Основные элементы и средства защиты от несанкционированного доступа

 

Традиционно аппаратно-программные криптографические средства защиты информации выпускались в виде устройств с минимальным программным обеспечением. Встраивание их в конечные системы осуществлялось пользователем. В настоящий момент наряду с производством и поставкой устройств фирма предлагает готовые решения: от программ абонентского шифрования и электронной подписи до защиты отдельных рабочих мест и систем в целом.

В состав средств криптографической защиты информации (СКЗИ) включены:

– устройства криптографической защиты данных (УКЗД) и их программные эмуляторы;

– контроллеры смарт-карт;

– системы защиты информации от несанкционированного доступа (СЗИ НСД);

– программы абонентского шифрования, электронной подписи и защиты электронной почты;

– коммуникационные программы прозрачного шифрования IP-паке­тов и ограничения доступа к компьютеру по сети;

– криптомаршрутизаторы;

– библиотеки поддержки различных типов смарт-карт;

–библиотеки функций шифрования и электронной цифровой подписи для различных операционных систем.

Отдельным рядом (семейством) устройств с использованием криптографических методов защиты являются специализированные модули безопасности для терминального оборудования, контрольно-кассовых машин, банкоматов и другого оборудования, используемого в платежных и расчетных системах.

Устройства криптографической защиты данных серии КРИПТОН. Отличительной особенностью и в этом смысле уникальностью семейства УКЗД серии КРИПТОН является разработанная ею специализированная микропроцессорная элементная база для наиболее полной и достоверной аппаратной реализации российского стандарта шифрования. В настоящее время серийно выпускаются УКЗД КРИПТОН предназначенные для шифрования по ГОСТ 28147-89 и генерации случайных чисел при формировании ключей. Началось производство устройств серии КРИПТОН с интерфейсом шины PCI.

В качестве ключевых носителей применяются дискеты, смарт-карты и Touch-Memory. Все ключи, используемые в системе, могут шифроваться на мастер-ключе и храниться на внешнем носителе в зашифрованном виде. Они расшифровываются только внутри платы. Устройство может выполнять проверку целостности программного обеспечения до загрузки операционной системы, а также играть роль электронного замка персонального компьютера, обеспечивая контроль и разграничение доступа к нему.

УКЗД семейства КРИПТОН широко применяются в разнообразных защищенных системах и сетях передачи данных в составе ряда АРМ абонентских пунктов при организации шифровальной связи I класса для защиты информации, содержащей сведения, составляющие государственную тайну.

Для систем защиты информации от несанкционированного доступа разработана специальная плата КРИПТОН-НСД, выполняющая программное шифрование по ГОСТ 28147-89, аппаратную генерацию случайных чисел, загрузку ключей с дискет, смарт-карт или Touch Memory.

Для встраивания в конечные системы пользователя УКЗД имеют два уровня интерфейса в виде набора команд устройства и библиотеки функций. Команды выполняются драйверами устройств для операционных систем DOS, Windows, UNIX. Функции реализованы на основе команд.

Наиболее важными особенностями рассматриваемых плат являются:

– наличие загружаемого до загрузки операционной системы мастер-ключа, что исключает его перехват;

– выполнение криптографических функций внутри платы, что ис­ключает их подмену или искажение;

– наличие аппаратного датчика случайных чисел;

– реализация функций проверки целостности файлов операционной системы и разграничения доступа к компьютеру;

– высокая скорость шифрования: от 350 Кбайт/с (КРИПТОН-4) до 8800 Кбайт/с (КРИПТОН 8/PCI).

Допустимо параллельное подключение нескольких устройств одновременно в одном персональном компьютере, что может значительно повысить интегральную скорость шифрования и расширить другие возможности при обработке информации.

Средства серии КРИПТОН независимо от операционной среды обеспечивают:

– защиту ключей шифрования и электронной цифровой подписи (ЭЦП);

– неизменность алгоритма шифрования и ЭЦП.

Все ключи, используемые в системе, могут шифроваться на мастер-ключе и храниться на внешнем носителе в зашифрованном виде. Они расшифровываются только внутри платы. В качестве ключевых носителей используются дискеты, микропроцессорные электронные карточки (смарт-карты) и Touch-Memory.

Устройства для работы со смарт-картами. Для ввода ключей, записанных на смарт-карты, используются следующие устройства.

Адаптер смарт-карт предназначен для чтения и записи информации на смарт-картах. Адаптер подключается к УКЗД и позволяет вводить в него ключи шифрования, хранящиеся на смарт-карте пользователя.

На одной смарт-карте могут быть размещены:

– таблица заполнения блока подстановок УЗ (ГОСТ28147-89);

– главный ключ шифрования;

– секретный и открытый ключи электронной цифровой подписи (ЭЦП) пользователя;

– открытый ключ ЭЦП сертификационного центра;

– идентификатор пользователя системы защиты от несанкционированного доступа.

Адаптер выпускается во внутреннем исполнении и легко встраивается в персональный компьютер на свободное место, предназначенное для дисковода.

Универсальный контроллер смарт-карт предназначен для работы со смарт-картами. Контроллер может подключаться как к УКЗД, так и к интерфейсу RS-232. Наиболее важными представляются следующие функции контроллера:

– запись информации на смарт-карту;

– чтение информации со смарт-карты;

– шифрование по ГОСТ28147-89 и DES;

– хранение секретных ключей;

– генерация случайной последовательности;

– набор на клавиатуре PIN-кода.

В контроллере могут применяться электронные карточки:

– открытая память;

– защищенная память;

– микропроцессорные карты.

Универсальный контроллер позволяет строить ин­формационные системы на базе смарт-карт, что делает его полезным для систем:

– безналичных расчетов (дебетно/кредитные карты);

– контроля доступа (хранения прав доступа);

– хранения конфиденциальной информации (медицина, страхование, финансы);

– защиты информации (хранения идентификаторов, паролей и ключей шифрования).

Контроллер может использоваться в компьютерах, электронных кассовых аппаратах, электронных замках, торговых автоматах, бензоколонках, платежных терминалах на базе IBM-совместимых компьютеров.

Универсальный контроллер смарт-карт имеет те же возможности, что и обычный контроллер смарт-карт, за исключением функций шифрования и генерации случайных последовательностей.