Аппаратные ключи – на страже программ – Статьи

2.2 “ruToken”

Другим устройством, обеспечивающим аппаратную криптографическую защиту данных, является электронный брелок “ruToken”. Брелок взаимодействует с компьютером через интерфейс USB. “ruToken” может использоваться для решения следующих задач:

· Аутентификация − замена парольной защиты при доступе к БД, Web-серверам, VPN-сетям и security-ориентированным приложениям на программно-аппаратную аутентификацию; − защищенные соединения при доступе к почтовым серверам, серверам баз данных, Web-серверам, файл-серверам, аутентификации при удаленном доступе.

· Защита данных − защита информации (шифрование по ГОСТ 28147-89); − защита электронной почты (ЭЦП, шифрование); − защита доступа к компьютеру (авторизация пользователя при входе в операционную систему).

Рис. 1.2 – Внешний вид устройства ruToken

Общие технические характеристики ruToken:

· Аппаратное шифрование по ГОСТ 28147-89;

· Файловая система по ISO 7816;

· 8, 16 или 32 Кбайт энергонезависимой памяти;

· Поддержка PC/SC, PKCS#11, MS CryptoAPI, X.509.

· Базируется на защищенном микроконтроллере;

· Интерфейс USB (USB 1.1 / USB 2.0);

· EEPROM память 8, 16 и 32 Кб;

· 2-факторная аутентификация (по факту наличия ruToken и по факту предъявления PIN-кода;

· 32-битовый уникальный серийный номер;

· Поддержка ОС Windows 98/ME/2000/XP/2003;

· Поддержка стандартов ISO/IEC 7816, PC/SC, ГОСТ 28147-89, MS CryptoAPI и MS SmartcardAPI;

· Возможность интеграции в любые smartcard-ориентированные программные продукты (e-mail-, internet-, платежные системы и т.п.).

Etoken

ак уже говорилось, наилучшим решением сегодня в области защиты информации являются смарт-карты, но для их использования необходимы специальные устройства считывания (карт-ридеры). Эту проблему снимают устройства типа eToken — электронные смарт-ключи производства той же компании Aladdin, подключаемые напрямую к USB-порту.

eToken — это полнофункциональный аналог смарт-карты, выполненный в виде брелока.

Он напрямую подключается к компьютеру через USB-порт и не требует наличия дорогостоящих карт-ридеров и других дополнительных устройств.

Основное назначение eToken — аутентификация пользователя при доступе к защищенным ресурсам сети и безопасное хранение цифровых сертификатов, ключей шифрования, а также любой другой секретной информации.

Каждому брелоку eToken можно присвоить уникальное имя, например имя его владельца. Чтобы узнать имя владельца eToken, достаточно подключить брелок к USB-порту и открыть окно «Свойства». Однако получить доступ к защищенной памяти eToken и воспользоваться этим брелоком без знания специального PIN-кода нельзя.

Кроме того, eToken выполнен в прочном водонепроницаемом корпусе и защищен от воздействия окружающей среды. Он имеет защищенную энергонезависимую память (модели PRO и RIC снабжены микропроцессором). Небольшой размер позволяет носить его на связке с ключами.

Если нужно подключить к компьютеру несколько ключей одновременно, а USB-портов не хватает, то можно воспользоваться концентратором (USB-HUB). Для удобства применения eToken поставляется вместе с удлинителем для USB-порта.

Таким образом, eToken может стать универсальным ключом, легко интегрируемым в различные системы для обеспечения надежной аутентификации.

С его помощью можно осуществлять безопасный доступ к защищенным Web-страницам, к сетям, отдельным приложениям и т.д.

Универсальность применения, легкость в использовании, удобство для пользователей и администраторов, гарантированное качество делают его прекрасным средством при необходимости использовать цифровые сертификаты и защищенный доступ.

Secret disk

случае если объем конфиденциальной информации довольно значителен, можно воспользоваться устройством Secret Disk, выполненным с применением технологии eToken. Secret Disk — это разработка компании Aladdin Software Security R.D., предназначенная для защиты конфиденциальной информации на персональном компьютере с ОС Windows 2000/XP.

Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя защищенного ресурса — секретных дисков, предназначенных для безопасного хранения конфиденциальной информации.

Доступ к этой информации осуществляется посредством электронного ключа eToken, подсоединяемого к USB-порту компьютера. Доступ к информации, защищенной системой Secret Disk, получают только непосредственный владелец информации и авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие его PIN-код.

Для других пользователей защищенный ресурс будет невидим и недоступен. Более того, они даже не догадаются о его наличии.

Устанавливая на компьютере систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями. Она не может быть использована посторонними при ремонте или краже компьютера, а также при утере съемного зашифрованного диска.

Для защиты корпоративных серверов используется специальная версия — Secret Disk Server. Особенностью системы Secret Disk Server также является отсутствие следов закрытого «контейнера с информацией» в файловой системе. Таким образом, если злоумышленники снимут диск с вашего сервера, то они не только не смогут расшифровать данные — они даже не увидят, где именно находится информация.

Изготовление эмулятора (программной копии) ключа

Самый распространенный и эффективный метод взлома, который заключается в создании программного модуля (в виде драйвера, библиотеки или резидентной программы), воспроизводящего (эмулирующего) работу электронного ключа. В результате защищенная программа перестает нуждаться в ключе.

Эмуляторы могут воспроизводить работу ключей определенной модели, или ключей, поставляемых с какой-то программой, или одного конкретного ключа.

По организации их можно разделить на эмуляторы структуры и эмуляторы ответов. Первые воспроизводят структуру ключа в деталях (обычно это универсальные эмуляторы), вторые работают на основе таблицы вопросов и ответов конкретного ключа.

В простейшем случае для создания эмулятора хакер должен найти все возможные верные вопросы к ключу и сопоставить им ответы, то есть получить всю информацию, которой обменивается ключ и программа.

Современные ключи обладают целым набором средств, предотвращающих эмуляцию. Прежде всего, это различные варианты усложнения протокола обмена ключа и защищенной программы, а также кодирование передаваемых данных. Используются следующие основные виды защищенных протоколов обмена или их сочетания:

• плавающий протокол — вместе с реальными данными передается «мусор», причем со временем порядок чередования и характер, как реальных, так и ненужных данных, изменяется хаотическим образом
• кодированный протокол — все передаваемые данные кодируются
• с автоматической верификацией — любая операция записи в память ключа сопровождается автоматической проверкой данных на адекватность

Дополнительное усложнение протокола обмена достигается за счет увеличения объема передаваемых сведений и количества вопросов к ключу. Современные ключи обладают памятью, достаточной для обработки достаточно больших объемов данных. Например, ключ с памятью 256 байт может обработать за один сеанс до 200 байт информации. Составление таблицы вопросов к такому ключу на сегодняшний день представляется весьма трудоемкой задачей.

Информационная безопасность

1. Программно-аппаратные средства защиты. 

     1.1. Secret Disc

Secret Disk 4 – система защиты конфиденциальной информации и персональных данных от несанкционированного доступа и раскрытия конфиденциальной информации, хранящейся и обрабатываемой на персональном компьютере или ноутбуке, когда есть риск его кражи, утери или несанкционированного использования.

Secret Disk 4 позволяет защищать шифрованием системный раздел жёсткого диска. Для доступа к загрузке операционной системы пользователь должен подключить USB-ключ eToken или смарт-карту и ввести PIN-код.

Также Secret Disk 4 позволяет зашифровать несистемные разделы жёстких дисков, тома на динамических дисках, съёмные носители (USB-диски, Flash-диски, ZIP, магнитооптические диски, дискеты, карты памяти для мобильных устройств и т.п.), а также создавать виртуальные зашифрованные диски в виде файлов-контейнеров.

Операции первоначального шифрования, перешифрования и расшифрования проводятся в фоновом режиме и не мешают работе пользователя.

1.2. Электронный ключ eToken

Возможности использования:

Хранение ключевой информации криптопровайдера LIRCSP (цифровые сертификаты, закрытые ключи ЭЦП и шифрования) в памяти eToken.

Хранение ключевой информации в мобильном защищённом носителе значительно надёжнее, чем в реестре компьютера или на дискете, где она может быть удалена, повреждена или к ней может иметь место несанкционированный доступ в результате подбора злоумышленником пароля пользователя.

Усиление безопасности приложений, использующих криптопровайдер LIRCSP. Любые приложения, использующие криптопровайдер LIRCSP , могут сразу после установки продукта начать использовать eToken для хранения ключевой информации. Никаких изменений в код продукта вносить не требуется.

Преимущества:

Безопасность ключевой информации. Ключевая информация криптопровайдера LIRCSP (цифровые сертификаты, закрытые ключи ЭЦП и шифрования) хранится в защищённой PIN-кодом памяти eToken, а не на диске компьютера. Сам eToken аппаратно защищён от перебора PIN-кодов.

Электронные ключи и смарт-карты eToken PRO соответствуют требованиями руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации», сертифицированы по международному стандарту безопасности FIPS 140-1 (уровни 2 и 3), а используемая в них операционная система — по стандарту ITSEC Level E4.

1.3. Secret Net 5.0.

Secret Net 5.0 автономный вариант – система защиты информации от несанкционированного доступа нового поколения, которая реализует требования руководящих документов и ГОСТ по защите информации, не ограничивая возможности ОС и прикладного программного обеспечения.

Secret Net 5.0 – это программно-аппаратный комплекс, который обеспечивает защиту серверов, рабочих станций и мобильных ПК, работающих под управлением операционных систем Windows 2000, Windows ХР и Windows 2003.

Возможности Secret Net 5.0:

— защита от загрузки с внешних носителей

— полномочное управление доступом

— разграничение доступа к устройствам

— замкнутая программная среда

— контроль целостности

— шифрование файлов

— гарантированное уничтожение данных

— контроль аппаратной конфигурации компьютера

— контроль печати конфиденциальной информации

— регистрация событий

1.4. Аккорд-АМДЗ 5.5

СЗИ НСД Аккорд-АМДЗ – это аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

«Доверенная загрузка» – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.

Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих файловые системы FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX.

Это, в частности, ОС семейств MS DOS, Windows (Windows 9x, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista), QNX, OS/2, UNIX, LINUX, BSD и др.

Аккорд-АМДЗ может быть реализован в 5 основных вариантах: Аккорд-5 (для шинного интерфейса PCI), унифицированный контроллер для шин PCI и PCI-X – Аккорд-5МХ, его функциональный аналог в стандарте mini-PCI – Аккорд-5МХ mini-PCI, унифицированный контроллер (PCI, PCI-X) Аккорд-5.

5, имеющий мощную аппаратно реализованную криптографическую подсистему, а также его версия для шины PCIe – Аккорд-5.5.e.

Контроллеры могут быть оснащены интерфейсом блокировки двух и более физических каналов (FDD, HDD (IDE), ATX, EATX). В Аккорд-5.

5 также реализована возможность отключения питания компьютера в случае, если за N секунд не начал работу BIOS АМДЗ.

Аккорд-АМДЗ позволяет использовать для идентификации пользователей смарт-карты, устройства iButton, устройства считывания отпечатков пальцев, а также устройство ШИПКА.

1.5. Электронный замок «Соболь»

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Система защиты Электронный замок «Соболь» обладает следующими возможностями:

— идентификация и аутентификация пользователей.

— запрет загрузки ОС со съемных носителей.

— контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Как работает шифратор

По большому счету у аппаратных шифраторов существует два основных режима работы: начальной загрузки и выполнения операций. Первый начинается при загрузке компьютера, в тот момент, когда BIOS ПК опрашивает все подключенные к нему внутренние и внешние устройства.

В этот момент шифратор перехватывает управление и выполняет последовательность команд, зашитую в его память, предлагая пользователю прежде всего ввести главный ключ шифрования, т.е. вставить соответствующий ключевой носитель, который будет использоваться в дальнейшем.

После завершения начальной загрузки шифратор ожидает от ПК команд и данных на исполнение операций шифрования.

Кстати, помимо собственно функций шифрования, каждый шифратор в этом режиме должен уметь как минимум:

• выполнять различные операции с ключами шифрования: их загрузку в шифропроцессор и выгрузку из него, а также взаимное шифрование ключей;
• рассчитывать имитоприставки для данных и ключей (имитоприставка представляет собой криптографическую контрольную сумму, вычисленную на определенном ключе);
• генерировать случайные числа по запросу.

Рассмотрим работу шифратора в операционных системах семейства Microsoft Windows. В общем случае шифратор может получать команды сразу от нескольких программ.

Например, это могут быть команды программы шифрования файлов; команды шифрования данных и вычисления имитоприставок от драйвера, выполняющего прозрачное (автоматическое) шифрование сетевых пакетов (скажем, реализующего механизмы виртуальных частных сетей); запросы на генерацию случайных чисел от программы-генератора криптографических ключей.

Во избежание возникновения коллизий программы не имеют прямого доступа к шифратору и управляют им с помощью специальных программных API-модулей. Например, устройствами серии Криптон управляет универсальный программный интерфейс Crypton API.

В функции данного API входит обеспечение корректного последовательного выполнения шифратором команд, инициированных различными программами. Для каждой программы создается отдельная сессия шифрования, а ресурсы шифратора поочередно переключаются между сессиями.

Каждая сессия имеет собственный виртуальный шифратор со своими ключами шифрования, которые перезагружаются при переключении между сессиями. Это несколько напоминает разделение ресурсов ПК между приложениями в многозадачной операционной системе.

В тот же набор Crypton API входят модули, обеспечивающие стандартный интерфейс к функциям шифратора и Windows-приложениям — ключевым носителям. Кроме того, этот API поддерживает возможность подключения различных типов шифраторов через драйверы со стандартным набором функций.

Это исключает зависимость прикладной программы от конкретного типа шифратора. Например, вместо аппаратного шифратора можно использовать программный — Crypton Emulator, работающий на уровне ядра операционной системы.

Аналогичным образом поддерживается и работа с разными ключевыми носителями.

Таким образом, при обращении программы к УКЗД любая команда проходит четыре уровня: приложений, интерфейса между приложением и драйвером УКЗД, ядра операционной системы — драйвера УКЗД и аппаратный (собственно уровень шифратора).

Ключевые схемы и процесс шифрования файлов

Аппаратные шифраторы должны поддерживать несколько уровней ключей шифрования.

Обычно реализуется трехуровневая иерархия ключей: большее количество уровней, как правило, уже не дает заметного улучшения качества защиты, а меньшего может не хватить для ряда ключевых схем.

Трехуровневая иерархия предусматривает использование сеансовых или пакетных ключей (1-й уровень), долговременных пользовательских или сетевых ключей (2-й уровень) и главных ключей (3-й уровень).

Каждому уровню ключей соответствует ключевая ячейка памяти шифропроцессора. При этом подразумевается, что шифрование данных выполняется только на ключах первого уровня (сеансовых или пакетных), остальные же предназначены для шифрования самих ключей при построении различных ключевых схем.

Трехуровневую схему лучше всего иллюстрирует упрощенный пример процесса шифрования файла. На этапе начальной загрузки в ключевую ячейку №3 заносится главный ключ. Но для трехуровневого шифрования необходимо получить еще два.

Сеансовый ключ генерируется в результате запроса к ДСЧ шифратора на получение случайного числа, которое загружается в ключевую ячейку №1, соответствующую сеансовому ключу. С его помощью шифруется содержимое файла и создается новый файл, хранящий зашифрованную информацию.

Далее у пользователя запрашивается долговременный ключ, который загружается в ключевую ячейку №2 с расшифровкой посредством главного ключа, находящегося в ячейке №3.

Кстати, серьезный шифратор должен иметь режим расшифровки одного ключа с помощью другого внутри шифропроцессора; в этом случае ключ в открытом виде вообще никогда не покидает шифратора. И, наконец, сеансовый ключ зашифровывается при помощи долговременного ключа, находящегося в ячейке №2, выгружается из шифратора и записывается в заголовок зашифрованного файла.

При расшифровке файла сначала с помощью долговременного ключа пользователя расшифровывается сеансовый ключ, а затем с его помощью восстанавливается информация.

В принципе можно использовать для шифрования и один ключ, но многоключевая схема имеет серьезные преимущества. Во-первых, снижается нагрузка на долговременный ключ — он используется только для шифрования коротких сеансовых ключей. А это усложняет потенциальному злоумышленнику криптоанализ зашифрованной информации с целью получения долговременного ключа.

Во-вторых, при смене долговременного ключа можно очень быстро перешифровать файл: достаточно перешифровать сеансовый ключ со старого долговременного на новый.

И в-третьих, разгружается ключевой носитель — на нем хранится только главный ключ, а все долговременные ключи (а их может быть сколько угодно — для различных целей) могут храниться в зашифрованном с помощью главного ключа виде даже на жестком диске ПК.

О чем нужно помнить при хранении квалифицированной эцп

Один носитель — для одного сотрудникаЕсли записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей.
И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человекуЭлектронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому
человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступеКвалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который
просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите,
то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭПКомпания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте
с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст.

2 Федерального
закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены
электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор»
удобным для вас способом.

Вовремя продлевайте ЭПЕсли не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный
документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте
в нашей статье.

Защитите рабочее местоАнтивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца
подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы,
будет тяжело.

Не храните пароли на бумажкахЭто правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем
другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует
злоумышленника.

Приятное дополнение

Чтобы улучшить соотношение функциональность/цена, аппаратные шифраторы оснащают различными дополнительными защитными функциями. Из них наиболее полезная и часто применяемая — функция электронного замка, обеспечивающая ПК защиту от несанкционированного доступа и позволяющая контролировать целостность файлов операционной системы и используемых приложений.

Память каждого шифратора, работающего в режиме электронного замка, должна содержать следующую информацию, которая формируется администратором безопасности или аналогичным по функциям должностным лицом:

• список пользователей, которым разрешен вход на защищаемый данным шифратором компьютер, и данные, необходимые для их аутентификации;
• список контролируемых файлов с рассчитанным для каждого из них хэш-значением (кроме файлов операционной системы, в этот список могут входить любые другие файлы, например, шаблон Normal.dot, используемый по умолчанию текстовым процессором Microsoft Word);
• журнал, содержащий список попыток входа на компьютер, как успешных, так и нет; в последнем случае — с указанием причины отказа в доступе.

В режиме начальной загрузки электронный замок шифратора прежде всего запрашивает у пользователя аутентификационную информацию. Обычно она хранится на том же ключевом носителе, что и главный ключ, и вводится в шифратор напрямую.

В случае успешной аутентификации выполняется анализ целостности файлов согласно списку, хранимому в памяти шифратора (путем расчета хэш-значений файлов и сравнения их с эталонными).

При нарушении целостности хотя бы одного из контролируемых файлов загрузка компьютера блокируется, а шифратор переходит в специальный режим работы — впредь вход на компьютер будет разрешен только администратору по безопасности, а обычным пользователям вход до разбора полетов и устранения несоответствия будет закрыт.

Зафиксировав попытку входа в собственном журнале, шифратор возвращает компьютеру управление, что позволяет продолжить загрузку ОС. Однако электронный замок продолжает контролировать процесс загрузки, в частности, блокируя попытки загрузки с альтернативных носителей — дискеты или компакт-диска.

Все эти меры обеспечивали бы совершенно исключительную безопасность, если бы не один серьезный недостаток электронного замка — его можно просто вытащить из компьютера. Тем не менее, если использовать его в паре с программой прозрачного шифрования логических дисков, загрузка компьютера без шифратора не даст злоумышленнику желаемого эффекта.

Любые попытки модифицировать систему с целью, например, внедрения программной закладки будут обнаружены при первой же загрузке с вставленным шифратором в процессе контроля целостности файлов.

Такой программно-аппаратный комплекс (шифратор в режиме электронного замка плюс программа шифрования логических дисков) — весьма надежное средство защиты информации на ПК.

Структура и функции

Классический вариант аппаратного шифратора для персонального компьютера — плата расширения, вставляемая в слот PCI системной платы ПК.

Подобные устройства криптографической защиты данных (УКЗД) выпускают сегодня несколько российских фирм, в том числе и Анкад.

Как правило, в состав аппаратного шифратора входят блок управления, шифропроцессор, аппаратный датчик случайных чисел, контроллер, микросхемы памяти, переключатели режимов работы и интерфейсы для подключения ключевых носителей.

Блок управления, как следует из его названия, служит для управления работой всего шифратора. Обычно он реализован на базе микроконтроллера. Шифропроцессор представляет собой специализированную микросхему или микросхему программируемой логики (PLD — Programmable Logic Device), которая выполняет шифрование данных.

Вообще говоря, УКЗД может иметь несколько шифропроцессоров, например, для взаимного контроля (путем сравнения на лету получаемых зашифрованных или открытых данных) и/или распараллеливания процесса шифрования.

Для генерации ключей шифрования в устройстве предусмотрен аппаратный датчик случайных чисел (ДСЧ), вырабатывающий статистически случайный и непредсказуемый сигнал, преобразуемый затем в цифровую форму. Обмен командами и данными между шифратором и компьютером обеспечивается контроллером, обычно PCI (или другой системной шины в зависимости от интерфейса шифратора).

Взаимодействие шифратора с системной платой ПК осуществляется через контроллер УКЗД. Для хранения ПО микроконтроллера необходима энергонезависимая память, реализованная на одной или нескольких микросхемах. Это же внутреннее ПЗУ используется для записи журнала операций и других целей.

Обычно функции аппаратных шифраторов не ограничиваются только шифрованием, а предоставляют множество дополнительных возможностей (отсюда и более широкое название — УКЗД). Количество и список этих возможностей определяются набором встроенных переключателей, позволяющих настроить конкретные функции устройства согласно требованиям пользователя.

Интерфейсы для подключения ключевых носителей обеспечивают более надежную защиту. В принципе ключи можно хранить и на обычной дискете, но в этом случае они должны считываться через системную шину компьютера, т. е.

теоретически существует возможность их перехвата. Поэтому аппаратные шифраторы обычно снабжают интерфейсом для непосредственного подключения устройств хранения ключей.

В данном случае это разъемы для подключения ридеров смарт-карт и коннекторов для работы с электронными таблетками Touch Memory.

Технология hasp от компании aladdin

О ключах HASP нам согласились рассказать Ави Барир (Avi Barir), вице-президент по продажам программного обеспечения компании Aladdin Knowledge Systems, и Александр Гурин, менеджер отдела технологий компании Aladdin Software Security R.D. (эксклюзивного дистрибьютора компании Aladdin Knowledge Systems в России и СНГ).

Алексей Доля

: Вы не могли бы вкратце рассказать о компании Aladdin Knowledge Systems?

Ави Барир

: Aladdin Knowledge Systems Ltd. Была основана в 1985 году в Израиле. Ее первым продуктом стал HASP. Акции компании с 1993 года доступны в NASDAQ (National Association of Securities Dealers Automated Quotation – американская фондовая биржа, специализирующаяся на акциях высокотехнологичных компаний, одна из трех основных фондовых бирж Америки наряду с NYSE и AMEX).

За последние 6 лет компания Aladdin расширила свою линейку продуктов, добавив 3 новых: Privilege, eSafe и eToken. HASP и Privilege предназначены для рынка поставщиков программного обеспечения и вместе образуют направление коммерческого программного обеспечения.

Продажи продукции компании Aladdin достигли 50 млн. долларов США в 2002 году. Мы продаем свою продукцию, более чем в 100 странах, имеем 11 офисов и 50 дистрибьюторов по всему миру. За время своего существования Aladdin приобрела 8 других компаний в Израиле, Германии, Франции, Японии и США. Эти компании влились в существующую организацию.

Ави Барир, вице-президент по продажам программного обеспечения компании Aladdin Knowledge Systems

Алексей Доля

: Почему ваша компания так называется?

Ави Барир

: Имя компании взято из арабской сказки “Тысяча и одна ночь”, а именно той ее части, которая посвящена герою Аладдину и его магической лампе. Это довольно известная история. Помимо своей славы, сказка имеет скрытый подтекст. Мы верим, что наши продукты, как и сказочный герой, способны удовлетворить самые разные желания пользователей (по аналогии с тремя желаниями, которые исполнял джин из лампы).

Алексей Доля

: Вы не могли рассказать немного о HASP? Вообще, что это такое?

Ави Барир

: HASP расшифровывается как Hardware Against Software Piracy (дословно – аппаратное обеспечение против пиратства в области программного обеспечения). Основой является аппаратный ключ, подключаемый к параллельному или USB порту и защищающий от нелегального использования программного обеспечения (нелегального копирования или использования интеллектуальной собственности, “зашитой” в ПО).

Алексей Доля

: HASP это ваша эксклюзивная технология или кто-то еще ею тоже владеет?

Ави Барир

: Первое поколение HASP было разработано в 1985 году. Это была оригинальная идея компании Aladdin. Насколько нам известно, еще одна или две компании реализовали эту же концепцию в те же годы.

Алексей Доля

: Вы не могли бы концептуально рассказать, как HASP работает?

Ави Барир

: В то время как защищенное приложение исполняется, специальный механизм проверяет наличие HASP-ключа. Если ключ найден, то приложение запускается и нормально работает. Если нет, то приложение либо не будет работать вообще, либо часть его возможностей станет недоступной. Все зависит от того, как защита будет реализована разработчиком или поставщиком ПО.

Сердцем системы HASP является шифрующий алгоритм, который реализован в самом ключе HASP. Во время работы приложение передает зашифрованные данные в ключ. В ключе же находится специальный чип, который и выполняет операцию расшифрования данных. После того как криптографический алгоритм из чипа отработает, данные возвращаются приложению (в открытом виде).

Так что если HASP-ключ подсоединен, приложение получит расшифрованные данные и как-то ими воспользуется. Если ключа нет, то данные останутся в закрытом виде и именно так и будут использованы приложением. Результат такого использования окажется некорректным.

Программное обеспечение можно защитить с помощью ключа HASP двумя основными способами. Первый заключается в использовании автоматического инструмента, который называется Envelope (конверт). В этом случае файлы приложения оборачиваются в наш собственный код, выполняющий следующие операции: проверку наличия ключа HASP (для предотвращения нелегального использования ПО), контроль за выполнением лицензионной политики (которую определяет поставщик программы), шифрование файлов (чтобы усложнить дизассемблирование кода) и внедрение специального кода против отладчиков (это наша новая и во многом уникальная технология).

Вот как выглядит создание защиты с помощью HASP Envelope

Второй способ состоит в применении HASP API. Он позволяет создать свою защиту самостоятельно. HASP API довольны легки в использовании и освоении.

Чтобы обеспечить действительно надежную защиту приложений, мы рекомендуем применять оба вышеописанных способа одновременно. Хотя, конечно, никто не мешает использовать их раздельно.

Александр Гурин

: Я хотел бы кое-что добавить по аппаратным составляющим ключей HASP. Основой данной технологии является заказная микросхема – ASIC (Application Specific Integrated Circuit), либо специализированный защищенный микроконтроллер, имеющие уникальные для каждого ключа алгоритмы работы.

Оба типа чипов оснащены криптопроцессором. Он используется для кодирования и декодирования потоков данных, посылаемых защищенной программой ключу в процессе работы. Это позволяет “привязать” копию программы к конкретному ключу HASP, контролировать процесс распространения, ограничивать количество ее пользователей в сети.

HASP без одежды…

Алексей Доля

: Вы не могли бы рассказать о HASP API подробнее? Насколько сложно их выучить и начать применять?

Александр Гурин

: HASP API представляет собой набор из приблизительно 40 функций, позволяющих в полной мере использовать механизм защиты: кодировать, декодировать данные, осуществлять запись / чтение из памяти ключа, контролировать лицензии при работе в сети и т.д.

Насколько сложно их выучить? Любой программист, овладевший “искусством” вызова функций из внешних библиотек, способен с этим справиться.

Алексей Доля

: Приведите, пожалуйста, пример типовых (наиболее часто используемых) HASP API функций?

Александр Гурин

: Формат вызова, параметры, возвращаемые значения и т.п. подробно описаны в Руководстве разработчика, которое каждый желающий может получить на нашем сайте по ссылке:

Технология sentinel от компании rainbow

На наши вопросы о ключах Sentinel отвечают Том Ибарра, менеджер продуктов Sentinel компании Rainbow Technologies, и Алексей Кузнецов, руководитель отдела продаж московского офиса компании Rainbow Technologies.

Алексей Доля

: Расскажите немного о компании Rainbow Technologies и ее московском офисе.

Том Ибарра

: Rainbow Technologies специализируется на решениях в области информационной безопасности. Компания охватывает два сегмента рынка: eSecurity Products и Secure Communications Products. eSecurity это все те продукты, которые служат для обеспечения безопасности коммерческих продуктов.

То есть решения для надежной идентификации, безопасного Интернета и ускорения беспроводных транзакций, SSL VPN и решений Instant Private Web, защиты ПО от нелегального использования и т.д. Secure Communications это продукты и сервисы, обеспечивающие национальную или военную безопасность (для крупных компаний и правительств), а также решения для защиты секретной информации, персональной аутентификации (для приложений масштаба правительств и корпораций) и т.д.

Том Ибарра, менеджер продуктов Sentinel компании Rainbow Technologies

Алексей Кузнецов

: Московский офис компании Rainbow Technologies был открыт в 1998 году. Главной нашей задачей является обеспечение предприятий и организаций стран СНГ высококачественными решениями в области информационной безопасности.

На основе продуктов лучших зарубежных и отечественных производителей в соответствии с требованиями и пожеланиями заказчика мы предлагаем высоконадёжные, экономически выгодные решения, охватывающие различные аспекты защиты данных, такие как:

обеспечение конфиденциальности данных;
защита локальных сетей от атак из Интернет;
обеспечение безопасного доступа к информационным ресурсам предприятия;
построение виртуальных частных сетей;
обеспечение безопасности транзакций и защита приложений электронного бизнеса.

В предлагаемых нами системах мы опираемся на продукцию и опыт мировых лидеров в области информационной безопасности, таких как Rainbow Technologies, WatchGuard Technologies, Computer Associates, TrendMicro, WebTrends, а также используем совместные разработки ведущих российских компаний.

Эффективность наших решений сегодня могут подтвердить более 3000 предприятий всех форм собственности в России, и более 100 иностранных. Среди них – Счетная палата РФ, Московская телекоммуникационная корпорация “Комкор”, Управление налоговой полиции по г.

Москве, ОКБ “Туполев”, МПС РФ, РАО “ЕЭС России”, ИТАР ТАСС, Ингосстрах, Телекомпания ОРТ, Национальный Банк Белоруссии, Национальный Банк Узбекистана, Samsung Electronics, Danish Crown, а также ряд коммерческих банков, промышленных организаций, предприятий нефте-газовой отрасли и многие другие.

Компания имеет лицензию Гостехкомиссии РФ на деятельность в области защиты информации.

Алексей Кузнецов, руководитель отдела продаж московского офиса компании Rainbow Technologies

Алексей Доля

: Откуда ваша компания берет свое название?

Алексей Кузнецов

: Первым продуктом, который выпустила Rainbow Technologies, было программное обеспечение для управления цветными принтерами (отсюда и название, в переводе на русский, “Радужные Технологии”), но сразу же после этого было выпущено программное обеспечение для защиты программ от нелегального использования.

Инженеры Rainbow Technologies разработали первый ключ в 1984 году и компания вышла на рынок информационной безопасности. Компания сохранила имя “Rainbow Technologies” как символ того, что она предлагает рынку широкий спектр решений в области информационной безопасности.

Алексей Доля

: Недавно стало известно о слиянии Rainbow Technologies с компанией SafeNet. Расскажите немного об этом?

Том Ибарра

: Слияние должно закончиться в первом квартале 2004 года. Новая объединенная компания будет называться SafeNet. Продукты, которые носили бренд компании Rainbow, например, ключи Sentinel, сохранят свое название. Слияние вызвано прямыми потребностями современного бизнеса: пользователи все чаще и чаще ищут комплексные решения, способные удовлетворить максимальному числу требований. Новая компания сможет удовлетворить рынок продуктов для правительственных организаций.

Алексей Кузнецов

Устройство аппаратного шифрования данных с интерфейсом usb (стр. 1 из 12)

Информация — это одна из самых ценных вещей в современной жизни. Появление глобальных компьютерных сетей сделало простым получение доступа к информации. Легкость и скорость доступа к данным с помощью компьютерных сетей, таких как Интернет, сделали значительными следующие угрозы безопасности данных:

− неавторизованный доступ к информации;

− неавторизованное изменение информации;

− неавторизованный доступ к сетям и другим сервисам;

Вне зависимости от того, насколько ценна информация, хранящаяся на компьютере, законодательством она признается объектом частной собственности. Владелец этой информации, имеет право определять правила ее обработки и зашиты, а также предпринимать необходимые меры для предотвращения утечки, хищения, утраты и подделки информации.

На сегодняшний день для защиты информации от несанкционированного доступа применяются программные, аппаратные и программно-аппаратные средства.

Программная реализация системы защиты информации имеет низкую стоимость, но качество защиты данных невысокое. Аппаратная реализация, обеспечивает более высокое качество защиты информации, но цена таких технических решений возрастает.

Программно-аппаратные системы для защиты информации предоставляют пользователю гибкость настройки и высокую защищенность данных.

Программно-аппаратная криптосистема состоит из электронного устройства, которое подключается к персональному компьютеру и программного обеспечения для работы с устройством.

В таких системах выполнение функций, некритичных к скорости работы и безопасности, перекладывается на программное обеспечение, что способствует снижению их стоимости.

Целью данной работы является создание программно-аппаратного комплекса, который обеспечивает надежную защиту информации и не создает неудобств при эксплуатации.