С. В. Конявская, к. Ф. н.
Оскільки криптографічні перетворення - шифрування і ЕЦП - зізнаються єдиним надійним способом захисту інформації, що передається по каналах зв'язку, пильну увагу до засобів захисту інформації, які мають криптографічні функції цілком природно як з боку ринку, так і з боку держави. Дедалі більше значення мобільності в сучасному світі надає особливу привабливість персональним засобів. Однак необхідно враховувати, що використання дешевих неперевірених і ненадійних засобів тягне за собою часом гірші наслідки, ніж невикористання засобів захисту взагалі, тому що до незахищеності додається безпідставна заспокоєність.
Тому сьогодні добре зрозуміло, що для забезпечення безпеки інформаційної взаємодії на всіх рівнях краще використовувати вітчизняні сертифіковані засоби, розроблені компаніями з довготривалою хорошою репутацією в області захисту інформації.
Саме такий засіб - ПСКЗІ ШИПКА.
Персональне засіб криптографічного захисту інформації (ПСКЗІ) ШИПКА (Шифрування, Ідентифікація, Підпис, Коди автентифікації) являє собою спеціалізоване мобільний пристрій, що дозволяє надійно виконувати криптографічні перетворення і зберігати ключі.
Базовим елементом ПСКЗІ ШИПКА є мікропроцесор, який має власну незалежну пам'ять. Крім того, ПСКЗІ ШИПКА забезпечено апаратним датчиком випадкових чисел (ДСЧ) і зовнішньою пам'яттю (data flash). Взаємодія ПСКЗІ ШИПКА і персонального комп'ютера може бути організовано через різні інтерфейси.
Мікропроцесор може виконувати різні операції загального призначення (в тому числі і криптографічні). У незалежній пам'яті процесора можна надійно зберігати дані (ключі захисту файлової системи, паролі доступу до ключів). ДСЧ дозволяє отримувати якісні послідовності випадкових чисел (що дуже важливо при генерації ключів). У data flash можна зберігати великі обсяги даних (файли або ключі, захищені на ключах захисту файлової системи). Транспортний інтерфейс дозволяє обмінюватися командами і даними з ПЕОМ (існують реалізації пристрою, забезпечені контролером USB - ШИПКА-1.5 і 1.6, пристрій ШИПКА-CF може обробляти дані, що передаються через інтерфейс compact flash, ШИПКА-Express і ШИПКА-Cardbus, відповідно, ExpressCard або PCCARD / CardBus, а ШИПКА-модуль спілкується з ПЕОМ через I2C і UART).
Завдання, які можна вирішувати за допомогою ПСКЗІ ШИПКА різних версій, можна розділити на три великі групи:
1. створення захищеної і одночасно мобільного персональної інформаційної середовища і захист інформаційної взаємодії громадян і організацій;
2. створення корпоративних систем захищеного електронного документообігу різного рівня складності, впровадження та використання ЕЦП і робота з засвідчувальних центрів та простором PKI;
3. розробка спеціалізованих приладів і пристроїв, що включають криптографічний підсистему.
1. До завдань першої групи відносяться, зокрема, такі:
· Шифрування і / або підпис файлів;
· Автоматичне заповнення веб-форм і зберігання необхідних для цього даних, в тому числі паролів;
· Апаратна ідентифікація і аутентифікація користувача на ПК і ноутбуках, а також в термінальних рішеннях типу "тонкий клієнт";
· Захищене сховище ключів шифрування і підпису і апаратний датчик випадкових чисел;
· Шифрування і підпис повідомлень електронної пошти з використанням різних стандартів;
· Захист інформаційних технологій за допомогою захисних кодів аутентифікації.
- власні ресурси пристрою (можливість отримання апаратної випадкової послідовності, можливість зберігання власного закритого і відкритого ключа, можливість зберігання відритого ключа термінального сервера, а також можливість обчислення і перевірки підпису) достатні для організації захисту віртуальних каналів.
При цьому, що дуже важливо, внутрішнє ПО ПСКЗІ ШИПКА не потребує адаптації для термінального або локального використання.
Підтримка стандартних інтерфейсів (криптопровайдера і PKCS # 11), дозволяє комфортно працювати з ПО різних виробників без додаткової настройки процедур взаємодії з внутрішнім ПО ПСКЗІ ШИПКА. Це важливо, оскільки корпоративна система інформаційної взаємодії не може будуватися за шаблоном - вона повинна вирішувати завдання, що стоять перед цією організацією, а вони можуть бути пов'язані з використанням самих різних додатків.
3. У міру руху до інформаційного суспільства в самих різних сферах життя застосовується все більше число електронних пристроїв побутового та промислового призначення, в які в певних обставинах може бути потрібно вбудувати підтримку криптографічних функцій. Однак в таких рішеннях зазвичай не застосовуються інтерфейси для розширення типу PCI, PCI-Express і т. П. А використовуються шини типу I2C, SPI і т. П.
У цьому випадку кожен пристрій має проектуватися з урахуванням відповідних вимог для таких пристроїв і (швидше за все) з розрахунком на проведення відповідних процедур сертифікації. З огляду на величезну кількість можливих архітектурних і схемотехнічних рішень, для яких можливо буде потрібно розробка і сертифікація криптографічного підсистеми, добре зрозуміло, що окреме рішення для кожного випадку - не може бути реалізовано в розумні терміни, хоча б через кінцевої пропускної здатності сертифікують органів.
Саме для розробників таких пристроїв, які повинні мати криптографічний підсистему, призначена ШИПКА-модуль. Пристрій монтується на друковану плату і виконано у вигляді пластикового модуля, який має 14 штирьових висновків. Габаритні розміри корпусу (без врахування висновків) 25x25x15 мм. Фактично ШИПКА-модуль являє собою варіант вироби ШИПКА з інтерфейсами I2C і UART (під час роботи доступний лише один інтерфейс, тип якого визначається при старті модуля і задається висновками конфігурації). Модуль вимагає для харчування 5В для живлення ядра і 1.5..5В для харчування інтерфейсу введення / виводу. Пристрій має підвищену вібро- і вологостійкість і може бути випущено як для комерційного, так і для індустріального (-40 .. + 85) температурного діапазонів.
Розбирання пристрою механічно утруднена (модуль залитий жорстким компаундом), проте навіть якщо її здійснити - криптографічні критичні дані витягти буде неможливо через архітектурних особливостей застосованої елементної бази.
Таким чином, розробник спеціалізованого пристрою дозволяється використовувати готову апаратну криптографічний підсистему, а не розробляти власну.
Перевагою ПСКЗІ ШИПКА, важливим для вирішення всіх трьох груп завдань, є її змінювати програму. В основі пристрою - універсальний перепрограмувальний мікропроцесор, а це значить, що
- функціональність пристрою може бути змінена під ті чи інші вимоги, що робить інтеграцію пристрою в різні системи більш зручною;
- набір реалізованих в криптографічного бібліотеці алгоритмів може включати в себе ті, алгоритми, які краще для тих чи інших завдань і не містити ніяких інших, а може надавати користувачеві можливість вибору, якщо це передбачено політикою безпеки;
- додаткові функції, реалізовані у внутрішньому ПО (firmware) ПСКЗІ ШИПКА, якщо вони з'явилися пізніше, ніж пристрій було придбано, можуть бути отримані користувачем у вигляді оновлення - це істотно продовжує термін ефективної служби пристрою і робить його застосування більш економічним, ніж використання більш дешевих засобів , що не припускають можливість оновлення та розширення можливостей.
З урахуванням наведених особливостей, ПСКЗІ ШИПКА представляється одним з найбільш ефективних на сьогоднішній день інструментів забезпечення безпеки інформаційної взаємодії. А будучи російським сертифікованим продуктом, вона може впевнено рекомендуватися до застосування в системах і мережах самих різних рівнів.