подсветкой и многого другого, не менее удивительного.

Итак, поскольку интерфейс USB люди очень часто используют в быту, мы можем рассчитывать на то, что внедрение устройств такого формата в корпоративную систему не повлечет за собой длительного периода обучения и аварийного ремонта.

ТИПОЛОГИЯ (ИЛИ "ЧТО?")

Представленные в настоящее время на рынке USB-устройства для защиты информации имеют массу отличий друг от друга, но, тем не менее, их можно разделить на три основных класса: электронные ключи для защиты от нелегального использования (Hardware Against Software Piracy, HASP), USB-токены (аналоги смарт-карт) и персональные средства криптографической защиты информации (ПСКЗИ).

Электронные ключи HASP. Это программно-аппаратная система для защиты программ и данных от нелегального использования и несанкционированного распространения. Механизм ее применения таков: в комплект поставки помимо собственно программного обеспечения на том или ином носителе входит USB-ключ, который необходим для подтверждения легальности копии - без него ПО работать не будет.

Логика этого метода защиты очевидна (и, надо сказать, совершенно правильна): владельцем программного обеспечения является конкретный человек или организация, поэтому возможность его легального использования не должна зависеть от того, на какой компьютер установлено ПО. Между тем, ключи HASP скорее усложняют  администрирование корпоративной системы, чем повышают ее безопасность, поскольку защищают интересы не пользователя, а поставщика ПО.

USB-токены. USB-токены являются аналогами смарт-карт не только в функциональном, но и в буквальном, технологическом смысле. В основе архитектуры этого устройства - точно такой же кристалл, как в смарт-карте. Отсюда и их функциональная идентичность, так как функциональность смарт-карт определяется именно возможностями микросхемы. Последних вполне достаточно для того, чтобы реализовать различные процедуры аутентификации, в том числе, с использованием криптографических алгоритмов - электронной цифровой подписи (ЭЦП) или шифрования. Такие решения могут применяться для аутентификации при локальной регистрации на компьютере, входе в домен Windows, для шифрования или подписи сообщений электронной почты, получения сертификатов подписи в удостоверяющем центре (УЦ).

Для поддержки этих функций USB-токенам не нужны ни аппаратный датчик случайных чисел (ДСЧ), ни аппаратная реализация российских алгоритмов. Надежная генерация ключей в их задачи не входит, а для криптографической защиты личной переписки, как правило, достаточно импортных алгоритмов. USB-токены  позиционируются как средства строгой аутентификации, под которой обычно понимается двухфакторная/трехфакторная аутентификация.

По отношению к USB-токенам используются два понятия: USB-ключ и USB-брелок. При всем различии брелков и ключей в обычной жизни администратору такая метафора может быть полезна: пользователь вряд ли потеряет устройство, если он прикрепит его в качестве брелка к связке ключей.

ПСКЗИ - это понятие, основанное на требованиях российский нормативных документов, поэтому аналогов в полном смысле этого слова среди зарубежных разработок (по крайней мере, широко известных) - нет. Данная аббревиатура расшифровывается как персональное средство криптографической защиты информации, что предполагает наличие широкого и гибкого функционала. Для этого оно должно быть перепрограммируемым, а его архитектура - допускать возможность наращивания ресурсов. В общем случае оба эти требования могут быть выполнены при использовании микропроцессора, а не микросхемы, как в смарт-карте.

Использование микропроцессора позволяет разработчикам реализовать линейку продуктов с существенно различающимися свойствами, а пользователю выбрать действительно необходимый инструмент - без ущерба для решаемых задач, но и без переплаты за ненужный функционал. Благодаря возможности перепрограммирования не придется покупать очередную новинку, если нужная пользователю программная функция появилась уже после того, как была приобретена предыдущая версия - обновление можно загрузить на уже эксплуатируемые устройства.

Это не только экономически выгоднее, но и организационно проще: при "перепрошивке" ПСКЗИ уже имеющиеся на нем данные (ключи, сертификаты и пр.) не утрачиваются. А значит, необходимость обновления не будет связана с дилеммой - реализовать всю систему "с чистого листа" или переписать куда-то критичные с точки зрения безопасности данные. При большом количестве пользователей переоценить такое облегчение жизни администратора вряд ли возможно.

Точно так же, если не более, перепрограммируемость важна и в тех случаях, когда USB-устройство интегрируется в разрабатываемую или уже готовую систему: это позволяет произвести необходимую адаптацию, и соответственно, получить более комфортное решение, чем при встраивании "как есть".

Помимо перечисленных имеет смысл упомянуть еще так называемые "защищенные флэш-накопители" - флэш-память USB с аутентифицируемым доступом (доступ к памяти может быть защищен, например, биометрическими средствами или с помощью шифрования). Сами по себе эти устройства полезны и заслуживают отдельного рассмотрения, но они не являются средствами защиты информации, и при построении корпоративных систем они, как правило, не применяются.

ПРИМЕНЕНИЕ (ИЛИ "ЗАЧЕМ?")

Для чего именно в корпоративных системах могут применяться USB-токены, а для чего - ПСКЗИ? USB-токены, как уже было сказано, используются в основном как средства идентификации/аутентификации пользователя при доступе к ПК или отдельным приложениям, а также для защиты электронной почты. Устройства этого вида поддерживаются во многих сертифицированных средствах криптографической защиты информации, в том числе российских, в качестве защищенного носителя для хранения контейнеров с ключами. Как носители ключей и сертификатов токены поддерживаются большинством УЦ.

ПСКЗИ могут использоваться (и используются) для решения перечисленных выше задач. Помимо этого они применяются, например, в российских системах шифрования и цифровой подписи документов, передаваемых по открытому каналу связи, где реализованы соответственно, отечественные криптографические алгоритмы. В этих системах именно ПСКЗИ выполняют криптографические преобразования.

Те УЦ, в которых, в соответствии с российским законодательством, требуется особенно высокий уровень безопасности, базируются на ПСКЗИ, поскольку последние отвечают следующим требованиям:

- генератор случайных чисел реализован аппаратно;

- секретные ключи не могут быть экспортированы из контейнера в открытом виде;

- защищенное устройство должно не только хранить секретный ключ, но и выполнять операции с этим ключом.

ПСКЗИ входит в "комплект поставки" услуги УЦ и приобретается пользователем непосредственно у УЦ, но затем он может использовать всю его функциональность. Таким образом, пользователь, если у него нет ПСКЗИ, получает его от УЦ, а при наличии собственного устройства может  формировать ключи и сертификаты с его помощью, не покупая дополнительное.

Если в корпоративной системе требуется надежная генерация ключей, то помимо USB-токенов понадобится устройство с независимым от системы процессором, снабженное аппаратным датчиком случайных чисел, который генерировал бы качественные случайные последовательности. Распределение ключей в такой системе - при наличии сложной структуры, состоящей из множества групп, - может стать для администратора нетривиальной задачей. Применение специального АРМ не всегда целесообразно и экономически оправдано, но в системе с USB-токенами альтернативой ему может стать только УЦ.

В системе ПСКЗИ с аппаратным ДСЧ ключи генерируются в самом устройстве, а обмен экспортируемыми ключами производится с помощью специальной утилиты (ключи шифрования экспортируются всегда в защищенном виде, а отмеченные как "неэкспортируемый" - не экспортируются вовсе, как бы пользователь этого ни хотел). Без применения каких бы то ни было дополнительных устройств можно добиться такого распределения ключей, которое будет соответствовать любой, пусть очень сложной политике безопасности, но никогда не поставит функционирование системы под угрозу.

Это обстоятельство имеет принципиальное значение, например, при внутрикорпоративном обмене информацией ограниченного распространения или различном уровне доступа к некоему ресурсу: шифрование посредством разных ключей - простой с точки зрения администрирования, но вместе с тем очень эффективный способ решения такой задачи, если есть надежная система генерации и распределения ключей.

Стоит упомянуть еще одну возможность, предоставляемую ПСКЗИ без привлечения дополнительного оборудования, - речь идет о генерации самоподписанных сертификатов. Это такой тип сертификата, издателем и субъектом которого является одно и то же лицо (или организация). Он не содержит подписи третьей стороны, удостоверяющей связь между субъектом и ключами. Для того чтобы доверять такому сертификату, получатель должен получить его по заранее утвержденному доверенному каналу. Формат самоподписанного сертификата такой же, как у сертификата стандарта X.509, поэтому любое стандартное ПО воспринимает его как обычный цифровой сертификат. Например, получив самоподписанный сертификат, программа электронной почты поинтересуется у пользователя, доверять ли источнику, из которого получен сертификат. При положительном ответе сертификат будет отнесен к доверенным. В системах, где ЭЦП используется для организации внутрикорпоративного (а не внешнего) документооборота, и количество сотрудников, вовлеченных в обмен электронными документами не слишком велик, самоподписанные сертификаты могут стать хорошей альтернативой взаимодействию с общедоступными УЦ. 

Еще одна задача, для которой ПСКЗИ представляется наиболее удобным  инструментом, - разграничение доступа к тому или иному функционалу общего ресурса. В наибольшей степени эта проблема затрагивает крупные и территориально распределенных системы. Если сам общий ресурс содержит только "стандартную" функциональность, а "особые" функции находятся в процессоре ПСКЗИ (что возможно благодаря его перепрограммируемости), то, не имея такого устройства, даже легальный пользователь не сможет "сделать лишнего". Простейший пример -администраторский раздел ресурса Web. Работать с ним имеют право несколько человек, при этом все они, авторизовавшись, могут просматривать структуру ресурса и его содержание. Если в предоставленных им ПСКЗИ будут реализованы разные наборы функций (допустим, у одного - возможность добавлять данные в информационные разделы, у другого - добавлять (или удалять) разделы, у третьего - размещать или удалять программы для корпоративного доступа, у четвертого - обрабатывать базы данных, у пятого  - вносить изменения в какие-то особенные объекты, например, чертежи) и т. д., то, несмотря на их статус легального пользователя, ни один из них не сможет - случайно или нарочно - вторгнуться в сферу ответственности другого.

При такой организации процесса имеющий соответствующее ПСКЗИ пользователь сможет работать со "своими" возможностями, только если ему разрешен доступ к общему ресурсу. Если же по каким-то причинам в доступе отказано (например, он пытается получить его в неположенное время, или с неразрешенного терминала), то использовать заложенные в ПСКЗИ функции ему не удастся.

АДМИНИСТРИРОВАНИЕ (ИЛИ "КАК?")

Для применения данных продуктов в корпоративной среде большое значение имеет реализация в них функций администратора устройств. Например, в двух из трех моделей наиболее популярных на российском рынке USB-токенов права легального пользователя предоставляются только одному человеку. Токен третьей модели предполагает наличие администратора и пользователя. При форматировании токена необходимо определить пароль администратора, в противном случае его функции доступны не будут - соответствующая вкладка в "настройках" появляется только после задания пароля. Затем администратор может поменять пароли - причем не только свой, но и пользователя, текущий пароль которого ему для этого не понадобится. Думается, наличие такой возможности заставит пользователей быть вежливыми с администратором.

В ПСКЗИ функции администратора реализованы совершенно иначе. Перед предоставлением ПСКЗИ пользователю администратору необходимо провести процедуру инициализации, установив параметры политики безопасности: параметры PIN-кода, а также возможность (или невозможность) разблокировки с помощью PUK-кода устройств, которые были заблокированы. Он вводит ограничения на длину PIN/PUK-кодов и количество попыток, которые даются пользователю для ввода правильных PIN/PUK-кодов, а также определяет разрешенный алфавит для PIN-кода. 

При первой инициализации с помощью специальной утилиты он устанавливает пароль администратора (если предусматривается повторная инициализация); задает параметры PIN/PUK (в известных USB-токенах возможность PUK не предусматривается) и форматирует ПСКЗИ. В дальнейшем изменения параметров политики безопасности выполняются только после введения пароля администратора. Других возможностей, кроме смены ранее заданных параметров, пароль администратора ПСКЗИ не предоставляет. Администратор вправе зафиксировать политику безопасности ПСКЗИ таким образом, что ее нельзя будет изменить в дальнейшем. Использовать эту функцию нужно очень осторожно и только в том случае, когда есть твердая уверенность, что требования к политике безопасности не изменятся.

Пользователь (лицо, непосредственно работающее с ПСКЗИ) получает от администратора инициализированное ПСКЗИ и назначает свой PIN. Администратор не может поменять PIN пользователя или узнать его без согласия пользователя, что дает последнему некоторое ощущение независимости.

В отличие от систем, где администратор может восстановить пароли пользователей в случае утери, ПСКЗИ проектируются таким образом, что доступ к данным имеет только владелец устройства. Администратор имеет право лишь на инициализацию и задание политики безопасности, а за сохранность PIN/PUK-кодов, а, следовательно, и за все хранимые данные отвечает пользователь.

Он может сменить PIN-код, но только в соответствии с заданными администратором параметрами. При форматировании ПСКЗИ пользователем правила политики безопасности остаются прежними.

Инициализируя ПСКЗИ и принимая решение о том, формировать ли PUK-код, администратор должен иметь в виду следующее: если PIN-код вводится неправильно заданное число раз, устройство блокируется; если PUK-код не был сформирован, то вернуть ПСКЗИ в рабочий режим можно только путем форматирования с потерей всех ключей и данных. Нетрудно представить, что ПСКЗИ может быть заблокировано "доброжелателем" нарочно (если пользователь по неосторожности оставит его без присмотра), и тогда, если политикой безопасности не был предусмотрен PUK-код, вся информация окажется утерянной безвозвратно, поскольку расшифровать ее не удастся. Всю процедуру придется начинать с начала. В случае предварительного формирования PUK устройство можно разблокировать, введя значение PUK и новое значение PIN. Количество попыток ввода PUK устанавливается администратором при инициализации устройства.

PUK-код не задается администратором, а формируется устройством во время форматирования и сохраняется в файле с тем названием и в том месте, которые укажет пользователь. Администратор задает лишь соответствующую политику в отношении PUK (его наличие или отсутствие, а также параметры в случае наличия). Таким образом, пользователю не придется опасаться, что администратор захочет воспользоваться PUK-кодом в своих целях.

Никто не знает корпоративную систему так, как ее администратор. Поэтому советы - особенно "советы" производителей устройств - никогда не смогут заменить собственный анализ на основе опыта работы и знания "тонких мест" системы и ее задач. На ящик стола, сейф и форточку надо ставить разные средства защиты - и вовсе не потому, что одно хуже или лучше другого. К счастью, рынок средств защиты информации предлагает сегодня достаточно широкий выбор, чтобы построить систему защиты информации не "как получится", а как надо.

Автор: Конявская С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В. Защита информации с USB-интерфейсом // Журнал сетевых решений LAN. 2007. № 11 (136) (ноябрь). С. 103–106.

---