Системы на основе электронных идентификаторов (ИЭ)

ИЭ состоят из микросхемы и литиевой батарейки, размещенных в цилиндрическом корпусе (капсуле). Половинки капсулы изолированы друг от друга и выполняют роль противоположных контактов. Для работы микросхемы не требуется внешний источник питания (рис. 25).

Рис. 25. Внешний вид электронного идентификатора

Для считывания данных из ИЭ используется контактное устройство, которое представляет собой механический узел, форма которого выполнена так, чтобы он точно сопрягался с круглым корпусом ИЭ. Малые размеры контактного устройства позволяют встраивать его практически в любой компонент ПК.

В структуре iButton можно выделить следующие основные части: постоянное запоминающее устройство (ПЗУ), энергонезависимое (nonvolatile — NV) ОЗУ, сверхоперативное запоминающее устройство (scratchpad memory — SM), часы реального времени, а также элемент питания — встроенную миниатюрную литиевую батарейку.

В ПЗУ идентификаторов хранится 64-разрядный код — он состоит из 8-разрядного кода типа идентификатора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы.

Чтобы предотвратить разрушение информации, в структуре iButton предусмотрена дополнительная буферная память, которая выполняет функцию блокнотной области. Эта память защищает прибор от случайной записи новых данных на место имеющихся или от записи не по тому адресу. Все поступающие в прибор данные первоначально записываются в блокнотную память. Затем они читаются из нее в считывающее устройство, где сравниваются с данными, которые необходимо было записать. После верификации выполняется операция копирования содержимого блокнотной памяти в основную.

Некоторые модели ИЭ имеют ОЗУ с защитой доступа, механизм доступа к которой реализован с помощью двух ключей: открытого, хранящегося в поле идентификатора, и закрытого, записанного в поле пароля. Открытый ключ записывается и считывается, закрытый - только устанавливается и не может быть прочитан. Закрытый ключ обеспечивает санкционированный доступ к памяти и защищен от случайного изменения с помощью открытого ключа. При любом обращении к памяти сначала передается закрытый ключ данной страницы. В том случае, если он совпадает с ключом, предварительно записанным в поле пароля, память будет доступна как по записи, так и по чтению. При несовпадении кодов данные в память не записываются.

Обмен информацией идентификатором и компьютером происходит в соответствии с протоколом 1-Wire с помощью разнообразных считывающих устройств (адаптеров последовательного, параллельного и USB-портов, контактных устройств Touch Probe). Для записи и считывания данных из идентификатора нужно, чтобы корпус iButton соприкоснулся со считывающим устройством. Время контакта — не более 5 мс, гарантированное количество контактов составляет несколько миллионов. Интерфейс 1-Wire обеспечивает обмен информацией на скоростях 16 кбит/с или 142 кбит/с (ускоренный режим).

К достоинствам УВИП на базе электронных ключей iButton относятся:

-надежность, долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);

-высокая степень механической и электромагнитной защищенности;

-малые размеры;

-относительно невысокая стоимость.

Недостатком этого устройства является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.

Системы с использованием электронных ключей.

Устройства ввода идентификационных признаков на базе USB-ключей относятся к классу электронных контактных устройств. В составе УВИП данного типа отсутствуют дорогостоящие аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля (рис. 26).

Основными компонентами USB-ключей являются встроенные процессор и память. Процессор выполняет функции криптографического преобразования информации и USB-контроллера. Память предназначается для безопасного хранения ключей шифрования, цифровых сертификатов и любой другой важной информации. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.

Рис. 26. Внешний вид USB-ключа

Данные СЗИ не требуют подключения к ПК специальных считывающих устройств (контроллеров), т.к. электронные ключи изготавливаются для стандартных портов (LPT, COM, USB).

Первые электронные ключи, подключаемые к параллельному порту ПК, появились достаточно давно. Защищенная программа по мере выполнения запрашивала ключи, хранимые в памяти аппаратной «заглушки», и только при получении заданных значений продолжала работать. На уровне отладчика хакеры исследовали протокол обмена программы и «заглушки», находили в памяти компьютера образы ключей и создавали программный эмулятор электронного ключа. Стали появляться так называемые «крэки», эмулирующие работу ключа определенной программы, и даже универсальные эмуляторы ключей определенной марки. Поэтому разработчики ключей стали усложнять технологию работы этих устройств, чтобы максимально затруднить задачу хакерам и сделать написание эмулятора коммерчески невыгодным делом по сравнению с покупкой легальной копии.

Для борьбы с эмуляцией электронных ключей их разработчики в основном используют следующие методы:

-«Плавающие» протоколы обмена, когда данные, передаваемые между ключом и программой, засоряются информационным «мусором», который не воспринимается программой, но сильно усложняет задачу написания эмулятора. Причем с течением времени характер передаваемого «мусора» хаотически меняется.

-Аппаратная реализация сложных алгоритмов преобразования данных. Многие современные ключи содержат в своем составе микропроцессор, способный обрабатывать большой объем информации за один сеанс. При этом электронные ключи разных пользователей должны содержать разные аппаратные алгоритмы, чтобы хакер не смог написать универсальный эмулятор для ключей данной марки.

-Большой объем памяти электронного ключа, позволяющий хранить в ней не только ключи, но и значительные фрагменты самой программы или данных, используемых ей.

-Шифрование данных в памяти электронного ключа, чтобы исключить возможность использования аппаратных средств копирования микросхем памяти, аппаратные запреты на чтение программным способом участков памяти, где хранятся дескрипторы аппаратных алгоритмов, и ряд других ухищрений.

Все современные электронные ключи имеют очень малый ток потребления, благодаря чему являются «прозрачными» для подключаемых к тому же порту принтера, сканера и других устройств, в том числе и аналогичные ключи, т. е. ключи можно каскадировать по нескольку штук.

Примеры ЭК, присутствующих на рынке:

ЭК MPKEY.

Эти ключи примечательны тем, что только в них аппаратно реализован алгоритм шифрования, сертифицированный ФАПСИ (алгоритм ГОСТ 28147-89). Длина ключа составляет 256 бит, что обеспечивает довольно высокую криптостойкость. Ключи MPKEY Memo имеют 42 байта индивидуальных данных клиента, доступных для чтения, и 16 байт энергонезависимой памяти для чтения/записи. Ключи предназначены для защиты приложений в DOS, Windows 9x/NT/2000.

ЭК HASP (Hardware Against Software Piracy).

HASP - это аппаратно-программная система для защиты программ и данных от нелегального использования и пиратского тиражирования. Она включает в себя:

-электронный ключ HASP;

-специальное программное обеспечение, обеспечивающее защиту программных модулей и “привязку” к электронному ключу.

В ключе используются:

-мощный “заказной” ASIC-чип с возможностью генерации уникальной серии кодов y=f(x);

-до 496 байт EEPROM-памяти, доступной на чтение-запись;

-кодированный, динамически меняющийся (“плавающий”) протокол обмена ключа с портом;

-неизменяемый уникальный код разработчика и серийный номер ключа.

Ключ прозрачен для принтеров и других устройств.

Ключ HASP является одним из самых надежных средств защиты программного обеспечения из представленных на рынке. Надежность ключей HASP составляет 99.86%.

ЭК Aladdin Hardlock.

Ключи Hardlock позволяют защищать приложения и связанные с ними файлы данных методом «прозрачного» шифрования. Ключи поддерживают блочное симметричное и несимметричное шифрование. Симметричное шифрование производится блоками по 64 бита, причем для каждого нового блока генерируется новый сеансовый ключ длиной 48 бит.

Основа ключа Hardlock — специализированная микросхема ASIC со встроенной ЭСППЗУ-памятью. Микросхема программируется только с помощью специальной платы Crypto Programmer Card, что обеспечивает безопасное хранение ключевой информации. Каждый экземпляр этой платы уникален и позволяет задавать до 43 680 вариантов работы алгоритма шифрования.