Преимущества использования протокола CCID в аппаратных СЗИ

При разработке нового аппаратного СЗИ важным вопросом является выбор стандартов, которые данное устройство будет поддерживать. Выбор определяется удобством для разработчика аппаратуры СЗИ, для разработчика программной составляющей системы защиты, а так же для технической поддержки уже разработанного устройства.

В первую очередь важны стандарты взаимодействия аппаратного СЗИ с ПК пользователя. Ни для кого не секрет, что одним из наиболее распространенных интерфейсов передачи данных на данный момент является USB. О стандартах работы с USB и хотелось бы поговорить. В первую очередь о стандарте CCID.

CCID (integrated circuit card interface device) - это стандарт USB, созданный для работы с контактными смарт-картами, описанный ГОСТ Р ИСО/МЭК 7816 (аналог зарубежного ISC/IEC 7816). Данный стандарт используется для работы как с USB-ридерами смарт-карт, так и со смарт-картами с USB интерфейсом.

Стандарт CCID является альтернативой таким стандартам USB, как MSC (Mass Storage Class) и HID (Human Interface Device). Примером устройства, поддерживающего стандарт MSC, можно назвать обычный флеш-накопитель. Примером HID-устройства может послужить стандартная клавиатура.

Чем же CCID выгодно отличается от двух других стандартов и почему его стоит использовать при создании аппаратного СЗИ? Попробуем разобраться.

Во-первых, все три стандарта поддерживают передачу данных массивами информации, что обеспечивает высокую скорость обмена информацией между устройством и ПК. Однако структура пакетов данных в стандартах MSC и HID по сути не документирована и остается на совести разработчика, что осложняет поддержку данных стандартов на специфических встраиваемых системах. Что касается стандарта CCID, то структура команд, пакетов данных и ответов описана в ГОСТ Р ИСО/МЭК 7816, что облегчает поддержание данного стандарта на нестандартых устройствах. Это облегчает поддержку корректной работы СЗИ в составе конечной системы, а следовательно и разработку программной части этой системы.

Во-вторых, очевидно, что аппаратное СЗИ должно обладать внутренней памятью. Стандарты MSC и HID не выдвигают никаких требований относительно специфики устройства оной. В CCID же наоборот, структура внутренней памяти целиком и полностью описана ГОСТом, там же описаны возможные свойства файлов и папок, их атрибуты безопасности, порядок их создания, удаления, чтения и записи. Данная особенность позволяет с большей вероятностью восстановить информацию из поврежденного устройства (при известном PIN-коде). Это облегчает дальнейшее обслуживание СЗИ и техническую поддержку клиента.

В-третьих, одной из наиболее важных особенностей стандарта CCID состоит в том, что он как и стандарт HID, в отличие от MSC, не требует установки дополнительных драйверов. В подавляющем большинстве операционных систем драйвер CCID интегрирован в ядро системы, что обеспечивает работу аппаратного средства защиты информации «из коробки». Казалось бы, нет особых проблем поставить дополнительные драйвера, однако что если речь идет о UNIX-подобной системе, да еще и не о стандартной сборке, а разработанной для специфической встраиваемой системы (например - «умный дом»)? Задача сразу многократно усложняется. Со стандартом CCID таких проблем нет, так как драйвер для работы с таким классом устройств интегрирован в ядро системы. Данная особенность облегчает работу как самого разработчика СЗИ, так и разработчиков программной составляющей системы (не требуется написание собственных драйверов).

В-четвертых, стандарт CCID изначально проектировался как стандарт с поддержкой криптографических систем и алгоритмов. Это заранее увеличивает доверие к системе, поддерживающей данный стандарт, так как криптография поддерживается не как отдельный модуль, а как интегрированная на уровне файловой системы составляющая. Эта особенность облегчает разработку самого СЗИ - разработчику не требуется придумывать алгоритмы работы с криптографией, что исключает ошибки и уязвимости, а следовательно и повышает надежность системы в целом.

Перечисленные выше плюсы стандарта CCID дают ему неоспоримое преимущество при разработке аппаратного средства защиты информации.

Автор: Елькин В. М.

Дата публикации: 01.01.2013

Библиографическая ссылка: Елькин В. М. Преимущества использования протокола CCID в аппаратных СЗИ // Комплексная защита информации. Электроника инфо. Материалы XVIII Международной конференции 21–24 мая 2013 года, Брест (Республика Беларусь). 2013. С. 147–148.