Технические подробности

У всех есть свои профессиональные секреты. У театральных актеров есть такой: когда на сцене нужно показать гомон людей на улице или в кафе, когда много народу говорят между собой, и конкретных слов не слышно, но слышно общий шум разговора, то все актеры с разными выражениями произносят фразу "Куда я дел свои ключи?".
Между тем, задуматься над этим вопросом стоит каждому. Особенно, если это ключи криптографические.

Ключи, так же, как и любые данные, существуют в трех процессах: хранятся, обрабатываются (в том числе — создаются и уничтожаются) и передаются.

Никаких других состояний у данных, и ключей (как явлений этой сущности) не бывает.

Ключи отличаются от других данных только одним — компрометация ключей заметно более критична. Это значит, что принципиально никаких специфичных приемов для защиты именно ключей — не требуется, просто обеспечиваться меры защиты должны несколько более тщательно, чем в отношении любых других данных.

Почему более тщательно — очевидно на уровне здравого смысла. Сравним случай компрометации документа и компрометации ключа. Если скомпрометирован документ, то наступают некие негативные последствия. Безусловно, они могут быть весьма существенными, поэтому защищать необходимо отнюдь не только ключи. Но все-таки, если происходит компрометация ключа (например, ключа электронной подписи), злоумышленник может создавать неограниченное количество документов от имени пользователя, чей ключ скомпрометирован.

К сожалению, здравый смысл не всегда детерминирует безопасное поведение, потому более жесткие требования по защите ключей (хотя вернее было бы сказать — систем с ключом) предъявляются и регуляторами.

В свете требований к средствам электронной подписи (СЭП), в которых взаимоувязаны все три состояния ключа, это становится особенно наглядно: мы можем руководствоваться самыми разными соображениями, выбирая тип желательной для нас в тех или иных обстоятельствах ЭП, выбирая подходящий для нас СЭП, но как только мы выбрали усиленную ЭП (то есть «ЭП с ключом») мы попадаем в зону действия существенно более высоких требований.

Таким образом, с точки зрения безопасного существования криптографических ключей в Автоматизированной системе (АС) принципиальное значение имеют 2 фактора:

• защищенное хранение ключа (и, соответственно, носитель ключа)
• условия доступа к ключу и работы с ним (то есть среда функционирования криптографии (СФК)).

Очевидно и не нуждается в детализации, что второй фактор (условия доступа к ключу) касается и обработки, и передачи ключей — как части технологии, реализуемой СКЗИ (СЭП) при выполнении своих функций.

В то же время очевидно, что криптография, как правило, является вспомогательным механизмом, а не основной целевой функцией системы, поэтому условно выделяемым третьим фактором можно считать степень влияния на информационную инфраструктуру. Естественно, что удорожание и усложнение системы обычно желательно минимизировать, поэтому средство хранения ключей, например, требующее изменения применяемых в системе протоколов взаимодействия, замены операционных систем и/или внедрения не требующихся ни для чего более средств защиты каналов связи — может считаться удачным решением только для подрядчика, который будет нанят на все эти работы.

Этот раздел посвящен средству хранения ключей (токену), которое позволяет решить несколько большее число задач, чем обычно применяемые в этом качестве устройства, не требуя серьезных инфраструктурных изменений АС. Поэтому оно называется — «Идеальный токен».

Итак, защищенный ключевой носитель должен:

1. быть персональным отчуждаемым устройством,
2. быть специализированным именно для хранения ключей устройством (то есть обеспечивать возможность защищенного хранения криптографических ключей с применением интерфейсов работы со смарт-картой (ccid или pkcs#11)),
3. предоставлять доступ к ключам только легальному пользователю после успешной аутентификации в устройстве,
4. предоставлять легальному пользователю доступ к ключам только на тех СВТ, на которых данному пользователю разрешено работать с данным ключевым носителем,
5. удовлетворять требованию патентной чистоты.

Функции токена с функцией ограничения числа разрешенных компьютеров объединяет в себе новое средство, разработанное компанией ОКБ САПР, — «Идеальный токен».

«Идеальный токен» включает в себя USB-устройство со специальным встроенным программным обеспечением (ВсПО) и специальное программное обеспечение (СПО), устанавливаемое на компьютер.

«Идеальный токен» может использоваться на рабочих станциях типа IBM PC, функционирующих под управлением операционных систем Windows XP (х32), Windows Server 2003 (х32), Windows 7 (х32), Windows 7 (x64), 2008, 2012, 8.

В «Идеальном токене» есть 2 роли пользователей — «Администратор» и собственно «Пользователь». Список компьютеров, на которых разрешена работа с «Идеальным токеном», определяется пользователем с ролью «Администратор», который с точки зрения информационной системы должен быть администратором информационной безопасности или лицом, которому делегированы соответствующие функции.

Для того чтобы добавить компьютер в список разрешенных, Администратор подключает к нему «Идеальный токен», его СПО определяет, а ВсПО запоминает внутри устройства ряд параметров этого рабочего места. Если физически компьютер недоступен в момент создания списка разрешенных, или работа организована так, что администратор производит все настройки на своем АРМ, и только потом, при необходимости, посещает рабочие места пользователей, то задается только имя компьютера, а определение и запоминание параметров производится при первом подключении к компьютеру.

При каждом последующем подключении «Идеальный токен» определяет параметры текущего компьютера и сравнивает с теми данными, которые соответствуют разрешенным рабочим местам. Если они совпадают, разрешается доступ к токену со стороны внешнего ПО — то есть, собственно, со стороны СКЗИ (СКЗИ — это внешнее по отношению к «Идеальному токену» ПО), иначе в доступе отказывается.

Очевидно, что ни одно другое устройство, применяемое для защищенного хранения ключей, не выполняет более 3-х требований к защищенным ключевым носителям одновременно (см. раздел Почему нельзя хранить ключи иначе (ссылка)). При этом важнейшее требование, касающееся СФК, не выполняется ни одним из них.

«Идеальный токен» является специализированным устройством, предназначенным именно для хранения ключей СКЗИ и поддерживающим все необходимые для этого интерфейсы.

Использование «Идеального токена» возможно только после успешного завершения взаимной аутентификации токена и компьютера, к которому его подключили, а затем — успешной аутентификации пользователя в токене и СКЗИ.

Таким образом, при корректной настройке системы управляющим персоналом, исключена возможность сознательной или случайной компрометации ключей из-за подключения к незащищенному компьютеру, на котором могут быть предустановлены программные закладки, предназначенные для перехвата ключей или перехвата управления компьютером. А также, что не менее важно, исключено несанкционированное использование ключей легальным пользователем токена — вне рамок его служебных задач, что невозможно предотвратить при использовании обычных токенов, не различающих служебные и любые другие ПК.

В то же время «Идеальный токен» лишен каких бы то ни было избыточных функций, негативно влияющих на цену изделия.

Технология «Идеального токена» запатентована (Патент на полезную модель № 147529: «СЪЕМНЫЙ НОСИТЕЛЬ КЛЮЧЕВОЙ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ». Опубликовано 10.11.2014. Бюл. 31).