Сравнительный анализ защищенных ключевых носителей.
Сравнительный анализ защищенных ключевых носителей
Развитие информационных технологий привело к появлению проблемы хранения закрытой информации. Особенно остро вопрос встал с развитием сети Интернет, появлением технологий юридически значимого документооборота, передачи налоговой отчетности по сети и т.д. Все это требует использования криптографических методов защиты информации: электронно-цифровой подписи, сертификатов пользователя по протоколу X.509 и шифрования. Такой подход может защитить передаваемые данные, но кто или что защитит ту информацию, которая используется криптографическими протоколами, а именно ключевые данные?
Та же ситуация возникает при авторизации пользователя на компьютере. Незащищенный пароль может попасть к злоумышленнику, и вся система будет скомпрометированной. Вопрос становится значимым, когда речь идет о рабочих станциях корпоративной сети, где циркулирует конфиденциальная информация, персональные данные и коммерческая тайна.
Проблема хранения закрытой информации решается:
— USB-токенами;
— TouchMemory;
— Смарт-картами.
Защищенные носители информации позволяют организовать двухфакторную идентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство.
Выделяют следующие возможности использования носителей информации:
— Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell).
— Защита компьютеров от несанкционированной загрузки.
— Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция).
— Электронная почта – формирование ЭЦП и шифрование данных, контроль доступа, защита паролей.
— Системы шифрования с открытым ключом (PKI), удостоверяющие центры – хранение сертификатов X.509, надёжное и безопасное хранение ключевой информации, значительное — снижение риска компрометации закрытого ключа.
— Организация защищённых каналов передачи данных (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами.
— Системы документооборота – создание юридически значимого защищённого документооборота с использованием ЭЦП и шифрования (передача налоговой отчетности, договоров и прочей коммерческой информации по сети Интернет).
— Бизнес-приложения, базы данных, ERP-системы – аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных.
— Системы «Клиент-Банк», электронные платежи – обеспечение юридической значимости совершённых транзакций, строгая взаимная аутентификация и авторизация клиентов.
— Криптография – обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации (криптопровайдеры и криптобиблиотеки).
— Терминальный доступ и тонкие клиенты – аутентификация пользователей, хранение параметров и настроек сеанса работы.
— Шифрование дисков – разграничение и контроль доступа к защищённым данным, аутентификация пользователей, хранение ключей шифрования.
— Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации.
— Поддержка унаследованных приложений и замены парольной защиты на более надежную двухфакторную аутентификацию.
— USB-токен представляет собой носитель информации по виду, напоминающий USB-флешку. Яркими представителями данного типа защищенных носителей информации являются eToken и ruToken, разработчиками которых являются компании Aladdin и Актив соответственно.
eToken
eToken — персональное средство строгой аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. Данное устройство является разработкой компании Aladdin и выпускается в двух форм-факторах: USB-токен и смарт-карта. В обоих случаях взаимодействие носителей с различными программными приложениями безопасности имеет единую структуру, которая представлена.
Компания Aladdin представляет ряд продуктов, имеющих свои преимущества и назначения:
— eToken PRO;
— eToken PRO (Java);
— eToken ГОСТ;
— eToken NG-FLASH;
— eToken NG-OTP;
— КриптоПро eToken CSP.
eToken может выступать в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций.
eToken PRO
eToken PRO представляет собой защищенное устройство, предназначенное для строгой аутентификации, безопасного хранения секретных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами. USB-ключ реализован на базе микросхемы смарт-карты. eToken PRO включает в себя аппаратную реализацию криптоалгоритмов RSA 1024/2048, DES/56, TripleDES/168, SHA-1, MAC, iMAC. Также аппаратно реализована генерация ключевых пар RSA 1024/2048. В зависимости от модификации устройство включает в себя защищенную память на 32 или 64 КБ.
eToken PRO (Java)
Более развитым устройством является eToken PRO (Java), изготовленный на основе микросхемы смарт-карты Atmel AT90SC25672RCT. На этот ключ установлена операционная система смарт-карты Athena OS755 с виртуальной машиной Java полностью совместимой со стандартом Sun Java Card. Поддерживаемые интерфейсы и стандарты: PKCS#11 версии 2.01, Microsoft CryptoAPI, PC/SC, поддержка сертификатов стандарта X.509 v3; SSL v3, IPSec/IKE; Microsoft CCID; eToken Minidriver.
В этой версии аппаратно реализованы следующие алгоритмы: RSA 1024/2048, DES, 3DES, SHA-1.
В отличие от eToken PRO защищенная память этого устройства расширена до 72 КБ и появляется возможность загрузки собственных Java-аплетов, для разработки которых Aladdin предоставляет комплект разработчика eToken Java Card SDK.
eToken ГОСТ
eToken ГОСТ выполнен на базе eToken PRO (Java), что позволяет загружать и выполнять на носителе Java-аплеты. Это устройство поставляется с операционными системами Java Card Platform Specification 2.2.1 и Global Platform 2.1.1. Важной особенностью этой модели являются аппаратно реализованные российские криптографические алгоритмы:
— Выработка ключевой пары, формирование ЭЦП, проверка ЭЦП в соответствии с ГОСТ Р 34.10-2001.
— Вычисление хэш-функции в соответствии с ГОСТ Р 34.11-94.
— Симметричное шифрование в соответствии с ГОСТ 28147-89 в режимах простой замены и выработки имитовставки.
— Выработка ключа парной связи по алгоритму Диффи-Хеллмана в соответствии с RFC 4357.
— Генерация последовательности случайных чисел.
— eToken ГОСТ поставляется в 4-х видах:
— USB-ключ eToken ГОСТ выполнен в виде брелка и напрямую подключается к порту USB.
— Смарт-карта eToken ГОСТ/SC может использоваться с любым стандартным PC/SC совместимым ридером.
— Комбинированный USB-ключ eToken ГОСТ/Flash с дополнительным модулем Flash-памяти объемом до 4 ГБ.
— Комбинированный USB-ключ eToken ГОСТ/OTP с генератором одноразовых паролей.
eToken NG-FLASH
От своих атьев устройство eToken NG-FLASH отличается наличием встроенной Flash-памяти, размер которой может быть 512МБ, 1ГБ, 2ГБ или 4ГБ. По этой причине этот носитель выпускается только в виде USB-ключа (предыдущие устройства eToken выпускаются в двух форм-факторах: USB-ключ и смарт-карта). eToken NG-FLASH выполнен на базе микросхемы смарт-карты Infineon SLE66CX642 с памятью 64 КБ и операционной системой Siemens CardOS 4.20B. В устройстве аппаратно реализованы криптографические алгоритмы RSA/2048, RSA/1024, DES, 3DES, SHA-1.
При достаточно большом объеме Flash-памяти на USB-ключ может быть записан образ операционной системы, который может загружаться для работы на компьютере. При этом часть памяти eToken NG-FLASH может быть защищена разграничением прав, разрешив соответствующую область только для чтения. Это можно сделать с помощью утилиты eToken NG-FLASH Partition Tool, которая позволяет размечать Flash-память на две области: только для чтения и область, доступная для чтения/записи. В области, доступной только для чтения, можно предустановить необходимые пользователю приложения и определить конфигурационный файл для их автозапуска. В этом случае при подсоединении eToken NG-FLASH к компьютеру область Flash-памяти будет распознана как два логических диска. С диска, доступного только для чтения/записи, будет произведён автозапуск приложений.
При необходимости, Flash-память устройства может быть перераспределена между областями (с потерей текущего содержимого каждой из областей) и инициализирована заново самим пользователем.
eToken NG-OTP
По функциональности eToken NG-OTP аналогичен eToken PRO и включает в себя аппаратно реализованные криптографические алгоритмы RSA/2048, RSA/1024, DES, 3DES, SHA-1, SHA-1 HMAC, а также способен аппаратно генерировать ключевые пары RSA/2048 и RSA/1024. Отличие данного устройства состоит в наличие встроенного генератора одноразовых паролей, основанного на алгоритме HMAC. Устройство оснащено кнопкой и дисплеем для отображения сгенерированных одноразовых паролей, имеет встроенные элементы питания и световой индикатор режимов работы, которых может быть два:
— подсоединенный к USB-порту (возможности смарт-карты + генерация OTP);
— автономный (только генерация OTP).
В результате наличия автономного режима пользователь может проходить авторизацию в системе без возможности подключения USB-ключа к компьютеру путем набора на клавиатуре отображаемого на дисплее токена пароля.
eToken NG-OTP выпускается только в виде USB-ключа в двух модификациях: с размером памяти 32 КБ и 64 КБ.
КриптоПро eToken CSP
КриптоПро eToken CSP представляет собой программно-аппаратное решение, написанное для формирования ЭЦП по ГОСТ Р 34.10-2001 с полной совместимостью с КриптоПро CSP. Решение обеспечивает полный набор криптографических операций, реализованный в СКЗИ КриптоПро CSP 3.6 и полную интеграцию с инфраструктурой PKI на базе КриптоПро УЦ. При этом все операции с закрытыми ключами ЭЦП выполняются аппаратно, внутри чипа eToken, сами закрытые ключи никогда не покидают чип и не могут быть перехвачены. Срок дефствия закрытого ключа пользователя – до 3-х лет.
КриптоПро eToken CSP противостоит атакам, направленным на подмену значения хэш-функции подписываемого документа, подмену значения самой подписи (например, при терминальном доступе),а так же на подбор PIN-кода.В решении реализована поддержка защищенного протокола обмена между аппаратным ключом eToken и программными компонентами КриптоПро CSP (технология работы с функциональным ключевым носителем — ФКН).
Разработчики допускают возможность встраивания дополнительно в USB-ключи или смарт-карты eToken пассивной радио-метки RFID при изготовлении носителей. Наличие RFID позволяет проходить сотруднику предприятия контроль физического доступа в помещение с помощью СКУД, имеющейся в организации. На данный момент RFID могут быть встроены в смарт-карты eToken PRO, USB-ключи eToken PRO, eToken NG-OTP и eToken NG-FLASH. Поддерживается возможность имплантации следующих типов радио-меток: EMMarin, HID, Mifare std 1k, БИМ 002 (метка), КИБИ 002 МТ (карта), Bewator Cotag, i-Class, i-Code, INDALA (FlexISO).
Наличие RFID в токене заставляет пользователя вынимать ключ из компьютера при перемещении по территории предприятия, поскольку без него он не сможет попасть в другие помещения. Это устраняет проблему халатности сотрудника (может оставить компьютер с полным доступом к его информации), поскольку при вынимании USB-ключа из порта или смарт-карты из ридера происходит блокировка операционной системы.
Продукция компании Aladdin имеет множество сертификатов безопасности, в том числе сертификаты ФСТЭК России. Более подробную информацию можно узнать на сайте производителя по адресу http://aladdin.ru/catalog/etoken/certificates/.
Rutoken
Rutoken разработан компаниями «Актив» и «Анкад» с учетом современных требований к устройствам защиты информации. В отличие от eToken это устройство поставляется исключительно в виде USB-ключа и ориентировано на российского потребителя. Принцип работы и назначение аналогичен eToken, поэтому не будем фокусироваться на этом вопросе.
Основные характеристики:
— Базируется на защищенном микроконтроллере;
— Интерфейс: USB;
— EEPROM память: 32, 64 и 128 Кбайт;
— Габаритные размеры: 58х16х8 мм;
— Масса: 6,3 г;
— 32-битовый уникальный серийный номер;
— Поддерживаемые ОС: Windows 98/ME/2000/XP/2003/Vista, Linux;
— Поддержка стандартов: ISO/IEC 7816, PC/SC, ГОСТ 28147-89, Microsoft Crypto API и Microsoft Smartcard API, PKCS#11 (v. 2.10+);
— Собственные Crypto Service Provider и ICC Service Provider со стандартными наборами интерфейсов и функций API;
Возможность интеграции в любые smartcard-ориентированные программные продукты (e-mail-, internet-, платежные системы и т. п.).
Стоит отметить из вышеперечисленных характеристик больший объем встроенной защищенной памяти по сравнению с eToken и возможность поддержки операционных систем Linux.
Rutoken Magistra
Rutoken Magistra выполнен на базе защищенного микроконтроллера ST19NR66 компании STMicroelectronics. В устройство встроена операционная система «Магистра», использующая криптографический модуль, сертифицированный ФСБ России. В Rutoken Magistra реализованы следующие криптографические алгоритмы: ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001, DES/3DES, SHA-1, RSA 1024.
Rutoken для КриптоПро CSP
Как и КриптоПро eToken CSP, Rutoken используется для безопасного хранения цифровых сертификатов и закрытых ключей ЭЦП и шифрования пользователей КриптоПро CSP и КриптоПро Winlogon. Благодаря расширенной памяти Rutoken (до 128 КБ), это устройство может хранить до 31 ключевого контейнера.
Rutoken для КриптоПро JCP
Установка решения Rutoken для КриптоПро JCP позволяет использовать идентификаторы Rutoken в качестве ключевых носителей для кросс-платформенного Java-криптопровайдера компании Крипто-Про. Данное программно-аппаратное решение может работать на следующих операционных системах: Microsoft Windows XP/2003/Vista/7/2008 (32 и 64 битные), GNU/Linux и Mac OS X 10.5 Leopard.
КриптоПро Рутокен CSP
Данное программно-аппаратное решение позволяет не только хранить на USB-ключе сертификаты пользователей, но выполнять операции на закрытых ключах внутри устройства. Для этого аппаратно реализованы следующие алгоритмы: генерация ключей по ГОСТ Р 34.10-2001, формирование электронной цифровой подписи по ГОСТ Р 34.10-2001 и вычисление ключа согласования Диффи-Хеллмана (RFC 4357). CКЗИ КриптоПро Рутокен CSP реализовано на базе Рутокен ЭЦП и программного обеспечения КриптоПро.
Rutoken ЭЦП
Rutoken ЭЦП — это аппаратная реализация российского стандарта электронной цифровой подписи и проверенный конструктив идентификаторов Rutoken. Данное устройство поддерживает ГОСТ Р 34.10-2001, ГОСТ 34.11-94, ГОСТ 28147-89, выработку сессионных ключей (ключей парной связи) по схеме VKO GOST R 34.10-2001 (RFC4357) и алгоритм RSA с ключами до 2048 бит. Rutoken ЭЦП поддерживает 3 категории владельцев: Администратор, Пользователь и Гость. Данный продукт поставляется с единственным объемом памяти – 64 КБ.
Благодаря вычислению ЭЦП в пределах токена, закрытый ключ подписи не покидает пределов устройства. Это исключает возможность компрометации ключа и увеличивает общую безопасность системы.
Rutoken Flash
Это устройство является аналогом eToken NG-FLASH, т.е. таким же образом включает в себя как основные свойства Rutoken, так и Flash-память. Однако по сравнению с eToken NG-FLASH данный продукт поставляется с объемом памяти лишь 2 Гб. При этом в случае необходимости при заказе Rutoken Flash можно указать объем Flash-памяти 4 и 8 Гб, тогда она будет увеличена.
Объем защищенной памяти Rutoken Flash составляет 32 Кб. При этом устройство поддерживает прозрачное шифрование файловой системы по ГОСТ 28147-89. Средняя скорость записи составляет 5,8 МБ/сек, а чтения – 29,3 МБ/сек.
Rutoken RF
Rutoken RF дополнительно к функциональности ключевого носителя включает в себя радио-метку RFID. Преимущество этого устройства над остальными является таким же, как и у eToken RFID. В Rutoken RF могут быть интегрированы следующие RFID: EMMarine, Mifare, HID и Indala. При этом с каждой радио-меткой Rutoken может поставляться с объемом памяти 32, 64 и 128 Кб.
Наличие сертификатов ФСТЭК и ФСБ России позволяет использовать Rutoken для успешного прохождения аттестации рабочих мест сотрудников как коммерческих, так и государственных предприятий. Более подробную информацию о сертификации продукции можно узнать на сайте производителя по адресу http://rutoken.ru/products/certification/.
iButton
Еще одним устройством хранения ключевых данных является iButton (в «народе» получило второе название – «таблетка»), разработанное компанией Dallas Semiconductor. В настоящее время данные устройства выпускаются компанией Maxim.
Каждый iButton заключен в стальной герметичный цилиндрический корпус MicroCan и имеет уникальный номер (ID), записываемый в процессе изготовления. Все устройства iButton выполнены по жестким стандартам и выдерживают серьезные механические (500 G) и температурные нагрузки (рабочий диапазон температур — от -40°С до +85°C; температура хранения — от -55°C до +125°C).
iButton рассчитано на 1 млн. циклов записи/чтения, а данные могут храниться в устройстве до 10 лет.
Для подключения iButton к компьютеру требуется дополнительная установка считывателя, подключаемого в зависимости от типа считывателя к портам RS232 и USB.
Устройства iButton имеют разную встроенную память в зависимости от типа устройства:
DS-1990 не имеет памяти и используется для идентификации владельца по уникальному номеру;
DS-1991 – 64 байта;
DS-1992 — 1 Кбит;
DS-1993 — 4 Кбит;
DS-1994 — с таймером и энергонезависимой памятью на 4 Кбит;
DS-1995 — 16 Кбит;
DS-1996 — 64 Кбит.
Смарт-карты
Смарт-карты представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. Примером таких устройств с применением для хранения ключевой информации и криптографическими алгоритмами могут служить смарт-карты компании Aladdin (eToken PRO и т.д., все подробности описаны выше).
Смарт-карты могут быть контактными и бесконтактными. Вторые, как правило, используются для идентификации пользователя в системах СКУД.
Контактные смарт-карты могут применяться как носители ключевой информации. Однако, для их использования к компьютеру необходимо дополнительное подключение считывающего устройства, включая установку соответствующих драйверов.
Основные достоинства и недостатки основных типов носителей ключевой информации можно вынести в таблицу.
Выбор того или иного устройства зависит от целей его использования и окружающей обстановки. В районах с пониженными температурами, а также при использовании на улице (доступ в помещение, на территорию) требуется применение надежных носителей таких, как iButton. Однако, высокая функциональность USB-ключей и смарт-карт имеет свои преимущества. Их применение выгодно в офисных помещениях с целью организации юридически значимого документооборота.
Тычинин Евгений Викторович, директор компании «Рекурс»
Журнал «Директор по безопасности», Август 2010