Artículos

Análisis comparativo de medios clave protegidos.

Análisis comparativo de medios clave protegidos.

Análisis comparativo de medios clave protegidos

Análisis comparativo de medios clave protegidos

El desarrollo de la tecnología de la información ha llevado al surgimiento del problema del almacenamiento de información clasificada. La cuestión se agudizó especialmente con el desarrollo de Internet, la aparición de tecnologías para el flujo de documentos legalmente significativos, la transmisión de declaraciones fiscales a través de la red, etc. Todo esto requiere el uso de métodos criptográficos para proteger la información: firmas digitales, certificados de usuario que utilizan el protocolo X.509 y cifrado. Este enfoque puede proteger los datos que se transmiten, pero ¿quién o qué protegerá la información que utilizan los protocolos criptográficos, es decir, los datos clave?

La misma situación surge cuando un usuario está autorizado en una computadora. Un atacante puede obtener una contraseña desprotegida y todo el sistema quedará comprometido. La cuestión adquiere importancia cuando se trata de estaciones de trabajo de redes corporativas, donde circula información confidencial, datos personales y secretos comerciales.

El problema del almacenamiento de información clasificada está resuelto:
— fichas USB;
— Memoria táctil;
— Tarjetas inteligentes.

Los medios de almacenamiento seguros le permiten organizar la identificación de dos factores del usuario, cuando para ingresar al sistema debe proporcionar una contraseña o código PIN del medio de almacenamiento y del propio dispositivo.

Se distinguen las siguientes posibilidades de uso de medios de almacenamiento:
— Autenticación de usuarios en el sistema operativo, servicios de directorio y redes (sistemas operativos Microsoft, Linux, Unix, Novell).
— Proteger las computadoras de descargas no autorizadas.
— Estricta autenticación de usuarios, control de acceso, protección de datos transmitidos a través de la red en recursos web (tiendas online, comercio electrónico).
— Correo electrónico: generación de firma digital y cifrado de datos, control de acceso, protección con contraseña.
— Sistemas de cifrado de clave pública (PKI), autoridades de certificación: almacenamiento de certificados X.509, almacenamiento confiable y seguro de información clave, información importante — reduciendo el riesgo de comprometer la clave privada.
— Organización de canales seguros de transmisión de datos (tecnología VPN, protocolos IPSec y SSL): autenticación de usuarios, generación de claves, intercambio de claves.
— Sistemas de flujo de documentos: creación de un flujo de documentos seguro y legalmente significativo mediante firma digital y cifrado (transferencia de informes fiscales, contratos y otra información comercial a través de Internet).
— Aplicaciones comerciales, bases de datos, sistemas ERP: autenticación de usuarios, almacenamiento de información de configuración, firma digital y cifrado de datos transmitidos y almacenados.
— Sistemas cliente-banco, pagos electrónicos: garantizar la importancia legal de las transacciones completadas, estricta autenticación mutua y autorización de los clientes.
— Criptografía: garantizar el uso conveniente y el almacenamiento seguro de información clave en herramientas certificadas de protección de información criptográfica (proveedores de criptografía y bibliotecas de criptografía).
— Acceso a terminales y clientes ligeros: autenticación de usuarios, almacenamiento de parámetros y configuración de sesión.
— Cifrado de disco: delimitación y control del acceso a datos protegidos, autenticación de usuarios, almacenamiento de claves de cifrado.
— Cifrado de datos en discos: autenticación de usuario, generación de claves de cifrado, almacenamiento de información clave.
— Soporte para aplicaciones heredadas y reemplazo de la protección con contraseña por una autenticación de dos factores más sólida.

— Un token USB es un medio de almacenamiento similar a una unidad flash USB.  Los representantes destacados de este tipo de medios de almacenamiento seguro son eToken y ruToken, desarrollados por las empresas Aladdin y Active, respectivamente.

eToken

token electrónico — medios personales de autenticación estricta y almacenamiento de datos, cuyo hardware admite el trabajo con certificados digitales y firmas digitales. Este dispositivo es un desarrollo de la empresa Aladdin y está disponible en dos formatos: token USB y tarjeta inteligente. En ambos casos, la interacción de los medios con varias aplicaciones de software de seguridad tiene una estructura única, que se presenta.

Aladdin presenta una serie de productos que tienen sus propias ventajas y propósitos:

— eToken PRO;

— eToken PRO (Java);

— eToken GOST;

— eToken NG-FLASH;

— eToken NG-OTP;

— CryptoPro eToken CSP.

 eToken puede actuar como una tarjeta corporativa única, utilizada para la identificación visual de un empleado, para acceder a las instalaciones, para iniciar sesión en una computadora, una red, para acceder a datos protegidos, para proteger documentos electrónicos (firma digital, cifrado), para establecer seguridad conexiones (VPN, SSL), para realizar transacciones financieras.

eToken PRO

eToken PRO es un dispositivo seguro diseñado para una autenticación sólida, almacenamiento seguro de datos confidenciales, realización de cálculos criptográficos y trabajo con claves asimétricas y certificados digitales. La llave USB se implementa sobre la base de un chip de tarjeta inteligente. eToken PRO incluye una implementación de hardware de los criptoalgoritmos RSA 1024/2048, DES/56, TripleDES/168, SHA-1, MAC, iMAC. La generación de pares de claves RSA 1024/2048 también está implementada en hardware. Dependiendo de la modificación, el dispositivo incluye 32 o 64 KB de memoria protegida.

eToken PRO (Java)

Un dispositivo más avanzado es eToken PRO (Java), basado en el chip de tarjeta inteligente Atmel AT90SC25672RCT. Esta clave está equipada con el sistema operativo de tarjeta inteligente Athena OS755 con una máquina virtual Java que es totalmente compatible con el estándar Sun Java Card. Interfaces y estándares compatibles: PKCS#11 versión 2.01, Microsoft CryptoAPI, PC/SC, compatibilidad con certificados estándar X.509 v3; SSLv3, IPSec/IKE; CCID de Microsoft; Minicontrolador eToken.

Esta versión implementa los siguientes algoritmos en hardware: RSA 1024/2048, DES, 3DES, SHA-1.

A diferencia de eToken PRO, la memoria protegida de este dispositivo se amplía a 72 KB y es posible cargar sus propios subprogramas de Java, para cuyo desarrollo Aladdin proporciona el kit de desarrollo eToken Java Card SDK.

eToken GOST

eToken GOST se basa en eToken PRO (Java), que le permite descargar y ejecutar subprogramas de Java en los medios. Este dispositivo se envía con los sistemas operativos Java Card Platform Especificación 2.2.1 y Global Platform 2.1.1. Una característica importante de este modelo son los algoritmos criptográficos rusos implementados en hardware:
— Desarrollo de un par de claves, formación de una firma electrónica, verificación de una firma electrónica de acuerdo con GOST R 34.10-2001.
— Cálculo de la función hash de acuerdo con GOST R 34.11-94.
— Cifrado simétrico según GOST 28147-89 en los modos de sustitución simple y generación de inserción imitativa.
— Generación de una clave de comunicación por pares mediante el algoritmo Diffie-Hellman de acuerdo con RFC 4357.
— Generando una secuencia de números aleatorios.

— eToken GOST se suministra en 4 tipos:
— La llave USB eToken GOST tiene forma de llavero y está conectada directamente al puerto USB.
— La tarjeta inteligente eToken GOST/SC se puede utilizar con cualquier lector estándar compatible con PC/SC.
— Llave USB combinada eToken GOST/Flash con un módulo de memoria Flash adicional de hasta 4 GB.
— Llave USB combinada eToken GOST/OTP con generador de contraseñas de un solo uso.

eToken NG-FLASH

El dispositivo eToken NG-FLASH se diferencia de sus homólogos por la presencia de memoria Flash incorporada, cuyo tamaño puede ser de 512 MB, 1 GB, 2 GB o 4 GB. Por esta razón, este medio solo está disponible en forma de llave USB (los dispositivos eToken anteriores están disponibles en dos factores de forma: llave USB y tarjeta inteligente). eToken NG-FLASH se basa en el chip de tarjeta inteligente Infineon SLE66CX642 con 64 KB de memoria y el sistema operativo Siemens CardOS 4.20B. El dispositivo implementa algoritmos criptográficos de hardware RSA/2048, RSA/1024, DES, 3DES, SHA-1.

Si la cantidad de memoria Flash es lo suficientemente grande, se puede grabar una imagen del sistema operativo en una llave USB, que se puede cargar para usar en una computadora. En este caso, parte de la memoria del eToken NG-FLASH se puede proteger mediante diferenciación de derechos, permitiendo que el área correspondiente sea de solo lectura. Esto se puede hacer usando la herramienta de partición NG-FLASH de eToken, que le permite particionar la memoria Flash en dos áreas: solo lectura y lectura/escritura. En un área de solo lectura, puede preinstalar las aplicaciones que el usuario necesita y definir un archivo de configuración para su inicio automático. En este caso, al conectar eToken NG-FLASH a una computadora, el área de la memoria Flash se reconocerá como dos unidades lógicas. Las aplicaciones se iniciarán automáticamente desde un disco de solo lectura/escritura.

Si es necesario, la memoria Flash del dispositivo se puede redistribuir entre áreas (con la pérdida del contenido actual de cada área) y el usuario la puede reinicializar.

eToken NG-OTP

La funcionalidad de eToken NG-OTP es similar a eToken PRO e incluye algoritmos criptográficos implementados en hardware RSA/2048, RSA/1024, DES, 3DES, SHA-1, SHA-1 HMAC, y también es capaz de generar RSA/2048 y Pares de claves RSA en hardware /1024. La diferencia entre este dispositivo es la presencia de un generador de contraseñas de un solo uso integrado basado en el algoritmo HMAC. El dispositivo está equipado con un botón y una pantalla para mostrar las contraseñas de un solo uso generadas, tiene baterías integradas y un indicador luminoso de modos de funcionamiento, de los cuales puede haber dos:
— conectado a un puerto USB (capacidades de tarjeta inteligente + generación OTP);
— independiente (solo generación OTP).

Como resultado del modo fuera de línea, el usuario puede autenticarse en el sistema sin la posibilidad de conectar una llave USB a la computadora escribiendo el token de contraseña que se muestra en la pantalla del teclado.

eToken NG-OTP se emite únicamente en forma de llave USB en dos modificaciones: con un tamaño de memoria de 32 KB y 64 KB.

CryptoPro eToken CSP

CryptoPro eToken CSP es una solución de software y hardware escrita para generar firmas digitales de acuerdo con GOST R 34.10-2001 con total compatibilidad con CryptoPro CSP. La solución proporciona un conjunto completo de operaciones criptográficas implementadas en CIPF CryptoPro CSP 3.6 y una integración completa con la infraestructura PKI basada en CryptoPro CA. Además, todas las operaciones con claves privadas EDS se realizan en hardware, dentro del chip eToken, las claves privadas nunca salen del chip y no pueden ser interceptadas; La clave privada del usuario tiene una validez de hasta 3 años.

CryptoPro eToken CSP resiste ataques destinados a sustituir el valor hash del documento que se está firmando, sustituyendo el valor de la firma en sí (por ejemplo, durante el acceso al terminal), así como seleccionando un código PIN. La solución admite un protocolo de intercambio seguro entre los. Clave de hardware de eToken y componentes de software de CryptoPro CSP (tecnología para trabajar con medios de clave funcional — FKN).

Los desarrolladores permiten la posibilidad de integrar adicionalmente una etiqueta de radio RFID pasiva en llaves USB o tarjetas inteligentes eToken durante la producción de medios. La presencia de RFID permite a un empleado de una empresa controlar el acceso físico a las instalaciones utilizando el sistema de control de acceso disponible en la organización. Actualmente, RFID se puede integrar en tarjetas inteligentes eToken PRO, llaves USB eToken PRO, eToken NG-OTP y eToken NG-FLASH. Se admiten los siguientes tipos de etiquetas de radio: EMMarin, HID, Mifare std 1k, BIM 002 (etiqueta), KIBI 002 MT (tarjeta), Bewator Cotag, i-Class, i-Code, INDALA (FlexISO).

La presencia de RFID en el token obliga al usuario a retirar la llave del ordenador cuando se desplaza por la empresa, ya que sin ella no podrá acceder a otros locales. Esto elimina el problema de la negligencia de los empleados (puede dejar la computadora con pleno acceso a su información), ya que cuando se retira la llave USB del puerto o la tarjeta inteligente del lector, el sistema operativo se bloquea.

Los productos Aladdin tienen muchos certificados de seguridad, incluidos los certificados de FSTEC de Rusia. Puede encontrar información más detallada en el sitio web del fabricante en http://aladdin.ru/catalog/etoken/certificates/.

Rutoken

Rutoken fue desarrollado por las empresas Aktiv y Ankad teniendo en cuenta los requisitos modernos para los dispositivos de seguridad de la información. A diferencia de eToken, este dispositivo se suministra exclusivamente en forma de llave USB y está dirigido a consumidores rusos. El principio de funcionamiento y finalidad es similar al de eToken, por lo que no nos centraremos en este tema.

Características clave:
— Basado en un microcontrolador seguro;
— Interfaz: USB;
— Memoria EEPROM: 32, 64 y 128 KB;
— Dimensiones totales: 58x16x8 mm;
— Peso: 6,3 gramos;
— número de serie único de 32 bits;
— Sistemas operativos compatibles: Windows 98/ME/2000/XP/2003/Vista, Linux;
— Compatibilidad con estándares: ISO/IEC 7816, PC/SC, GOST 28147-89, Microsoft Crypto API y Microsoft Smartcard API, PKCS#11 (v. 2.10+);
— Propio proveedor de servicios criptográficos y proveedor de servicios ICC con conjuntos estándar de interfaces y funciones API;

Posibilidad de integración en cualquier producto de software orientado a tarjetas inteligentes (correo electrónico, Internet, sistemas de pago, etc.).

De las características anteriores cabe destacar un mayor volumen de memoria segura incorporada en comparación con eToken y la capacidad de admitir sistemas operativos Linux.

Rutoken Magistra

Rutoken Magistra se basa en el microcontrolador seguro ST19NR66 de STMicroelectronics. El dispositivo tiene un sistema operativo Magistra integrado que utiliza un módulo criptográfico certificado por el FSB ruso. Rutoken Magistra implementa los siguientes algoritmos criptográficos: GOST 28147-89, GOST R 34.11-94, GOST R 34.10-2001, DES/3DES, SHA-1, RSA 1024.

Rutoken para CryptoPro CSP

Al igual que CryptoPro eToken CSP, Rutoken se utiliza para el almacenamiento seguro de certificados digitales y claves EDS privadas y el cifrado de usuarios de CryptoPro CSP y CryptoPro Winlogon. Gracias a la memoria ampliada de Rutoken (hasta 128 KB), este dispositivo puede almacenar hasta 31 contenedores de claves.

Rutoken para CryptoPro JCP

La instalación de la solución Rutoken para CryptoPro JCP le permite utilizar identificadores de Rutoken como medio clave para el proveedor de cifrado Java multiplataforma de la empresa Crypto-Pro. Esta solución de hardware y software puede ejecutarse en los siguientes sistemas operativos: Microsoft Windows XP/2003/Vista/7/2008 (32 y 64 bits), GNU/Linux y Mac OS X 10.5 Leopard.

CSP CryptoPro Rutoken

Esta solución de software y hardware le permite no sólo almacenar certificados de usuario en una llave USB, sino también realizar operaciones con claves privadas dentro del dispositivo. Para ello, se implementan en hardware los siguientes algoritmos: generación de claves de acuerdo con GOST R 34.10-2001, generación de una firma digital electrónica de acuerdo con GOST R 34.10-2001 y cálculo de la clave del acuerdo Diffie-Hellman (RFC 4357) . CIPF CryptoPro Rutoken CSP se implementa sobre la base del software Rutoken EDS y CryptoPro.

Rutoken EDS

Rutoken EDS es una implementación de hardware del estándar ruso de firma digital electrónica y un diseño probado de identificadores Rutoken. Este dispositivo es compatible con GOST R 34.10-2001, GOST 34.11-94, GOST 28147-89, generación de claves de sesión (pares de claves de comunicación) según el esquema VKO GOST R 34.10-2001 (RFC4357) y el algoritmo RSA con claves hasta 2048 bits. Rutoken EDS admite 3 categorías de propietarios: Administrador, Usuario e Invitado. Este producto viene con una capacidad de memoria única de 64 KB.

Debido al cálculo de la firma digital dentro del token, la clave de firma privada no sale del dispositivo. Esto elimina la posibilidad de que la clave se vea comprometida y aumenta la seguridad general del sistema.

Rutoken Flash

Este dispositivo es un análogo del eToken NG-FLASH, es decir. de la misma forma incluye tanto las propiedades principales de Rutoken como la memoria Flash. Sin embargo, en comparación con eToken NG-FLASH, este producto sólo viene con 2 GB de memoria. Además, si es necesario, al solicitar Rutoken Flash, puede especificar la cantidad de memoria Flash de 4 y 8 GB, luego se aumentará.

El volumen de memoria protegida de Rutoken Flash es de 32 KB. Al mismo tiempo, el dispositivo admite el cifrado transparente del sistema de archivos según GOST 28147-89. La velocidad promedio de escritura es de 5,8 MB/seg y la velocidad de lectura es de 29,3 MB/seg.

Rutoken RF

Rutoken RF, además de la funcionalidad del portador de llaves, incluye una etiqueta de radio RFID. La ventaja de este dispositivo sobre otros es la misma que la del eToken RFID. Los siguientes RFID se pueden integrar en Rutoken RF: EMMarine, Mifare, HID e Indala. Además, con cada etiqueta de radio, Rutoken se puede suministrar con una capacidad de memoria de 32, 64 y 128 KB.

La presencia de certificados de FSTEC y FSB de Rusia le permite utilizar Rutoken para aprobar con éxito la certificación laboral de empleados de empresas comerciales y estatales. Puede encontrar información más detallada sobre la certificación del producto en el sitio web del fabricante en http://rutoken.ru/products/certification/.

 

iButton

Otro dispositivo para almacenar datos clave es el iButton (conocido popularmente como “tableta”), desarrollado por Dallas Semiconductor. Actualmente, estos dispositivos son producidos por Maxim.

Cada iButton está encerrado en una caja MicroCan cilíndrica de acero sellada y tiene un número único (ID) registrado durante el proceso de fabricación. Todos los dispositivos iButton están fabricados según estándares estrictos y pueden soportar cargas mecánicas severas (500 G) y de temperatura (rango de temperatura de funcionamiento de -40 °C a +85 °C; temperatura de almacenamiento de -55 °C a + 125 °C).

iButton está diseñado para 1 millón de ciclos de escritura/lectura y los datos se pueden almacenar en el dispositivo por hasta 10 años.

Para conectar el iButton a una computadora, se necesita un lector adicional es necesario, que se conecta según el tipo de lector a los puertos RS232 y USB.

Los dispositivos iButton tienen diferente memoria integrada según el tipo de dispositivo:
DS-1990 no tiene memoria y se utiliza para identificar al propietario mediante un número único;
DS-1991 – 64 bytes;
DS-1992 — 1 Kbit;
DS-1993 — 4 Kbits;
DS-1994 — con temporizador y memoria no volátil de 4 Kbit;
DS-1995 — 16 Kbps;
DS-1996 — 64 Kbit.

Tarjetas inteligentes

Las tarjetas inteligentes son tarjetas de plástico con un microchip incorporado. En la mayoría de los casos, las tarjetas inteligentes contienen un microprocesador y un sistema operativo que controla el dispositivo y accede a los objetos de su memoria. Además, las tarjetas inteligentes suelen tener la capacidad de realizar cálculos criptográficos. Un ejemplo de dichos dispositivos que utilizan almacenamiento de información clave y algoritmos criptográficos son las tarjetas inteligentes Aladdin (eToken PRO, etc., todos los detalles se describen arriba).

Las tarjetas inteligentes pueden ser de contacto o sin contacto. Estos últimos se suelen utilizar para identificar al usuario en sistemas de control de acceso.

Las tarjetas inteligentes de contacto se pueden utilizar como portadoras de información clave. Sin embargo, para utilizarlos es necesaria una conexión adicional del dispositivo lector al ordenador, incluida la instalación de los drivers adecuados.

Las principales ventajas y desventajas de los principales tipos de Los medios de información clave se pueden enumerar en la tabla.

La elección de un dispositivo en particular depende del propósito de su uso y del entorno. En zonas con bajas temperaturas, así como cuando se utiliza en exteriores (acceso a locales, territorio), se requiere el uso de medios confiables como iButton. Sin embargo, la alta funcionalidad de las memorias USB y las tarjetas inteligentes tiene sus ventajas. Su uso es beneficioso en las oficinas con el fin de organizar el flujo de documentos legalmente significativos.

Evgeniy Viktorovich Tychinin, director de la empresa Recurs

Diario «Director de Seguridad», agosto de 2010

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять