Технические подробности

1. ОБЩИЕ СВЕДЕНИЯ

«Секрет фирмы» предназначен для использования на служебных компьютерах, объединенных в корпоративную сеть. В этой модификации аутентификация «Секрета» и его пользователя производится не самой рабочей станцией (РС), а Сервером Аутентификации (СА), связанным с РС с помощью сети.

Аутентификация служебных носителей на СА производится с применением криптографических ключей, которые, естественно, должны быть имманентны строго определенной информационной системе — не должно быть возможности передавать служебные носители из одной организации в другую, или использовать их в другой организации, также применяющей «Секреты». Для обеспечения такого режима носители «Секрет», применяемые в информационной системе, эмитируются на АРМ эмиссии, ПО которого входит в состав «Секрета Фирмы». Это значит, что нейтральные при покупке носители с помощью специальной защищенной процедуры «индивидуализуются» именно для той системы, для которой они приобретены.

Для использования «Секрета» на компьютерах (рабочих станциях) сегмента сети, обслуживаемого некоторым СА, пользователю необходимо прежде выполнить регистрацию «Секрета» на СА. При этом «Секрет» и СА обмениваются ключами аутентификации, известными только им. При этом «Секреты», эмитированные для других фирм, в принципе не смогут быть зарегистрированы.

Для работы на СА и АРМ эмитента необходимы два особых «Секрета» — специальный носитель сервера аутентификации (СНСА) и специальный носитель эмитента (СНЭ), которые также входят в состав комплекса в модификации «Секрет Фирмы».

2. СОСТАВ ПАК «СЕКРЕТ»

Состав компонентов различных модификаций ПАК «СЕКРЕТ» приведен в Таблице 1:

ТАБЛИЦА 1 — СОСТАВ ПАК «СЕКРЕТ»

Наименование модификации	Состав
«Секрет фирмы»	СН «Секрет фирмы»; СН сервера аутентификации (СНСА); СН эмитента (СНЭ); ПО РС; ПО сервера аутентификации (СА); ПО АРМ эмиссии.

СН «Секрет» представляет собой аппаратный модуль, выполненный по технологии флеш-диска с интерфейсом USB, предназначенный для хранения конфиденциальной информации пользователя.

ПО РС исполняется на рабочей станции пользователя — персональном компьютере, выполняющем обработку информации, хранящейся на СН. Оно предназначено для:

• аутентификации (опознавания) СН;
• настройки доступа к внутренней памяти флеш-диска со стороны РС;
• блокирования использования на РС других USB-носителей информации;
• обеспечения связи между СН и СА по локальной сети.

ПО АРМ эмиссии предназначено для «привязки» нейтральных при приобретении СН и СНСА к информационной системе конкретного предприятия. Ключевая информация, необходимая для эмиссии, сохраняется на СНЭ.

ПО СА предназначено для выполнения процедур взаимной аутентификации СН и РС, и ведения базы СН, зарегистрированных в сети. В своей работе ПО СА использует ключевую информацию, хранимую на СНСА.

3. ПРИНЦИП ДЕЙСТВИЯ

Особенность СН «Секрет» состоит в том, что хотя его можно подсоединить к любому USB-порту, его диск доступен только на разрешенных рабочих станциях. Активным элементом системы при этом является СН (именно он принимает решение, можно смонтироваться на данной РС или нет).

Решение об успешной аутентификации рабочей станции СН принимает на основе того, что РС правильно выполнила вычисления криптографического характера, зависящие от секретной ключевой информации. Эти вычисления выполняются сервером аутентификации, а рабочая станция только переадресует запросы и ответы СН и СА друг другу. Помимо этого, рабочая станция (или СА) также опознает СН. Так что доступ к неопознанным флеш-дискам можно ограничить.  Также требуется доступ РС к СА по локальной сети. При этом на СА должно исполняться ПО СА, которое при старте требует вставить в USB-разъем СНСА. Архитектура связей РС и СА изображена на рисунке 1.

Рисунок 1 — Архитектура связей компонентов ПАК «Секрет Фирмы»

На СА и АРМ эмиссии должна быть установлена система защиты от НСД «Аккорд». Должен быть обеспечен контроль за использованием технологических носителей СА и АРМ эмиссии: СНСА и СНЭ. В операционной системе РС должен быть активирован парольный вход. При этом должны использоваться пароли длины не менее 6 алфавитно-цифровых символов.

В модификации «Секрет Фирмы» присутствует идентификация СН со стороны РС и идентификация РС со стороны СН по криптографическому ключу, ключ хранится на СА.

4. ПОРЯДОК РАБОТЫ

Рабочий цикл ПАК «Секрет Фирмы» представлен в Таблице 2.

ТАБЛИЦА 2 – РАБОЧИЙ ЦИКЛ ПАК «СЕКРЕТ ФИРМЫ»

Номер этапа	Действие
1	Инсталляция ПО АРМ эмиссии
2	Инициализация АРМ эмиссии
3	Эмиссия СНСА и СН
4	Инсталляция ПО РС и ПО СА
5	Инициализация РС и СА
6	Регистрация СН на СА
7	Использование СН в качестве носителя информации на РС
8	Обслуживание СН (регистрация в другом сегменте сети, сброс ключевой информации, смена PIN-кода)

5. ТИПЫ РЕГИСТРАЦИИ СН

В модификации «Секрет Фирмы» различаются процедуры первичной и повторной регистрации СН. Первичная регистрация позволяет СН использоваться на одной обособленной рабочей станции или на рабочих станциях сегмента сети, который обслуживает один СА. Повторная регистрация позволяет расширить зону использования СН на другие рабочие станции или дополнительные сегменты сети.

В случае если СН был ранее зарегистрирован на другом СА (РС), при повторном выполнении процедуры первичной регистрации происходит очистка содержимого флеш-диска СН. Это предотвращает возможность несанкционированного переноса служебной информации в неразрешенный сегмент сети путем обмана администратора СА этого сегмента. Если сотрудник, не получив мандата на повторную регистрацию, пытается зарегистрироваться в неразрешенном ему сегменте сети, выдавая свой «Секрет» за новый, еще не зарегистрированный ни на одном СА, то проведя его первичную регистрацию, он сотрет из его памяти все записанные ранее данные, и не нанесет ущерба конфиденциальности служебной информации.

Если же необходимо легально перерегистрировать «Секрет» таким образом, чтобы первичным для него стал другой СА сети организации, но при этом служебная информация, хранимая в «Секрете», не была утрачена, то перед проведением регистрации необходимо выполнить процедуру сброса СН, которая выполняется на первичном СА с участием его администратора. Первичным для каждого «Секрета» может быть только один СА.

Любые виды регистрации «Секретов» возможны только в сети компании-владельца.

ТАБЛИЦА 3 — РЕГИСТРАЦИЯ СН «СЕКРЕТ»

	«Секрет фирмы»
П Е Р В И Ч Н А Я	В модификации «Секрет фирмы» первичная регистрация СН выполняется на СА администратором СА. При этом СН должен быть подключен непосредственно к USB- разъему СА. Во второй USB-разъем при этом должен быть вставлен СНСА. При первичной регистрации формируется необходимая для аутентификации информация и генерируются PIN-код и код регистрации СН. PIN-код и код регистрации записываются в СН, а также выводятся на экран для запоминания пользователем СН. PIN-код в дальнейшем потребуется каждый раз перед монтированием СН на РС в качестве носителя информации. Код регистрации необходим для выполнения административных операций над СН на СА (повторная регистрация, смена PIN-кода, сброс). После успешного завершения процедуры регистрации СН на СА администратор СА может создать список доступа к рабочим станциям, внеся в него имена РС его сегмента сети, на которых разрешено монтирование СН. Если сеть, использующая СН «Секрет», состоит из нескольких обособленных сегментов, в результате чего связь РС с СА может оказаться невозможной, в каждом обособленном сегменте сети должен быть развернут самостоятельный СА. В этом случае СН первоначально регистрируется в одном из СА, который для этого СН становится первичным СА, а далее может быть повторно зарегистрирован на любом другом дружественном СА.
П О В Т О Р Н А Я	Перед повторной регистрацией СН предварительно должен пройти процедуру подготовки к повторной регистрации, которая выполняется в первичном СА. При этом в СН из СА передается мандат регистрации СН, где указан идентификатор дружественного СА. Он сохраняется во внутренней памяти СН и недоступен извне. Кроме того, при подготовке к повторной регистрации создается файл мандата регистрации СА, который должен быть передан на дружественный СА. Передача и обеспечение безопасности файла мандата регистрации должны обеспечиваться покупателем ПАК «Секрет фирмы» самостоятельно. При повторной регистрации СН на дружественном СА происходит проверка соответствия мандатов регистрации СН и дружественного СА, переданных независимым способом, с последующей регистрацией СН в дружественном СА. PIN- код и код регистрации остаются прежними. После этого СН может использоваться на рабочих станциях сегмента сети, который обслуживает этот СА. Для исключения из дружественного сегмента должна быть выполнена операция сброса на том же СА. Администратор дружественного СА также может исключить СН из списка используемых в его сегменте с помощью ПО АРМ администратора СА без участия СН. Однако при этом информация аутентификации остается во внутренней памяти СН до операции сброса на первичном СА или новой первичной регистрации. Связь процедур регистрации и повторной регистрации изображена на рисунке 2.

Рисунок 2 — Регистрация и повторная регистрация СН «Секрет фирмы»

6. ИСПОЛЬЗОВАНИЕ СН НА РАБОЧЕЙ СТАНЦИИ

В модификации «Секрет Фирмы» на РС, на которой исполняется ПО РС, аутентификация СН выполняется автоматически непосредственно после включения СН в USB-разъем. После успешного завершения процедуры аутентификации ПО РС монтирует флеш- диск СН. Если процедура аутентификации завершилась неудачей, монтирование не производится. В соответствии с политикой безопасности также может быть запрещено монтирование флеш-дисков, которые не поддерживают технологию «Секрет». Эта возможность может быть включена настройками ПО РС. Дополнительно требуется доступ РС к СА по локальной сети. При этом на СА должно исполняться ПО СА, которое при старте требует вставить в USB-разъем СНСА. В начале сеанса аутентификации в ответ на запрос ПО РС владелец СН должен ввести PIN-код, полученный при первичной регистрации.

7. СБРОС СН

Сброс СН состоит в очистке служебной (ключевой) информации СН без потери содержимого флеш-диска. Он может быть выполнен, только если зарегистрированный СН подключен к СА (РС) при наличии неискаженной ключевой информации СА (РС). При этом владелец СН в ответ на запрос ПО СА должен ввести код регистрации.

Сброс СН необходим для того, чтобы:

• исключить СН из используемых в дружественном сегменте сети;
• без потери содержимого флеш-диска впоследствии зарегистрировать СН на другом первичном СА (РС);
• зарегистрировать СН на том же первичном СА в случае потери/компрометации ключевой информации СА.

В последнем случае необходимо выполнить сброс всех СН, используя копию или скомпрометированный рабочий СНСА, и повторно зарегистрировать их на новом СНСА после повторной инициализации СА.

8. ЗАЩИТА ОТ АТАК, СВЯЗАННЫХ С НАРУШЕНИЕМ ЦЕЛОСТНОСТИ УСТРОЙСТВА

В каждом продукте линейки «Секрет» может использоваться два типа СН — без «шифрования» (базовый) и с «шифрованием». В последнем реализованы технологические меры защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля – так называемое «шифрование».

«Шифрование» информации в памяти СН позволяет противостоять атакам профессиональных злоумышленников, способных изготавливать собственные устройства на базе похищенного «Секрета».