Доклады, выступления, видео и электронные публикации
ПСКЗИ ШИПКА расширяет коммуникационные возможности
В современных информационных системах в целях обеспечения безопасности информационных ресурсов получают широкое распространение смарт-карты и технологии основанные на них. С помощью смарт-карт решаются следующие основные задачи:
- идентификация и аутентификация пользователей;
- хранение ключевой информации;
- выполнение криптографических операций в доверенной среде.
APDU используются везде, где применяются смарт-карты. Это обусловлено тем, что механизм обмена информацией между смарт-картой и внешним миром стандартизован и в качестве транспортных блоков данных в соответствии со стандартами используются именно APDU.
Области применения смарт-карт:
- банковские смарт-карты;
- телекоммуникационные смарт-карты;
- идентификационные смарт-карты;
- социальные смарт-карты;
- транспортные смарт-карты;
- медицинские смарт-карты.
По своему функционалу ПСКЗИ ШИПКА может использоваться как смарт-карта. Выполнено оно в виде USB-устройства, соответственно, для взаимодействия ПСКЗИ ШИПКА с ПК не требуется никаких дополнительных устройств, как-то считыватель смарт-карт. В своем составе оно имеет не только процессор и память, но и аппаратный датчик случайных чисел, кроме того, внутреннее ПО может быть достаточно просто обновлено, но в то же время оно защищено от несанкционированных модификаций. Набор системных команд работы с устройством практически соответствует набору команд, описанному в стандарте ISO/IEC 7816-4. Следовательно, ПСКЗИ ШИПКА как с точки зрения аппаратной части, так и с программной не только удовлетворяет базовым требованиям, предъявляемым к смарт-картам, но и во многом их превосходит. Представляется целесообразным использовать данное устройство в различных приложениях в качестве смарт-карты.
Однако в ПСКЗИ ШИПКА отсутствует внутренний обработчик APDU-команд. Это обусловлено ограничениями, накладываемыми на память внутреннего программного обеспечения. В то же время представляется и нецелесообразным выделять дополнительную память и накладывать дополнительную вычислительную нагрузку на процессор устройства для реализации совершенно не критичной с точки зрения безопасности функции. Все эти операции по обработке APDU можно с гораздо меньшими затратами производить в ОС ПК, ведь обработка APDU есть ни что иное, как преобразование данных из одного формата в другой. Исходя из такого подхода, по вполне понятным причинам, и дальнейшие модификация и усовершенствование обработки APDU можно производить путем замены соответствующего системного ПО на ПК, не изменяя при этом внутреннее ПО ПСКЗИ ШИПКА. Отметим, что в качестве платформы разработки рассматривается только Win32.
Итак, обработчик APDU, задачей которого будет преобразование блоков данных APDU во внутренние команды работы с устройством, должен быть встроен в системное ПО, выполняющееся в ОС. Чтобы понять какое место в системном ПО должен занимать такой обработчик, следует рассмотреть ныне действующую систему работы с ПСКЗИ ШИПКА. В настоящий момент в системное ПО входят библиотеки CSP и PKCS#11, которые взаимодействуют с устройством через библиотеку системных команд пользовательского уровня и драйвер USB устройства. Стоит отметить, что любое взаимодействие с устройством идет по такому пути. Для работы CSP необходимо чтобы ОС ПК воспринимала ПСКЗИ ШИПКА как смарт-карту. Для этого в ОС существует драйвер виртуального считывателя смарт-карт, который на настоящий момент играет роль лишь индикатора того, что установленное ПСКЗИ ШИПКА является смарт-картой. Никакого обмена данными через этот драйвер не происходит, все данные передаются через CSP, хотя конструкция драйвера предполагает, что обмен данными со смарт-картой идёт непосредственно через него. Именно эти данные и должны представлять собой APDU. Легко видеть, что именно в этом месте необходимо встраивать обработчик APDU, то есть интегрировать его в драйвер виртуального считывателя смарт-карт. Следовательно, данный обработчик будет функционировать на уровне ядра ОС. Отсюда следует и другое - библиотеку системных команд работы с устройством пользовательского уровня необходимо адаптировать для функционирования на уровне ядра ОС.
Значит, задача структурируется следующим образом:
- разработка обработчика APDU;
- адаптация драйвера виртуального считывателя смарт-карт;
- адаптация библиотеки системных команд пользовательского уровня.
Таким образом, разработанное системное ПО, позволяет любому приложению Win32 посылать команды в соответствии со стандартами ISO/IEC 7816 ПСКЗИ ШИПКА как смарт-карте и получать стандартной формы ответы, то есть теперь ПСКЗИ ШИПКА может выступать в новой роли - роли смарт-карты.
Разработанное системное ПО и ПСКЗИ ШИПКА позволяют:
- пользователям работать с ПСКЗИ ШИПКА на самом низком уровне без знаний языков программирования;
- интегрировать ПСКЗИ ШИПКА в качестве смарт-карты в существующие системы защиты информации с минимальными трудозатратами;
- разработчики стороннего ПО теперь могут создавать своё собственное ПО используя Smart Card API и стандартные команды ISO/IEC 7816 для решения задач защиты информации на базе ПСКЗИ ШИПКА.
Автор: Тафинцев Е. К.
Дата публикации: 01.01.2008
Библиографическая ссылка: Тафинцев Е. К. ПСКЗИ ШИПКА расширяет коммуникационные возможности // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 171–173.
Метки документа:
аутентификация
криптография
шипка
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.