MKT-card long как офисный компьютер

 

Сегодня не кажется чем-то из ряда вон выходящим необходимость делать несколько дел сразу. Мало кто из имеющих основание считать себя эффективными и ценными сотрудниками имеет возможность (да, откровенно говоря, и желание) не переключаться в течение дня между совершенно разными со всех точек зрения задачами. И дело тут не только в том, что работодатель предпочтет тех, кто может и готов совмещать, но и в том, что совершенствование орудий труда и самосовершенствование объективно позволяет человеку быть эффективнее и от этого счастливее.

Компьютеры могут делать несколько дел сразу, как никто другой. Однако выполнение разных задач часто должно быть разнесено по разным вычислительным средам из соображений безопасности.

Чтобы безопасность не мешала сотруднику становится счастливым, на сегодняшний день существует уже целый ряд защищенных решений, позволяющих решать задачи, которые должны выполняться в разных контурах защищенности, не сходя с одного рабочего места.

Задачу работы в двух контурах защиты с использованием микрокомпьютеров Новой гарвардской архитектуры можно решить несколькими разными способами. Опишем те из них, которые не требуют использования никаких дополнительных инфраструктурных решений типа «брокеров» или аналогичных.

Очевидно, что основа у этих способов общая – работа в разных контурах будет изолирована в том случае, если соединение с серверной частью производится из разных – изолированных одна от другой – ОС.

1. Использование модификации компьютера с физическим переключателем, положение которого определяет один из двух разных банков памяти, из которых может загружаться ОС. То есть запуск одной или второй ОС определяется положением переключателя, которым невозможно управлять программно – ни хакеру, ни вирусу. Итак, при одном положении переключателя запускается ОС, например, с ICA клиентом, который инициирует сессию с терминальным сервером в общедоступном контуре, а при втором положении переключателя – загружается ОС с, допустим, VMware View Client, соединяющимся с защищенным виртуальным рабочим столом. Или как-угодно иначе. Главное, что из одной ОС можно попасть только в один контур, а из второй – только в другой.

2. При использовании микрокомпьютера с одной ОС, размещенной в памяти в режиме RO, параметры доступа к серверной части системы хранятся обычно на внутренней SD-карте. Однако это не единственная возможность – параметры доступа и при необходимости какое-то дополнительное ПО можно получать с сервера по сети.

В модификации «MKT-card long для двойного применения» реализованы оба эти варианта одновременно, и в процессе загрузки пользователь может выбрать, откуда получить конфигурационную информацию, и в зависимости от этого выбора попасть в один или в другой контур.

Наиболее логичным видится доступ в контур ограниченного доступа с помощью загружаемых по сети конфигураций, и доступ в общедоступный контур с конфигурациями на SD-карточке (потому что это позволит более гибко и оперативно управлять настройками доступа именно в более тщательно защищаемый контур). Хотя можно поступить и наоборот – зависит это скорее от желательного порядка администрирования этих конфигураций, чем от соображений безопасности.

3. Ну и, конечно, неверно было бы списывать со счетов естественный способ, порождаемый самой архитектурой решения – док-станция и отчуждаемый ПК. Док-станции и ПК в общем случае инварианты один к другому, то есть любой ПК можно подключить к любой док-станции той же модели. А значит, доступ в разные контуры можно получать, просто подключая к своей док-станции разные компьютеры.

Рис. 29. Микрокомпьютер MKT - card long и док-станция

Еще одна типично офисная задача, связанная с защитой информации– включение в технологию обработки электронных документов выработки и проверки ЭП. Если нарисовать предельно обезличенную схему, то она, с учетом обрисованных условий, может выглядеть, например, примерно так: документы формируются на терминальных серверах и должны быть подписаны операторами терминалов, при этом работа должна производиться с учетом требований Федерального закона Российской Федерации от 06.04.2011 N 63-ФЗ «Об электронной подписи» (далее – 63-ФЗ) [52] и Требований к средствам электронной подписи (Приложение №1 к приказу ФСБ России от 27 декабря 2011 г. № 796) (далее – Требования) [53].

С применением защищенного терминала MKT-card long это может быть реализовано, например, так:

1. Документ формируется на терминальном сервере.

2. Когда его должен подписать оператор терминала, документ передается с терминального сервера на терминальный клиент.

3. В целях контроля целостности документа при передаче по каналу, перед отправкой на терминал он подписывается СКЗИ на ключе сервера в автоматическом режиме (статья 4 63-ФЗ^[17]).

4. На терминале подпись проверяется резидентным СКЗИ терминала.

5. В случае подтверждения целостности, документ визуализируется (часть 2 статьи 12 63-ФЗ^[18]).

6. Оператор должен сознательным действием подтвердить корректность отображенного документа (часть 2 статьи 12 63-ФЗ).

7. Подтверждение оператора является сигналом для вычисления хеш-функции от документа резидентным СКЗИ терминала.
Далее тем же резидентным СКЗИ, или отчуждаемым персональным СКЗИ (токеном) вычисляется ЭП (п. 15Требований^[19]).

8. После подписания документ снова визуализируется на терминале (часть 2 статьи 12 63-ФЗ).

Подтверждение оператора является сигналом для отправки подписанного документа на сервер.

Очевидно, что факторами, определяющими реализуемость данной схемы (как и любой другой разумной схемы встраивания в технологию ЭДО механизмов ЭП) на микрокомпьютерах семейства MKT, являются с одной стороны, доверенная среда, обеспечиваемая технологически, и с другой, – их вычислительные характеристики, достаточные для вычисления и проверки ЭП резидентным СКЗИ и корректной визуализации документа^[20].

На данный момент есть опыт встраивания всех наиболее распространенных отечественных СКЗИ.

В части идентификаторов и ключевых носителей в MKT-card long предусмотрен целый ряд возможностей.

Во-первых, сам отчуждаемый компьютер из состава MKT-card long удовлетворяет всем признакам персонального аппаратного идентификатора и ключевого носителя. Он отчуждаемый, персональный, безусловно аппаратный и защищенный. Он может выполнять функции идентификатора пользователя в СЗИ НСД семейства «Аккорд» и защищенного ключевого носителя.

Такое хранение и аутентифицирующей, и ключевой информации является заметно более правильным с точки зрения защиты информации по следующим причинам. При идентификации с помощью компьютера, пользователь подтверждает не только то, что подключается к системе именно он, но и то, что он это делает именно со своего законного рабочего места, а не со специально подготовленного надлежащим образом ноутбука, например, просто используя свой легальный идентификатор. Это позволит блокировать значительное число уязвимостей, связанных с так называемым BYOD, что на самом деле зачастую является неконтролируемым размыванием защищенного контура.

В плане работы с ключами все еще более очевидно, ведь даже храня ключи на так называемом «токене», можно скомпрометировать их, подключив токен не к защищенному рабочему месту, а к какому-либо незащищенному компьютеру, на котором уже есть какой-нибудь ворующий ключи троян.

Заметим, что для укрепления метафорического смысла термина «ключ» – пропорции отчуждаемого компьютера таковы, что он помещается в стандартный пенал для ключей и может сдаваться под охрану в конце рабочего дня.

Во-вторых, в MKT-card long реализована поддержка наиболее распространенных типов идентификаторов (список расширяемый, поскольку образ ОС формируется для каждой конкретной системы отдельно) и ключевых носителей, работающих по стандартному протоколу CCID.

 

M-TrusT

 

Построение микрокомпьютера в виде комплекта «интеллектуальной» и «интерфейсной» части имеет смысл не только для офисного применения. Максимально далекая от офисной область применения – критические информационные инфраструктуры (КИИ) [54–56] – нуждается в таком разделении едва ли не больше.

Так, к основным особенностям, которые существенно влияют, в частности, на обеспечение защиты сетевой коммуникации, в КИИ (например, при осуществлении переводов денежных средств [57], или в АСУ ТП) относятся следующие:

- жесткие требования к времени и порядку выполнения автоматизированных функций;

- наличие разнородных, территориально и пространственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информационных технологий (банкоматы, терминалы оплаты, информационные киоски, фронт-офис, ДБО, подвижные составы, станционное оборудование и пр.);

- неприемлемость отключения систем для проведения мероприятий по обеспечению безопасности информации, а также другие требования аналогичного плана.

При этом КИИ в «классическом» смысле и особенно в части АСУ ТП характеризует также следующее.

- основной защищаемой информацией в АСУ ТП является технологическая (обеспечивающая управление технологическими или чувствительно важными процессами) информация, программно-техническая (программы системного и прикладного характера, обеспечивающие функционирование АСУ ТП), командная (управляющая) и измерительная;

- опасность последствий вывода из строя и (или) нарушения функционирования АСУ ТП (риски для благосостояния клиентов – это тоже крайне негативный результат нарушения функционирования системы, однако, опасности для жизни и здоровья объяснимо стоят в этом смысле особняком).

Структурно в таких системах может быть выделена совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это требует внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

· криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС;

· информационное взаимодействие с ПКО (USB, Ethernet, и др.);

· возможность использования стандартных цифровых каналов (WiFi, BlueTooth, и др.);

· информационное взаимодействие с каналообразующей аппаратурой (RS232, RS435 и др.).

 

Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют, в лучшем случае, некоторой доработки отдельных ПКО, а в худшем случае – изменения функциональной структуры и замены ПКО на совместимые со средствами защиты. Хорошо понятно, почему это так: если сделать аппаратную базу СЗИ такой, чтобы она поддерживала все возможные интерфейсы во всех комбинациях, это будет самое большое, дорогое, сложно настраиваемое и ненадежно работающее СЗИ в Мире.

Все три варианта (доработка ПКО, замена ПКО, использование «огромного» СЗИ) связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Альтернативным вариантом является гибкая адаптация средств защиты информации под различные типы оборудования самого различного назначения. Это вариант очевидно менее хлопотный для эксплуатирующей (внедряющей) организации, так как адаптация СЗИ выполняется не ими, а вендорами СЗИ.

Примеров таких СЗИ на сегодняшний день не много, но они есть. Для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, можно использовать интеграционную платформу «МК-И».

Интеграционная платформа «МК-И» представляет собой комплекс распределенных одноплатных микрокомпьютеров «m-TrusT» Новой гарвардской архитектуры, обладающих «вирусным иммунитетом», и интерфейсных плат для них. Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрованием для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров:

· Габаритные размеры: 65 x 80 мм;

· Процессор: Quad-core ARM Cortex-A17, up to 1.8 GHz;

· ОЗУ: 2 Гб DDR3;

· ПЗУ: 16 Гб NAND-flash;

· microUSB;

· microHDMI.

Общий вид микрокомпьютера «m-TrusT» представлен на рис. 30.

Микрокомпьютер не подключается напрямую ни к чему, кроме собственной интерфейсной платы, поэтому его состав не сложен и постоянен. Интерфейсная плата же нужна как раз для того, чтобы корректно подключиться к тому или иному конкретному ПКО и каналообразующей аппаратуре различных типов.

Рис. 30 Микрокомпьютер «m-TrusT»

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить необходимую производительность и высокий уровень защищенности. Особенностями «m-TrusT» является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Встроенные средства защиты информации имеют сертификаты соответствия ФСБ России и ФСТЭК России.

 

Итак, коммутировать микрокомпьютер «m-TrusT» в «разрыв» между ПКО различного назначения и каналом связи позволяет интерфейсная плата. Как уже упоминалось – разнообразие оборудования, взаимодействующего по сети (ПК, подвижной состав, станционное оборудование, банкомат, информационный киоск, терминал оплаты etc), является ключевой характеристикой инфраструктуры (будь то КИИ, АС ТП или информационная система финансовой организации), поэтому интерфейсные платы должны быть разными, чтобы коммутировать одно и то же СЗИ (то есть не совместимые, не похожие, а именно одинаковые СЗИ) с разными ПКО. Например, она может быть такой, как на рис. 31:

• Габаритные размеры: 90 x 105 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• Разъем USB Type A;
• Разъем Ethernet;
• Разъем питания от источника постоянного напряжения 5 вольт.

Интерфейсная плата №2

• Габаритные размеры 90 x 110 мм;
• Соединитель типа Розетка 87758-2016 MOLEX;
• USB-хаб;
• Разъем USB Type A;
• 2 разъема Ethernet;
• Разъем RS-232, подключенный через преобразователь USB-RS-232;
• Разъем RS-485, подключенный через преобразователь USB-RS-485;
• Разъем для micro-SD карты;
• Разъем питания от источника постоянного напряжения 5 вольт.

 

Рис. 31 Интерфейсная плата

На рис. 32 изображен «m-TrusT», подключенный к интерфейсной плате.

Рис. 32 Интерфейсная плата с подключенным «m-TrusT»

 

На рисунке 33 показан другой вариант интерфейсной платы с меньшим количеством интерфейсных разъемов (рис. 33):

• Габаритные размеры: 90 x 105 мм
• Соединитель типа Розетка 87758-2016 MOLEX
• Разъем USB Type A
• Разъем Ethernet
• Разъем питания от источника постоянного напряжения 5 вольт

Рис. 33 Интерфейсная плата («облегченный» вариант)

Возможна разработка интерфейсных плат для других типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте, мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки.

 

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные сервера в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. И для этого элемента инфраструктуры финансовой организации больше подойдет исполнение «в стойку» (рис. 34).

 

Рис. 34. Стоечное исполнение того же самого СЗИ

При этом технически – не считая корпуса – это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково.

Таким образом, использование микрокомпьютеров «m-TrusT» для защиты сетевого взаимодействия финансовой организации, различных специфических КИИ и АСУ ТП – позволит построить подсистему защиты для разнообразного оборудования с использованием одного и того же СЗИ, «подогнанного» под каждый инфраструктурных элемент. Это трудно переоценить в самых разных аспектах – от обучения эксплуатирующего персонала до проведения ремонтных работ – перекоммутировать интерфейсную плату не требуется, просто заменяется подключенный к ней модуль – операция становится элементарной.

 

Двухконтурный моноблок

 

Еще одно решение для защищенной работы в двух изолированных контурах безопасности – Двухконтурный моноблок. Принципиальное отличие этого решения состоит в том, что он предоставляет пользователю две полнофункциональные среды, а не только защищенный доступ к некоторой системе, при этом работа в этих средах может вестись параллельно, а не последовательно, для переключения не требуется ни перезагрузка, ни смена сеанса, все процессы продолжаются в каждой ОС своим чередом. То есть – еще раз стоит подчеркнуть – оба режима могут работать одновременно, не влияя друг на друга.

Это, собственно, моноблок, в корпусе которого совмещен компьютер x86 с установленным ПАК «Аккорд» и защищенный микрокомпьютер Новой гарвардской архитектуры MKT-card long. Это позволяет пользователю работать параллельно в двух защищенных ОС (в общем случае одна из них Windows, а вторая – Linux). ОС Windows загружается с жесткого диска моноблока. При работе в этом режиме пользователь может устанавливать любое ПО и инициировать любые подключения в рамках заданных для него правил разграничения доступа. Во втором режиме ОС Linux загружается из защищенного от записи раздела памяти микрокомпьютера «MKT-card long», встроенного в корпус моноблока, то есть не просто с другого жесткого диска, а с другого компьютера.

Переключение между режимами выполняется посредством нажатия кнопки переключения для смены экрана, расположенной на корпусе моноблока, и KVM-переключателя, установленного внутрь моноблока, для передачи сигналов клавиатуры и мыши к текущей системе.

 

Теоретически очевидно (и на практике так оно и есть), что устройством с правильной архитектурой может быть не только компьютер в бытовом понимании этого слова. Не только компьютер «страдает» от уязвимости универсальной архитектуры. По существу, те же проблемы касаются и – также являющихся, но редко называемых компьютерами, – служебных носителей: флешек, носителей ключей etc.

Устройства этих типов тоже можно создавать с правильной архитектурой, и уже есть примеры таких серийных продуктов.

 

1.2. Служебные носители (флешки, ключевые носители, средства хранения журналов)

 

Яркий пример технического средства, в отношении которого тоже постоянно ведутся разговоры о непреодолимости «человеческого фактора», это разного рода носители информации. В первую очередь, конечно, флешки.

Однако не далеко отстоят и, например, токены – ключевые носители, на небрежном отношении пользователей к котором основывается большинство попыток вендоров оправдать утечки и потери, произошедшие «под защитой» их устройств.

Невозможно не согласиться с тем, что бесполезно бороться с человеческим фактором. Здесь так же, как и в предыдущем случае, не надо пытаться изменить человека, надо изменить то, что в наших силах – архитектуру «железки».

Изменение в отношении архитектуры носителя требуется принципиально того же плана, как и в отношении компьютера – универсальное устройство нужно сделать менее универсальным.

Таким, чтобы оно выполняло те функции, которые нужно, на тех компьютерах, на которых можно, и совершенно ничего не выполняло в любых других условиях.

Если предельно обобщить (охватывая все возможные носители сразу), то их стандартная архитектура будет характеризоваться двумя важными для безопасности параметрами – память RW (универсальная, для любых задач) и возможность работы на любом ПК (универсальный инструмент).

Ограничивать универсальность этих параметров можно и нужно.

Эта задача уже решена и решения запатентованы [5, 58].

Рассмотрим основные типы носителей, наиболее применяемые в реальных системах.

 

Флешки

 

В информационных системах – государственных, частных или личных – данные хранятся, передаются и обрабатываются. Средства хранения данных принято называть носителями.

Носители данных в информационной системе (как, впрочем, и средства их обработки) могут быть стационарными и мобильными. Помимо этого носители информации могут быть составной частью оборудования, выполняющего также и обработку данных, а могут быть носителями в собственном смысле слова – устройствами, с помощью которых информацию носят, и во время того, как ее носят, она там хранится. А потом, когда информацию перенесли, она обрабатывается с помощью какого-либо другого оборудования. И вновь сохраняется на носитель, чтобы быть перенесенной куда-то еще.

Являясь частью защищенной информационной системы, носители информации тоже должны быть защищенными.

Защищенность – характеристика объекта, определяющая его способность противостоять атакам. Поэтому тезис о том, что защищенность различных элементов информационных систем обеспечивается разными способами, очевиден: повышает защищенность объекта способность противостоять именно тем атакам, осуществление которых наиболее вероятно по отношению к данному элементу системы. Спасательный круг существенно повысит защищенность на воде, но совершенно не повысит ее при пожаре или, скажем, морозе.

Что это означает применительно к вопросу защищенности мобильных носителей информации?

Носители информации являются частью информационной системы, и, значит, существенно бóльшая их защищенность по отношению к остальным ресурсам системы не имеет смысла, она никак не усилит общую защищенность данных, и переплачивать за нее нецелесообразно. Нет практического смысла использовать сверхзащищенную флешку в незащищенной системе.

Однако даже для того, чтобы защищенность флешки соответствовала уровню защищенности самого обыкновенного домашнего компьютера, не защищенного ничем, кроме антивируса, эта флешка должна

а) находиться в квартире и нигде кроме,

б) быть каким-то мистическим образом защищена от возможного воздействия вирусов.

Теоретически это достижимо с помощью оргмер. Владелец флешки, которая используется только внутри защищенного помещения для переноса информации между несколькими защищенными от вирусов компьютерами, может быть спокоен – флешка не снижает общей защищенности его системы.

К сожалению, такая идеальная с точки зрения безопасности ситуация даже если и возникает, то обычно длится недолго: флешку понадобится куда-то вынести.

Самая главная особенность мобильных носителей состоит в том, что они подвержены дополнительным угрозам (по отношению к угрозам, актуальным для основной («стационарной») системы), связанным с тем, что контур системы для них проницаем: они могут не только выноситься (и выносятся!) за пределы системы, но и использоваться там. А, как следствие, это приводит к утечкам информации из системы и к притоку вредоносного ПО в систему.

Именно поэтому проекты защищенных информационных систем зачастую предусматривают полный запрет на использование USB-носителей. Флешки признаются абсолютным злом потому, что они могут использоваться вне системы. Значит, защищенный носитель – это такой носитель, который может использоваться только внутри системы (государственной, корпоративной, личной) и не может использоваться вне ее.

Назовем такой носитель служебным.

Служебный носитель – это такой носитель, который позволяет оперативно и просто переносить информацию внутри системы согласно ее внутренним правилам, но не позволяет ни выносить хранимую на нем информацию из системы, ни приносить в систему информацию, записанную на него вне системы. Никому, в том числе и легальному, пользователю. Только в этом случае носитель не будет снижать общего уровня защищенности системы даже при его физическом выносе за ее периметр.

Если посмотреть с этой точки зрения на продукты информационной безопасности, позиционируемые поставщиками как средства защиты информации на флешках, то выяснится, что при всех своих возможных плюсах необходимую задачу они не решают.

Критерии оценки, которые адекватны понятию «защищенный служебный носитель», следующие:

1) является ли продукт средством хранения и переноса информации (носителем),

2) удобно ли его использование (аппаратные требования, требовательность к навыкам эксплуататора, мобильность, дружественность),

3) снижает ли применение продукта степень негативных последствий кражи или утери носителя с данными для системы,

4) защищает ли продукт данные от доступа посторонних лиц,

5) при использовании вне защищенной системы способен ли продукт предотвратить «заражение» вредоносным ПО, которое в дальнейшем может попасть в систему,

6) можно ли при помощи продукта защитить данные от хищения мотивированным инсайдером,

7) имеет ли применение продукта нормативные ограничения в РФ,

8) сколько стоит продукт.

 

Ни одно из представленных до сих пор на рынке средств или решений по защите информации не давало возможности создать систему, включающую в себя защищенные служебные носители, поскольку не было предложено решения главной задачи: привязки носителя к системе.

В программно-аппаратных комплексах (ПАК) линейки «СЕКРЕТ» именно эта функция является основной.

Что может предпринять злоумышленник в отношении флешки как носителя информации, включенного в интересующую его систему?

 

1. Кража или находка

2. Отъем

3. Завладение оставленным без присмотра устройством

4. Завладение путем мошенничества и социальной инженерии

5. Покупка у мотивированного инсайдера

Как правило, пп. 1, 2 и 5 имеют своей целью завладение данными с флешки, а п. 3 или 4 может также иметь целью внедрение подложных данных или вредоносного кода (реже, но тоже возможно – уничтожение данных на флешке).

В отличие от угроз данным в сетях или на локальных компьютерах, которые реализуются весьма разнообразными атаками, угрозы, связанные с флешками, характеризуются очень мощными общими признаками возможных атак: физическое завладение устройством и получение доступа к его памяти на каком-то ПК.

Атаки на флешки через сеть, например, весьма маловероятны и будут скорее атаками на данные на дисках компьютера (подключаемых), а не на данные на флешке. И в любом случае, вряд ли возможность реализации такого рода угрозы может быть классифицирована как уязвимость флешки.

Очевидно, что защитить маленькое устройство от физической кражи (или находки в результате целенаправленного поиска в местах возможных потерь, провокации потери) – крайне сложно и практически невозможно сделать это техническими методами.

Более того, и применение организационных мер крайне затруднительно, поскольку на физическое владение таким маленьким предметом очень сильно влияет характер пользователя – рассеянный он, или любит похвалиться, или нечист на руку, или доверчивый...

Значит, задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. То есть, даже имея флешку, получить доступ к данным на ней на не разрешенном явно для этой флешки компьютере не разрешенному явно пользователю должно быть невозможно. Тогда одинаково бесполезно (или, если смотреть с другой стороны баррикад – не опасно) ее красть (терять), отнимать (отдавать), покупать (продавать), и так далее.

Для того чтобы флешка работала на одних компьютерах и не работала на других, флешка должна уметь различать компьютеры.

Это первая задача, только после решения которой можно обсуждать, по каким параметрам различать компьютеры правильно, а по каким нет или каким образом добиваться изменения списка разрешенных (или запрещенных) компьютеров.

Очевидно, что все эти вопросы важны, но только в том случае, если флешка в принципе различает компьютеры.

Обыкновенная флешка делать этого не может. Это связано с тем, что у флешки просто нет для этого никаких ресурсов. Если говорить упрощенно, флешка состоит из памяти и контроллера USB.

Рис. 35. USB -накопитель

Ни то, ни другое не является ресурсом, способным осуществлять произвольные операции.

Компьютер может различать флешки по их уникальным идентификаторам – VID, PID и серийному номеру, если на нем установлены средства для этого (например, USB-фильтры), потому что у него, в отличие от флешки, есть необходимые вычислительные ресурсы. Стоит иметь в виду, что эти уникальные идентификаторы не всегда и не совсем уникальны (все флешки некоторых производителей имеют один и тот же серийный номер, а с помощью специального технологического ПО эти «уникальные параметры» можно менять). Однако, в любом случае, для того чтобы проанализировать тот или иной признак объекта (флешки ли, компьютера ли), тот, кто анализирует, должен иметь ресурсы, предназначенные для такого анализа.

Вывод очевиден: чтобы различать компьютеры, флешка должна сама быть компьютером. Именно в этом и состоит отличие служебных носителей (СН) «Секрет». Архитектура флешек изменена в устройствах «Секрет» следующим образом.

Рис. 36. Служебный носитель «Секрет»

Управляющий элемент в СН «Секрет» различных модификаций реализован по-разному, однако общая логика остается единой: управляющий элемент «коммутирует» компьютер с диском «Секрета» (собственно флешкой) только после успешного завершения контрольных процедур: взаимной аутентификации СН, компьютера и пользователя. До того, как сценарий аутентификации будет успешно разыгран до конца, диск «Секрета» не будет примонтирован, не появится в списке дисков и не окажется доступен не только для пользователя, но и для системы (с ее потенциальными закладками или вирусами).

Дополнительно защитные свойства «Секрета» могут быть усилены шифрованием данных при записи на диск. Выбирать такой носитель целесообразно тогда, когда разумно предположение, что злоумышленник может попытаться считать данные с флеш-памяти напрямую, например, выпаяв ее с устройства. Однако надо иметь в виду, что за счет аппаратного шифрования заметно снижается скорость чтения/записи, это неизбежные издержки. В СН «Секрет» без шифрования скорости чтения/записи не отличаются от скоростей обычных флешек.

Такова принципиальная структура и логика защитных свойств служебного носителя «Секрет», а продукты линейки «СЕКРЕТ» различаются тем, как организовано управление процессом взаимной аутентификации компьютера, «Секрета» и его пользователя.

 

 

Ключевые носители

 

Ключи, так же, как и любые данные, существуют в трех процессах: хранятся, обрабатываются (в том числе – создаются и уничтожаются) и передаются.

Никаких других состояний у данных, и ключей (как явлений этой сущности) не бывает.

Ключи отличаются от других данных только одним – компрометация ключей заметно более критична. Это значит, что принципиально никаких специфичных приемов для защиты именно ключей – не требуется, просто обеспечиваться меры защиты должны несколько более тщательно, чем в отношении любых других данных.

Почему более тщательно – очевидно на уровне здравого смысла. Сравним случай компрометации документа и компрометации ключа. Если скомпрометирован документ, то наступают некие негативные последствия. Безусловно, они могут быть весьма существенными, поэтому защищать необходимо отнюдь не только ключи. Но все-таки, если происходит компрометация ключа (например, ключа электронной подписи), злоумышленник может создавать неограниченное количество документов от имени пользователя, чей ключ скомпрометирован.

К сожалению, здравый смысл не всегда детерминирует безопасное поведение, потому более жесткие требования по защите ключей (хотя вернее было бы сказать – систем с ключом) предъявляются и регуляторами.

В свете требований к средствам электронной подписи (СЭП), в которых взаимоувязаны все три состояния ключа, это становится особенно наглядно: мы можем руководствоваться самыми разными соображениями, выбирая тип желательной для нас в тех или иных обстоятельствах ЭП, выбирая подходящее для нас СЭП, но как только мы выбрали усиленную ЭП (то есть «ЭП с ключом») мы попадаем в зону действия существенно более высоких требований.

Таким образом, с точки зрения безопасного существования криптографических ключей в Автоматизированной системе (АС) принципиальное значение имеют 2 фактора:

- защищенное хранение ключа (и, соответственно, носитель ключа)

- условия доступа к ключу и работы с ним (то есть среда функционирования криптографии (СФК)).

Очевидно и не нуждается в детализации, что второй фактор (условия доступа к ключу) касается и обработки, и передачи ключей – как части технологии, реализуемой СКЗИ (СЭП) при выполнении своих функций.

В то же время очевидно, что криптография, как правило, является вспомогательным механизмом, а не основной целевой функцией системы, поэтому условно выделяемым третьим фактором можно считать степень влияния на информационную инфраструктуру. Естественно, что удорожание и усложнение системы обычно желательно минимизировать, поэтому средство хранения ключей, например, требующее изменения применяемых в системе протоколов взаимодействия, замены операционных систем и/или внедрения не требующихся ни для чего более средств защиты каналов связи – может считаться удачным решением только для подрядчика, который будет нанят на все эти работы.

Этот параграф посвящен средству хранения ключей (токену), которое позволяет решить несколько большее число задач, чем обычно применяемые в этом качестве устройства, не требуя серьезных инфраструктурных изменений АС. Поэтому оно называется – «Идеальный токен».

Сложившаяся практика

Сложившаяся практика применения ключей такова, что в качестве их носителей используются универсальные накопители (дискеты, флешки), идентификаторы пользователей, если они представляют собой устройства с доступной для записи/чтения памятью (ТМ-идентифкаторы) или специализированные устройства (смарт-карты, USB-токены).

Обзор этих видов «хранилищ ключей» (невозможно использовать эту формулировку без кавычек, так как далеко не все эти объекты хотя бы минимально приспособлены к хранению именно ключей) приведен ниже. Из обзора исключены дискеты, так как побочным эффектом развития вычислительной техники, все реже имеющей дисководы для дискет, явилось постепенное отмирание применения этого носителя и в этой конкретной функции.

Здесь невозможно не вспомнить снова аксиому о том, что для специальных целей логично применять специализированные средства.

Однако, и специализированные средства – токены^[21] – не идеальны.

Токены предоставляют возможность использования хранимых на них ключей и сертификатов после предъявления PIN-кода (авторизации пользователя). Казалось бы, таким образом блокируются все уязвимости, связанные как с хранением, так и с доступом к ключу.

Однако очевидно, что ограничение доступа к ключу только использованием PIN-кода недостаточно. Токен должен использоваться только в той системе, в которой обеспечена