Использование персональных средств криптографической защиты информации в мобильных устройствах

Мобильные устройства получили широкое распространение благодаря своей компактности, функциональности и простоте использования. Это распространение началось сразу с появлением сотовых телефонов и карманных персональных компьютеров (КПК). В настоящее время наблюдается тенденция слияния мобильных устройств связи с КПК. Последние, в свою очередь, приближаются по техническим характеристикам к настольным персональным компьютерам. Таким образом, появляются устройства с мощными вычислительными ресурсами и широкими коммуникационными возможностями (сотовая связь, Wi-Fi, Bluetooth). Такие устройства уже способны интегрироваться на уровне настольных ПК в современные системы сбора, обработки и хранения информации.

Применение мобильных устройств для решения задач предприятия или учреждения требует наличия различных механизмов защиты информации - от контроля доступа к самому устройству до средств шифрования информации и электронной цифровой подписи. Реализация данных механизмов защиты информации непосредственно на самом мобильном устройстве может привести к печальным последствиям в случае его утери или хищения, так как хранимые в открытом виде персональные данные, а также ключевая информация могут попасть в руки злоумышленников. Последствия утраты такого мобильного устройства могут быть катастрофичны - вплоть до полной дезорганизации функционирования учреждения или предприятия.

Избежать этого можно, используя надежное отчуждаемое средство криптографической защиты информации - такое, которое позволяет организовать работу с ключами без использования процессора самого мобильного устройства. В частности, в персональном средстве криптографической защиты информации (ПСКЗИ) ШИПКА (Шифрование - Идентификация - Подпись - Коды Аутентификации) использование ключей в криптографических алгоритмах организовано именно таким образом: на протяжении всего жизненного цикла ключи не покидают ПСКЗИ ШИПКА и хранятся в защищенной энергонезависимой памяти.

ПСКЗИ ШИПКА представляет собой USB-устройство[1], позволяющее безопасно хранить и использовать ключи различных криптографических алгоритмов. Безопасность достигается за счет аппаратного датчика случайных чисел и защищенной энергонезависимой памяти. Криптографические алгоритмы в ПСКЗИ ШИПКА (и российские, и западные) реализованы на аппаратном уровне.

Одним из направлений применения мобильных устройств является терминальный доступ к серверам различных информационных систем. Для обеспечения персонифицированного доступа к информационной системе необходимо наличие механизмов идентификации и аутентификации пользователей мобильных устройств. Использование для этих целей длинных паролей, которые трудно запомнить, может привести к негативным последствиям, так как зачастую эти пароли пишутся на бумажке и хранятся в непосредственной близости от самого мобильного устройства. Для обеспечения безопасного входа в систему и защищенности взаимодействия клиента и сервера необходимы надежные механизмы идентификации и аутентификации. Одним из таких механизмов можно считать двухфакторную аутентификацию. В современных системах двухфакторная аутентификация, как правило, основывается на применении смарт-карт.

Для использования смарт-карты необходим считыватель смарт-карт.

Очевидно, что при использовании компактного мобильного устройства будет неудобно подключать к нему считыватель (он сравним по размерам с самим мобильным устройством), а затем устанавливать в него смарт-карту.

Однако что такое по сути смарт-карта, если отвлечься от технологической реализации? Это некоторое устройство, защищенное PIN-кодом от несанкционированного доступа и использования, в энергонезависимой защищенной памяти которого хранятся конфиденциальные данные (в том числе криптографические ключи и другая идентификационная информация).

Очевидно, что этими свойствами могут обладать не только устройства, выполненные в форм-факторе смарт-карты. По этой причине сегодня неуклонно растет популярность смарт-карт в форм-факторе USB-устройств - так называемых <токенов>, которые построены на смарт-карточных кристаллах и, по заявлению самих производителей, представляют собой не что иное, как смарт-карта + считыватель.

В качестве смарт-карты можно использовать и ПСКЗИ ШИПКА, так как для нее считыватель также реализован на программном уровне.

Отметим, что ПСКЗИ ШИПКА отвечает функциональным требованиям к смарт-картам с точки зрения обеспечения безопасности. Аппаратная часть ПСКЗИ ШИПКА позволяет производить двухфакторную аутентификацию пользователей мобильных устройств.

Для использования ПСКЗИ ШИПКА в качестве смарт-карты, безусловно, необходима программная часть, которая представляет собой системные библиотеки, драйвера и криптопровайдер. Данное ПО реализовано в ПСКЗИ ШИПКА на платформе Windows CE, так как именно эта операционная система получила наибольшее распространение в современных мобильных устройствах.

Windows CE - это вариант операционной системы Microsoft Windows для наладонных компьютеров, мобильных телефонов и встраиваемых систем. Поддерживаются архитектуры x86, MIPS, ARM и процессоры Hitachi SuperH.

Windows CE оптимизирована для устройств, имеющих минимальный объем памяти: ядро Windows CE может работать на 32 Кб памяти. Устройства часто не имеют дисковой памяти и могут быть сконструированы как <закрытые>, без возможности расширения пользователем.

Идентификация и аутентификация пользователя мобильного устройства под управлением Windows CE с помощью ПСКЗИ ШИПКА в качестве смарт-карты производится на сервере под управлением серверных операционных систем семейства Windows. Для того чтобы использовать смарт-карту, ее нужно зарегистрировать в системе. Каждой смарт-карте должен соответствовать определенный считыватель. Подключение к серверу производится по протоколу RDP. Системные библиотеки RDP вызывают драйвер считывателя смарт-карты. Драйвер считывателя проверяет наличие смарт-карты и начинает принимать APDU для последующей передачи их в смарт-карту. За передачу данных в карту отвечает функция драйвера, которая принимает APDU от сервера и отсылает их в карту, таким же образом она возвращает ответ карты серверу.

Для корректной работы ПСКЗИ ШИПКА в качестве смарт-карты в ОС Windows CE реализованы драйвер считывателя смарт-карты, криптопровайдер ПСКЗИ ШИПКА, системная библиотека и драйвер ПСКЗИ ШИПКА.

Подводя итог, можно сказать, что использование в качестве смарт-карты для реализации механизмов идентификации и аутентификации пользователей мобильных устройств персональных средств криптографической защиты информации, для которых смарт-карточные функции, казалось бы, не являются основными, не только способно обеспечить защищенное и персонифицированное взаимодействие клиента и сервера на основе российских криптографических алгоритмов, но и позволяет снизить структурную сложность системы за счет уменьшения числа отдельных элементов защиты, что, в свою очередь, влечет за собой снижение затрат (как финансовых, так и трудозатрат) на внедрение и обслуживание.

Автор: Муха М. Д.

Дата публикации: 01.01.2008

Библиографическая ссылка: Муха М. Д. Использование персональных средств криптографической защиты информации в мобильных устройствах // Информационные технологии управления в социально-экономических системах. М., 2008. С. 131–134.

---