8. Что означает, что «Секрет Особого Назначения» содержит «механизмы защиты от атак, связанных с нарушением целостности аппаратного модуля»?
Дополнительно к основной функциональности - контроля подключения только к разрешенным компьютерам, защитные свойства «Секрета» могут быть усилены посредством технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля. Это защита данных от попытки их считывания с микросхемы памяти напрямую, минуя блок аутентификации. Такая попытка может осуществляться путем разбора устройства и выпаивания микросхемы, или подключения к ней специальных инструментов (то есть несанкционированного изменения структуры аппаратного модуля). Защита от такой атаки заключается в «прозрачном» (посекторном) шифровании. «Прозрачное» шифрование позволяет шифровать и расшифровывать файлы автоматически («прозрачно» для пользователя), при этом от пользователя не требуется никаких дополнительных действий. На СН «Секрет» данные зашифровываются при записи на диск, расшифровывается при чтении с диска. На диске СН данные находятся в зашифрованном виде (таким его и видит тот, кто пытается читать напрямую с микросхемы), а пользователь видит всегда обычный открытый файл [1].
Реализованный в СН «Секрет» метод «прозрачного» шифрования с нормативной точки зрения шифрованием не является (именно поэтому эта защитная функция названа так сложно – «реализация технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля»). Для пояснения высказанного тезиса обратимся к тому, что есть шифрование.
Шифрование данных определяется в книгах по криптографии как процесс перевода открытых (незашифрованных) данных в зашифрованные с помощью секретного ключа [2]. Пользователь (или программа) зашифровывает информацию с помощью секретного ключа для последующей её передачи либо хранения. Расшифровать зашифрованные данные может лишь ограниченный круг пользователей (либо программ). Ограничение этого круга производится путем распределения ключей: тот, у кого есть ключ – легальный получатель данных.
С нормативной точки зрения целью шифрования данных конфиденциального характера является ограничение доступа пользователей (или программ) к этим данным.
В «Секретах» с «прозрачным» шифрованием владельцами секретного ключа являются не пользователи (или программы), а сами СН. Секретный ключ вырабатывается и хранится внутри посредством встраиваемого ПО СН – firmware – с использованием ресурсов только СН без задействования ресурсов компьютера. Ключ генерируется с помощью физического ДСЧ СН, хранится и используется в защищенной памяти микроконтроллера. Ни пользователь, ни какая-либо программа (кроме firmware «Секрета») не могут не только получить доступ к ключу, но и инициировать его применения – дать команду «зашифровать» или «расшифровать».
От использования ключа, неизвлекаемого из ключевого носителя, ситуация отличается именно этим – отсутствием целенаправленного действия «зашифровать» / «расшифровать», поэтому «Секрет» – не токен и не СКЗИ.
Целью шифрования данных в СН «Секрет» является не ограничение круга пользователей (или программ), которые могут получить доступ к данным, а ограничение круга способов, с помощью которых можно эти данные прочитать. При этом данные на СН зашифровываются с помощью ключа и расшифровываются по его предъявлении. С нормативной точки зрения реализованный в «Секретах» метод шифрования шифрованием не является. Хотя с точки зрения математики это и есть шифрование (так как условие «зашифровать-расшифровать с помощью ключа» выполняется).
Этот способ ограничения находится в русле общей логики защиты данных на СН «Секрет»: сделать нелегальное физическое обладание СН бессмысленным. Получив в свое распоряжение «Секрет», получить доступ к данным на нём на не разрешенном явно для СН компьютере не разрешенному явно пользователю невозможно ни штатным образом (подключив к компьютеру и используя какое-то специальное ПО), ни даже подключившись к микросхеме напрямую или выпаяв ее совсем. Тогда одинаково бесполезно красть или находить (терять), отнимать (отдавать), покупать (продавать) «Секрет», и так далее. Ни записать на «Секрет» вирус или программу, или считать данные с него на неразрешенном компьютере невозможно даже при наличии специальных умений и инструментов или содействии пользователя [3].
Надо иметь в виду, что за счет применения технологических мер защиты от атак, связанных с несанкционированным изменением структуры аппаратного модуля, заметно снижается скорость чтения/записи, это неизбежные издержки. В СН «Секрет» без них скорости чтения/записи не отличаются от скоростей обычных флешек.
[1] «Прозрачное шифрование: преимущества и недостатки». (https://habr.com/ru/company/cybersafe/blog/251041/).
[2] Например, Н. Смарт. Криптография. М.. 2005. 528 с, А.П. Алфёров, А.Ю. Зубов, А.С. Кузьмин, А.В. Черёмушкин. Основы криптографии. Уч. пособие, 2 изд. М.. 2002. – 480 с.
[3] Конявская С. В. Отношение дихотомии «универсальное» / «специальное» СЗИ к понятию комплексной защиты информации // Вопросы защиты информации. М., 2018. № 2 (121). С. 60–65.