Реализация концепции доверенных вычислений в новых изделиях ОКБ САПР

В. В. Лысенко ОКБ САПР

Развитие современных компьютерных систем неизменно сопровождается увеличением объемов и ценности обрабатываемой информации, что делает вопросы защиты информации все более актуальными. Одной из последних инициатив в этом направлении является создание концепции Trusted Platform Module (TPM), предложенной организацией Trusted Computing Group (TGC - консорциум фирм-производителей компьютерной техники, таких как AMD, HP, IBM Corp., Intel Corp. и др.). Основной идеей концепции является обеспечение доверенных вычислительных операций (обычно криптографических) в вычислительной системе за счет реализации этих операций на аппаратном уровне в изолированной подсистеме с надежно специфицированными интерфейсами.

Типичный TPM модуль представляет собой интегральную микросхему (ИС), устанавливаемую на материнскую плату компьютера. Типичная ИС TPM (для примера - AT97SC3201 фирмы Atmel) имеет следующие возможности:

• энергонезависимая память для хранения нескольких RSA ключей;
• 8-битный микропроцессор семейства AVR;
• аппаратный криптографический ускоритель (вычисление ЭЦП на базе алгоритма RSA для длины ключа до 2048 бит);
• генератор случайных чисел.

Программный интерфейс к TPM модулю стандартизован под названием TGC Software Stack (TSS) . Известны реализации TSS для поддержки функций модуля TPM через спецификации PKCS #11 и Microsoft CAPI.

Фирма Microsoft заявила о системной поддержке TPM в будущих версиях ОС Windows. Фирма Intel выпустила первую материнскую плату с установленным TPM модулем (модель D865GRH).

Учитывая передовой мировой опыт в решении проблем защиты информации, ОКБ САПР анонсирует ряд новых изделий, которые позволят наряду с доверенной загрузкой ОС обеспечить концепцию доверенных вычислений.

Контроллер Аккорд-5.5

Новый контроллер Аккорд-5.5 является контроллером электронного замка (в этом плане он практически совместим с контроллером Аккорд-5), дополненного мощным криптографическим вычислителем и подсистемой хранения ключевой информации, и имеющего следующие технические данные и характеристики:

• шифрование по ГОСТ 28147-89 (до 12 Мбайт/с);
• вычисление хэш-функций - ГОСТ Р 34.11-94, MD5, SHA-1 (до 8 Мбайт/с);
• вычисление/проверка ЭЦП по ГОСТ Р 34.10-94 (30/70 мс 1024-бит);
• вычисление/проверка ЭЦП по ГОСТ Р Р 34.10-2001 (100 мс);
• вычисление защитных кодов аутентификации ЗКА (3000 ЗКА/с).

Все алгоритмы реализованы аппаратно, ключевые данные находятся в плате контролера, никогда не попадая в память компьютера. Для долговременного хранения разнообразной ключевой информации (ключи, пароли, сертификаты) используется энергонезависимая память с организацией данных, подобной файловой системе по ISO 7816.

Фактически контроллер Аккорд-5.5 представляет собой комбинацию электронного замка с TPM модулем. Возможности контроллера могут быть использованы во множестве стандартных приложений благодаря наличию реализаций интерфейсов Microsoft CAPI, PKCS #11, TSS v1.10.

Физически контроллер Аккорд-5.5 представляет собой стандартную плату расширения, устанавливаемую в любой свободный PCI или PCI-X слот, поддерживающий режим bus-master (плата полностью совместима со спецификацией PCI 2.2). Плата требует наличия напряжения питания 3.3V в шине PCI (может отсутствовать в старых компьютерах на базе процессора 486).

Программно-аппаратный комплекс ШИПКА-1.5

Новое изделие - программно-аппаратный комплекс ШИПКА-1.5 представляет собой USB-ключ, подобный изделию ruToken фирм Актив/Анкад или eToken фирмы Alladin, но обладающий значительными преимуществами.

Архитектура изделия ШИПКА-1.5 фактически совпадает с архитектурой типичного TPM модуля, имеющего интерфейс типа USB. Вычислительная мощность примененного микропроцессора достаточна для аппаратной (по отношению к центральному процессору ЭВМ) реализации криптографических алгоритмов, таких как шифрование по ГОСТ 28147 89, RC4, вычисление хэш-функций по ГОСТ Р 34.11-94, MD-5, SHA-1, вычисление ЭЦП по ГОСТ Р 34.10-94 и RSA, вычисление защитных кодов аутентификации ЗКА; при этом ключевая информация никогда не покидает вычислитель и не появляется на выводах микросхемы вычислителя. Наиболее критичные ключевые данные хранятся во внутренней энергонезависимой памяти вычислителя, остальные данные хранятся во внешней микросхеме флэш-памяти (64 Кбайт, 128 Кбайт, 256 Кбайт, 512 Кбайт, 1 Мбайт, 2 Мбайт, 4 Мбайт) в зашифрованном виде. Хранимые данные организованы в файловую систему, подобную ISO 7816. В состав изделия входит аппаратный генератор случайных чисел.

Изделие ШИПКА-1.5 является полностью перепрограммируемым устройством, что позволяет расширить список поддерживаемых алгоритмов обработки или хранения информации любым, требуемым конкретному заказчику.

Полностью поддерживаются спецификации интерфейсов Microsoft CAPI, PKCS #11, что позволяет использовать комплекс ШИПКА-1.5 в качестве идентификатора для входа в ОС Windows, для организации защищенной почтовой переписки (при помощи почтовых клиентов MS Outlook, The Bat), защищенного обмена сообщениями (ICQ PGP) и т.п. Кроме того, имеется возможность сохранения паролей, используемых для входа в различные web-сервисы. Также имеется возможность организации защищенного диска небольшого объема, предназначенного для хранения информации в виде файлов.

Криптографический ускоритель для контроллеров Аккорд-5 - Аккорд-5КУ

Это изделие предназначено для наших клиентов, которые уже приобрели контроллер Аккорд-5. Ускоритель фактически является аналогом программно-аппаратного комплекса ШИПКА-1.5, устанавливаемого на разъем расширения платы контроллера Аккорд-5. Установка ускорителя позволит расширить функциональные возможности стандартного контроллера Аккорд-5 до возможностей нового контроллера Аккорд-5.5, однако при этом скоростные показатели будут примерно такие, как у комплекса ШИПКА-1.5. Исключение составляет функция вычисления ЭЦП, скоростные показатели которой будут такие же, как и у нового контроллера Аккорд-5.5.

Автор: Лысенко В. В.

Дата публикации: 01.01.2005

Библиографическая ссылка: Лысенко В. В. Реализация концепции доверенных вычислений в новых изделиях ОКБ САПР // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 133–134.

---