Тема 2. 3. Эмулятор функций шифрования укзд «криптон»

 

Структура аппаратного шифратора

Прежде всего, рассмотрим типовую структуру аппаратного шифратора на примере устройства КРИПТОН.

Основные модули аппаратного шифратора:

Блок управления. Основной модуль, управляющий работой всего шифратора. Обычно реализуется на базе микроконтроллера.

Шифропроцессор. Представляет собой специализированную микросхему или микросхему программируемой логики (PLD – Programmable Logic Device). Именно шифропроцессор выполняет шифрование данных на ключах, которые хранятся в «хранилище ключей» - специальном модуле шифропроцессора. Шифропроцессоров может быть несколько – для взаимного контроля (путем сравнения "на лету" получаемых зашифрованных или открытых данных) и/или распараллеливания процесса шифрования. Показанный на КРИПТОН имеет один шифропроцессор на базе PLD.

Аппаратный датчик случайных чисел. Устройство, дающее статистически случайный и непредсказуемый сигнал, преобразуемый впоследствии в цифровую форму. Случайные числа широко используются при защите информации, прежде всего, при генерации ключей шифрования и вычислении электронной цифровой подписи (ЭЦП).

Контроллер PCI(или другой системной шины – в зависимости от того, какой интерфейс имеет шифратор). Управляет процессом взаимодействия шифратора с материнской платой компьютера. Через него осуществляется обмен командами и данными между шифратором и компьютером.

Микросхемы памяти. Энергонезависимая память необходима для хранения программного обеспечения микроконтроллера, для записи журнала операций, а также для множества других целей.

Переключатели режимов работы. Обычно аппаратные шифраторы не ограничиваются выполнением функций шифрования, предоставляя множество дополнительных возможностей (отсюда и более широкое название, часто применяющееся к аппаратным шифраторам – «Устройство криптографической защиты данных» или «УКЗД»). Функциональность УКЗД, в частности, регулируется набором переключателей, позволяющих более гибко настроить шифратор под конкретные функции, требуемые пользователю.

Интерфейсы для подключения ключевых носителей. Для обеспечения наиболее надежной защиты необходимо обеспечить прямой ввод ключей шифрования в УКЗД. В принципе, ключи можно хранить и на обычной дискете, но в этом случае они будут вводиться в устройство, проходя через системную шину компьютера, где есть теоретическая возможность их перехвата. Поэтому аппаратные шифраторы обычно снабжаются интерфейсом для подключения каких-либо устройств хранения ключей. Например, на показаны разъемы для подключения ридеров смарт-карт и коннекторов для работы с электронными таблетками Touch Memory.

Помимо собственно функций шифрования по какому-либо алгоритму (например, по отечественному стандарту шифрования – ГОСТ 28147-89), аппаратный шифратор должен выполнять еще, как минимум, следующие:

¾ выполнять различные операции с ключами шифрования: их загрузку в хранилище ключей и выгрузку из него (последнее необходимо для использования различных многоключевых схем, причем, ключи должны выгружаться только в зашифрованном виде), а также шифрование ключей друг на друге;

¾ рассчитывать имитоприставки для данных и ключей;

¾ выдавать по запросу случайные числа.

Использование аппаратных шифраторов в современных операционных системах

Операционные системы современных компьютеров (прежде всего, различные варианты UNIX и Microsoft Windows) являются многозадачными. Поэтому при обращении к шифратору в таких системах необходимо учитывать возможность одновременного вызова функций шифратора различных программ. Например, в Microsoft Windows шифратор может получить команды сразу от нескольких программ:

¾ команды шифрования данных от программы шифрования файлов;

¾ команды шифрования данных и вычисления имитоприставок от драйвера, выполняющего прозрачное шифрование сетевых пакетов (скажем, реализующего механизмы VPN – виртуальных частных сетей);

¾ запросы случайных чисел от программы-генератора криптографических ключей.

Во избежание возникновения коллизий, программы не имеют прямого доступа к шифратору и управляют им через специальные программные модули. Шифраторами фирмы АНКАД (т.е. УКЗД серии КРИПТОН и рядом других) в операционных системах семейства Microsoft Windows управляет универсальный программный интерфейс Crypton API, решающий следующие задачи:

Обеспечение корректного поочередного выполнения шифратором команд, поступающих от различных программ. Crypton API создает отдельную сессию шифрования для каждой программы, после чего поочередно переключает ресурсы шифратора между сессиями. Каждая сессия имеет собственный виртуальный шифратор со своими ключами шифрования, которые корректно перезагружаются при переключении между сессиями. Это несколько похоже на разделение ресурсов ПК между приложениями в многозадачной операционной системе.

Предоставление стандартного интерфейса к функциям шифратора и ключевым носителям Windows-приложениям.

Возможность подключения различных типов шифраторов через драйверы, предоставляющие стандартный набор функций. Это позволяет прикладным программам не зависеть от конкретного типа шифратора. В данном случае, вместо аппаратного шифратора можно подключить и программный (Crypton Emulator), работающий на уровне ядра операционной системы. Аналогичным образом достигается и возможность использования различных ключевых носителей.

Таким образом, при обращении любой Windows-программы к УКЗД, направленная шифратору команда проходит несколько уровней:

Уровень приложений.

Уровень, обеспечивающий интерфейс между приложением и драйвером УКЗД (т.е. уровень Crypton API).

Уровень ядра операционной системы – драйвер УКЗД.

Аппаратный уровень – собственно УКЗД.

Подобная структура обращений к устройствам не нова – очень похожим образом в многозадачных операционных системах работают многие устройства, ресурсы которых разделяются между различными приложениями. Например, сетевые карты или модемы. С последними аналогия совершенно прямая – структура «модем ↔ драйвер ↔ программный интерфейс Telephony API ↔ различные приложения верхнего уровня» весьма похожа на представленную на данной схеме.

На верхнем же уровне схемы может быть любое программное обеспечение, использующее функциональность шифратора:программы шифрования файлов по требованию пользователя;

программы прозрачного (автоматического) шифрования файлов или логических дисков компьютера;

средства вычисления/проверки ЭЦП;

программы генерации криптографических ключей;

средства обеспечения защищенного обмена данными по сетям, в частности, средства построения VPN.

Шифраторы серии КРИПТОН

Основу средств защиты информации фирмы АНКАД составляет линейка аппаратных шифраторов серии КРИПТОН. Рассмотрим подробно наиболее современные из моделей семейства КРИПТОН:

КРИПТОН-4/PCI. Данный шифратор построен на основе отечественных шифропроцессоров "Блюминг" (разработка фирмы АНКАД), скорость шифрования до 1100 Кбайт/с.

КРИПТОН-8. Шифратор с двумя шифропроцессорами на основе PLD, скорость шифрования – до 8500 Кбайт/с.

КРИПТОН Шифратор с одним шифропроцессором на основе PLD, скорость шифрования – до 10000 Кбайт/с.

Перечисленные шифраторы имеют следующие общие характеристики:

Реализуют алгоритм шифрования ГОСТ 28147-89.

Подключаются к шине PCI компьютера.

Предоставляют функции «электронного замка» - т.е. на базе данных УКЗД возможно построение систем ограничения и разграничения доступа к компьютеру с контролем целостности исполняемых модулей операционной системы и других важных файлов.

Могут использовать напрямую целый ряд специализированных носителей криптографических ключей, в частности:

электронные таблетки Touch Memory (TM) фирмы Dallas Lock;

смарт-карты (СК) с открытой и защищенной памятью;

микропроцессорные СК (в том числе, РИК – Российская Интеллектуальная Карта).

Кроме того, интерфейс Crypton API позволяет загружать в УКЗД криптографические ключи и из оперативной памяти компьютера (что, однако, менее безопасно, чем «прямая» загрузка ключей в устройство), что позволяет использовать в качестве ключевых носителей более распространенные и менее дорогостоящие дискеты, USB-ключи и т.д.

В качестве ключевого носителя может быть использован, например, USB-ключ ruToken – совместная разработка компаний АНКАД и «Актив». Однако, ruToken является также и полноценным шифратором для шины USB, поскольку в нем реализованы все режимы алгоритма ГОСТ 28147-89, а драйвер ruToken для Crypton API позволяет использовать его вместо перечисленных выше шифраторов КРИПТОН, правда, с заметной потерей в скорости шифрования.

Специализированные шифраторы

Наиболее удобным для конечного пользователя вариантом использования аппаратного шифратора является автоматическое шифрование данных. Такой шифратор достаточно настроить один раз опытному администратору, после чего вся информация, обрабатываемая конечным пользователем, будет автоматически и незаметно для пользователя шифроваться (пользователю, однако, будет необходимо предъявить шифратору ключи шифрования). Для таких случаев фирмой АНКАД разработаны два варианта «проходных шифраторов» (ПШ), т.е. устройств, выполняющих прозрачное шифрование проходящей через них информации:

КРИПТОН AncNet – шифратор, совмещенный с полноценной сетевой картой Ethernet. Слева на рисунке видно гнездо для подключения стандартного Ethernet-трансивера. Шифратор автоматически зашифровывает все данные, отправляемые в сеть, и расшифровывает полученную информацию.

КРИПТОН-IDE – шифратор для прозрачного шифрования жестких дисков интерфейса IDE. Шифрует по алгоритму ГОСТ 28147-89 со скоростью до 70 Мбит в секунду. Как видно на рисунке, шифратор подключается к IDE-разъему материнской платы компьютера, а к шифратору, в свою очередь, подключается стандартным шлейфом жесткий диск. В результате вся записываемая на жесткий диск информация автоматически зашифровывается, причем, возможности «обойти» шифратор принципиально отсутствуют.

Для управления работой данных шифраторов: для настройки и загрузки в них криптографических ключей (разъемы для подключения ключевых носителей у данных шифраторов отсутствуют) – предназначен аппаратно-программный модуль доверенной загрузки (АПМДЗ) КРИПТОН-ЗАМОК. Данное устройство, помимо управления ПШ, является также полнофункциональным электронным замком и выполняет следующие функции:

Контроль целостности модулей операционной системы компьютера перед его загрузкой.

Аутентификация пользователей.

Контроль и блокировка доступа к жестким дискам и дисководам компьютера, а также к устройствам чтения компакт-дисков.

Контроль доступа к портам компьютера, а также к сетевым адаптерам.

АПМДЗ может являться центром обеспечения безопасности всего компьютера. Эта технология несколько перекликается с новейшей технологией от Microsoft – Palladium, основу применения которой также составляет аппаратный модуль безопасности.

Прикладное программное обеспечение

Программное обеспечение, выполняющее функции защиты информации, должно быть максимально удобным для пользователя и предъявлять минимальные требования к его квалификации. В противном случае, можно утверждать, что максимальная эффективность от внедрения программных средств защиты достигнута не будет, поскольку:

¾ далеко не все пользователи, обрабатывающие подлежащую защите информацию, имеют высокую квалификацию;

¾ средство защиты, применение которого требует заметных затрат времени и сил, может вызывать у пользователей скрытое или явное противодействие его внедрению.

Поэтому любая программа защиты информации должна соответствовать, как минимум, одной из следующих характеристик:

Автоматическое и незаметное для пользователя выполнение – для программ прозрачного шифрования и средств построения VPN.

Дублирование возможностей стандартных программ типа Windows Explorer («Проводник») – позволяет выполнять все действия с файлами и папками на диске, не выходя из программы защиты информации.

Встраивание функций защиты в известные и широко применяемые продукты: расширения меню (Shell Extensions) Windows Explorer, дополнительные панели инструментов в Microsoft Word и Microsoft Excel, автоматический перехват событий в Microsoft Outlook и т.д.

В качестве примера средства защиты, дублирующего основные функции Windows Explorer, можно привести специализированный архиватор (программа, выполняющая специализированное архивирование: вычисление ЭЦП информации, ее сжатие и зашифрование) Crypton ArcMail. Меню данного окна содержит все основные файловые функции, т.е. все операции с файлами, выполняемые пользователями обычно в Windows Explorer, можно производить непосредственно в программе Crypton ArcMail.

Основной интерфейс пакетов программ КРИПТОН® Подпись и КРИПТОН® Шифрование (выполняющих, соответственно, операции с ЭЦП и шифрование файлов) – расширения контекстного меню Windows Explorer, через которые можно выполнять основные команды данных программных продуктов. Все функции по защите информации могут быть выполнены пользователем, не выходя из стандартной оболочки – Windows Explorer.

Похожим образом организован интерфейс к модулям защиты электронных документов Crypton Word и Crypton Excel: доступ к ним пользователь может осуществлять непосредственно из Microsoft Word и Microsoft Excel через дополнительные панели инструментов. Т.е. при желании подписать электронной подписью документ и зашифровать его, пользователь не должен выходить из Microsoft Word или переключаться на другую программу – достаточно нажать кнопку, после чего текущий (редактируемый в настоящий момент) документ будет сохранен, подписан и зашифрован. Использовать же Crypton Outlook еще проще – Crypton Outlook осуществляет перехват письма при попытке его отправки, подписывает и шифрует текст письма и все вложения, после чего отправляет уже зашифрованное письмо. А при получении зашифрованного письма Crypton Outlook его автоматически расшифровывает и проверяет ЭЦП.

Упомянутые выше программные продукты обладают также следующими общими характеристиками:

¾ Они имеют сертификаты ФАПСИ или используют в своем составе сертифицированное ФАПСИ криптоядро.

¾ Практически все продукты выпускаются в двух вариантах: полнофункциональная версия администратора и версия пользователя, позволяющая выполнять ограниченный набор функций.

¾ Выполняют автоматическое протоколирование операций.

¾ Существуют также в виде библиотек функций для встраивания.

¾ Имеют различные ключевые системы, позволяющие клиенту выбрать наиболее оптимальную для конкретных задач.

¾ Поддерживают совместимость по форматам с предыдущими версиями, что позволяет осуществлять постепенное обновление программного обеспечения – это особенно актуально для крупных организаций, имеющих территориально-распределенную структуру.

¾ Многие из данных продуктов являются взаимозаменяемыми и совместимыми между собой по основным форматам, например, Crypton Word, Crypton Excel и Crypton Outlook полностью совместимы как между собой, так и со всеми продуктами серии Crypton ArcMail.