TECNOLOGÍAS DE ENCRIPTADOR PERSONAL: CARACTERÍSTICAS, POSIBILIDADES, PERSPECTIVAS.

En la Fig. 1.

Fig. 1. Clasificación de los cifradores comerciales modernos

El análisis de los cifrados presentados muestra que actualmente las tecnologías de tarjetas inteligentes (tarjetas inteligentes) tienen el mayor potencial para implementar cifrados personales que cumplan con todos los requisitos modernos. requisitos ), cuyas características y capacidades consideraremos con más detalle.

Mapas digitales inteligentesLas tarjetas de plástico del tamaño de una tarjeta de crédito con un microcontrolador incorporado y memoria protegida son cada vez más inteligentes. Esto se debe al uso de microcontroladores o núcleos de procesador de próxima generación más potentes y rápidos optimizados específicamente para satisfacer las necesidades de este tipo de tarjetas. Las tarjetas inteligentes (IC) convencionales con microcontroladores de 8 bits han experimentado recientemente mejoras significativas y han dado lugar a una variedad de nuevas familias de dispositivos con longitudes de palabras populares de 8, 16 y 32 bits.

La mayoría de las tarjetas inteligentes siguen siendo de 8 bits. Recientemente, su versatilidad ha aumentado significativamente, lo que ha aumentado su popularidad. Por ejemplo, una tarjeta le permite realizar transacciones bancarias, pagar compras en tiendas, mantener el historial médico personal del propietario y mucho más. Ahora, al crear sus propios chips optimizados para tarjetas inteligentes, los desarrolladores ponen sus principales esperanzas en el uso de núcleos de procesador ultrapequeños de 16 o 32 bits. Una alternativa a esto son los dispositivos de 8 bits de mayor rendimiento, como los procesadores RISC, que ejecutan una sola instrucción en un solo ciclo, a diferencia de los 6 a 12 ciclos por instrucción de los microcontroladores más comunes, como la serie 8051, para diversas aplicaciones de tarjetas inteligentes, según. rendimiento requerido, el mercado ya cuenta con una amplia gama de dispositivos con microprocesadores con diferente potencia informática.

Sin embargo, un aumento de la productividad conlleva inevitablemente un aumento del consumo de energía, lo cual es absolutamente inaceptable, ya que los microcontroladores funcionan con fuentes de energía externas. Hoy en día, las tarjetas inteligentes se alimentan a través de placas de contacto impresas o mediante un canal de radio, cuando la corriente necesaria para alimentar el dispositivo se induce en la antena de cuadro integrada en la tarjeta mediante un campo electromagnético externo de alta frecuencia y se requiere un consumo mínimo de energía. es clave aquí. Además, dado que la placa debe retener datos después de apagar la alimentación, requerirá una memoria no volátil pero eléctricamente reprogramable (EEPROM).

Para implementar todas las funciones necesarias en dispositivos modernos y complejos, además de microprocesadores de alto rendimiento, se necesitará una gran cantidad de memoria, donde se almacenará toda la información necesaria. La generación actual de microcontroladores suele tener ROM integrada, así como RAM y EEPROM. Pero la presencia de una cantidad relativamente pequeña de memoria reprogramable se explica por limitaciones físicas y tecnológicas en la densidad del diseño del chip. Los microprocesadores más simples tienen 128 bytes de RAM, 256 bytes de EEPROM y aproximadamente 6 kbytes de ROM. Los microcontroladores modernos más complejos pueden combinar 6 KB de RAM, 16 KB de EEPROM y hasta 32 KB de ROM. Además, en los últimos acontecimientos se ha popularizado el uso de la memoria flash, que supone una alternativa real a la ROM. A medida que las tarjetas inteligentes evolucionen, el almacenamiento de datos y programas requerirá duplicar o cuadriplicar la capacidad de almacenamiento.

A medida que la tecnología de semiconductores mejora continuamente, en el futuro las tarjetas inteligentes podrían convertirse en computadoras ultrapequeñas de placa única. Según los expertos de Siemens, una tarjeta de este tipo no sería sólo un procesador de alto rendimiento combinado con equipos criptográficos y almacenamiento de alta capacidad. Podría contener un teclado auxiliar y, mediante una antena, proporcionar suministro de energía sin contacto y comunicación con dispositivos externos. Para proporcionar energía independientemente del lector, las tarjetas podrían contener paneles solares. Es posible integrar en las tarjetas sensores biométricos para identificar al propietario, por ejemplo un lector de huellas dactilares, así como algún tipo de altavoz, alarma y display para visualizar y monitorear información. Aunque la implementación práctica de todos estos planes aún está lejos, muchas de estas tecnologías ya existen y se están mejorando con éxito. Mientras tanto, los desarrolladores buscan la solución óptima de tarjeta inteligente basada en la tecnología actual, que se basa principalmente en microcontroladores de 8 bits. No son más de media docena de empresas involucradas en esta industria, debido al alto costo de las medidas extraordinarias para garantizar la seguridad de la información, dando a bancos, compañías de seguros y otras organizaciones una garantía de que la información contenida en los dispositivos de almacenamiento de las tarjetas no será utilizada. contra sus propietarios.

Medidas para proteger la información en el IC del acceso no autorizado

Los defensores de las tarjetas inteligentes depositan grandes esperanzas en las modernas tecnologías de protección criptográfica que impiden el acceso no autorizado a la información personal. Algunos microprocesadores diseñados para tarjetas inteligentes incluyen coprocesadores criptográficos especializados que proporcionan un alto nivel de seguridad de la información mediante la implementación de algoritmos de cifrado RSA (hasta 2048 bits de longitud de clave) o DES (hasta 1024 bits de longitud de clave). Un coprocesador criptográfico es necesario ya que estos algoritmos requieren una gran cantidad de cálculos y no pueden ejecutarse en el procesador central de un microcontrolador en un período de tiempo razonablemente corto, necesario por ejemplo para pasar por el torniquete de una estación de metro.

Además de utilizar algoritmos especiales para proteger la información, los algoritmos de cifrado en algunos dispositivos utilizan módulos de hardware integrados en el chip para evitar el acceso no autorizado a programas y datos. Nuevo esquema desarrollado por Schlumberger junto con SiShell,permite a los fabricantes de chips semiconductores agregar un escudo de silicio a sus productos que los protege del acceso físico no autorizado. Este escudo evita que las sondas del dispositivo utilicen haces de electrones o haces de iones enfocados, que normalmente se utilizan para detectar, analizar y corregir errores encontrados durante el proceso de fabricación de matrices semiconductoras.

En el sistema fabricado por SiShell, el sustrato del chip se adelgaza. Una vez finalizado el proceso tecnológico, toda el área activa del chip se cubre con una tapa de silicona. Esta capa es bastante gruesa y opaca, además, protege el cristal de influencias ambientales destructivas, como la radiación o ambientes químicamente agresivos. Gracias al uso de un sustrato más fino se consigue una protección adicional del cristal frente a la penetración mecánica. Cualquier intento de separar la tapa protectora del área activa resultará en la destrucción irreversible del microcircuito.

Además, los fabricantes de chips se esfuerzan por evitar que se rastreen los datos a medida que se mueven dentro del chip. Inicialmente, Siemens encapsuló sus celdas de memoria EEPROM para evitar que fueran sondeadas. Además de utilizar una ROM con una máscara metálica, la empresa utiliza una ROM integrada para ocultar muestras de datos. Se proporciona protección adicional mediante la introducción de capas de blindaje auxiliares y encapsulación, similar a lo que hace SiShell, así como circuitos eléctricos ubicados fuera del chip.

Tarjetas inteligentes rusas de la serie RIK

Hoy en día, nadie duda de la necesidad de desarrollar sistemas que utilicen modernas tecnologías de la información basadas en tarjetas de plástico con microprocesadores. Desde hace varios años, los especialistas de FAPSI (FSB) colaboran con varias empresas occidentales, fabricantes de microprocesadores y tarjetas, como Gemplus Card International, Siemens AG, Motorola, Giesecke & Devrient, para crear una versión rusa del sistema inteligente. tarjetas que utilizan cristales extranjeros con algoritmos criptográficos nacionales. Cabe señalar que las empresas extranjeras que producen cristales y tarjetas, aunque publican una lista detallada de las características de los consumidores, las características especiales se clasifican como información confidencial. Una parte importante de las características especiales, por regla general, no se divulgan, por lo que es casi imposible justificar la fiabilidad de la protección de las tarjetas y su certificación según requisitos especiales.

Por lo tanto, la política estatal en el El campo de la informatización requería la creación y organización de la producción en serie de tarjetas inteligentes rusas, dotadas de una protección fiable y un componente criptográfico basado en los estándares nacionales. Era necesario crear un mapa que pudiera usarse en sistemas de aplicación en varios niveles, desde sistemas locales hasta nacionales.

En el marco de un acuerdo tripartito entre las empresas Angstrem, el Centro Científico y Técnico Atlas, la empresa Union Card y con el apoyo científico y técnico de FAPSI, se desarrolló un microcontrolador doméstico y se hicieron preparativos para la producción en serie de una tarjeta basada en él. . Actualmente, esta tarjeta se utiliza, por ejemplo, en varias áreas experimentales del sistema de pago Union Card.

El RIC creado tiene características técnicas y especiales suficientes para la mayoría de aplicaciones. Está construido sobre la base del núcleo de procesador original de la arquitectura RISC, cuyo rendimiento permite alcanzar velocidades de cifrado de hasta 5 kB/s cuando se implementa el algoritmo de cifrado GOST 28147-89 en un diseño seguro. El microcontrolador contiene 2 kbytes de memoria no volátil (EEPROM), 8 kbytes de memoria de programa (ROM) de sólo lectura y 256 bytes de memoria de acceso aleatorio (RAM).

El sistema de seguridad de la información de RIC se basa en el sistema de seguridad física del cristal del microcontrolador y se complementa con medidas de protección algorítmica de software implementadas como parte del módulo criptográfico y el sistema operativo.

El sistema operativo de RIC implementa protección algorítmica medidas, como comprobaciones de prueba para el encendido de la tarjeta, protección de datos criptográficos, monitorización de la integridad de los datos, etc.

El componente criptográfico del sistema operativo, además de GOST 28147-89, también incluye los algoritmos DES y Triple-DES. La tarjeta tiene un sensor de números aleatorios de software y hardware incorporado, que proporciona soporte RIC para protocolos criptográficos confiables de autenticación mutua y la generación de claves de cifrado de datos de sesión única para la interacción con equipos terminales.

En términos de funcionalidad y nivel de protección contra el acceso no autorizado a la información almacenada, RIC en general no es inferior a sus homólogos extranjeros. Las características técnicas del mapa ruso determinan una gama muy amplia de áreas de posible uso. Consideremos brevemente las perspectivas del uso de RIC en sistemas para resolver problemas de seguridad de la información.

La integración del RIC como portador de información de identificación en los medios para restringir el acceso a los recursos del sistema de información (además o en lugar de una contraseña ingresada desde el teclado del terminal) aumentará significativamente el nivel de protección de los recursos, ya que, a diferencia de una contraseña, la información almacenada en el RIC está protegida de forma fiable contra el acceso no autorizado en caso de acciones accidentales o maliciosas de un individuo que utiliza el RIC. Al mismo tiempo, el software y el hardware del RIC garantizan la transferencia de información de identificación del RIC al terminal (modo fuera de línea) o a un servidor del sistema remoto (modo en línea) solo si los resultados de su autenticación mutua son positivos de acuerdo con el sistema criptográfico confiable. protocolos soportados por el sistema operativo RIC. El uso de tarjetas personales para acceder a los recursos permite el control dinámico del trabajo del usuario y, en caso de su ausencia o interrupción en el trabajo (es decir, cuando el usuario retira la tarjeta del dispositivo receptor), bloquear el acceso.

El uso de tarjetas con microprocesador permite, entre otras, proporcionar las siguientes capacidades esenciales:

• autenticación (reconocimiento) mutua confiable del usuario de la tarjeta y del dispositivo de control (cerradura electrónica, acceso terminal o torniquete, etc.);
• cifrado de la información transmitida entre la tarjeta y el dispositivo de control, de modo que la parte más confidencial de los datos nunca salga de la memoria de la tarjeta en forma clara y no pueda ser interceptada por un atacante;
• registro absolutamente confiable por parte del sistema administrador de seguridad de todas las entradas y salidas en el área protegida, mientras que todos los datos del usuario de la tarjeta, la hora exacta de paso, etc. se registran en registros de auditoría (archivos o memoria del dispositivo);
• generación automática de señales de “alarma” cuando se intenta ingresar no autorizado a áreas protegidas;
• modo de alarma oculta sobre “paso bajo control”, lo que significa que la persona con derecho de acceso está actuando por orden del intruso ;
• modo de bloqueo remoto oculto (desactivación) de una tarjeta de usuario privada de derechos de acceso;
• Los sistemas de control de acceso basados ​​en tarjetas inteligentes permiten introducir varias jerarquías de acceso a objetos y territorios protegidos, permitiendo a grupos seleccionados de usuarios pasar sólo a las áreas permitidas y sólo en determinados intervalos de tiempo durante un período determinado (días, semanas, meses, días festivos, años, etc.);
• almacenamiento seguro de contraseñas y claves secretas en la tarjeta, lo que hace que sea seguro para el sistema en su conjunto perder una tarjeta de usuario.

La implementación de estas capacidades mediante el uso de otras herramientas de control (no tarjetas inteligentes) requiere dispositivos electrónicos y líneas de comunicación significativamente más costosos y complejos.

El uso de RIC como portador de información clave está asociado con el desarrollo de tecnologías de redes y telecomunicaciones. Actualmente, en los sistemas de transmisión de datos existe una tendencia a cambiar al principio de secreto del abonado o «punto a punto», en el que el codificador y los medios clave están directamente a disposición del abonado. En estas condiciones, el círculo de personas que acceden a documentos clave se amplía significativamente, y el uso de medios clave no protegidos, como discos magnéticos o tarjetas con banda magnética, puede comprometer la información confidencial debido a la pérdida de dichas claves o su copia ilegal. Una solución al problema es el uso de medios clave que estén protegidos algorítmica y físicamente contra el acceso no autorizado.

Las investigaciones realizadas por especialistas han demostrado que las medidas de seguridad desarrolladas e integradas en el entorno de software y hardware de RIC, así como las propiedades especiales del cristal, garantizarán una protección confiable de los medios clave basados ​​en RIC.

El uso de nuevos documentos de pase creados a base de tarjetas de plástico con un microcontrolador incorporado permite el uso de tecnologías criptográficas de información modernas que brindan un alto nivel de protección contra la falsificación de dichos pases y funciones de seguridad adicionales, en particular la creación de zonas de diferentes niveles de acceso y seguimiento de personas en las mismas.

Los datos del titular del pase, los derechos de acceso y su fotografía están impresos en la tarjeta. En la memoria de la tarjeta también se almacenan los datos, los derechos de acceso y una fotografía digital firmada con firma digital electrónica.

Los requisitos de seguridad de la información para los RIC utilizados como documentos electrónicos son similares a los del uso de los RIC como medio de pago. Al mismo tiempo, durante el desarrollo de sistemas específicos que utilizan documentos electrónicos, se deben tomar medidas de seguridad organizativas similares a las utilizadas en los sistemas de pago.

Actualmente, las perspectivas de desarrollo de RIC están relacionadas en gran medida con el avance de los procesos de mejora de la tecnología de producción microelectrónica en la empresa Angstrem. Un lugar especial lo ocupa el trabajo de introducción de software y hardware en el microcontrolador RIC, que permite la implementación efectiva de algoritmos criptográficos asimétricos, en particular el estándar de firma digital electrónica GOST R-34.10. El uso de tales microcontroladores puede convertirse en una de las soluciones técnicas al problema de crear medios personales para un sistema de certificado digital basado en criptografía doméstica, aumentará el nivel de seguridad del intercambio de información a través de la red INTERNET y ofrecerá soluciones confiables en el campo de comercio electrónico.

El mercado ruso ofrece hoy en día un conjunto completo de tarjetas inteligentes, cuya clasificación se muestra en la Fig. 2.

Fig. 2. Clasificación de las tarjetas inteligentes rusas

Las principales características, características y posibilidades de uso de RIC se dan en la tabla. 1.

Tabla 1. Principales características, prestaciones y posibilidades de uso de RIK

Para ampliar el alcance de los problemas resueltos, los circuitos integrados actualmente se implementan estructuralmente en forma de módulos, tarjetas, tokens, llaveros, etiquetas, discos, etc. Sin embargo, han encontrado su mayor uso en forma de tarjetas de plástico en tamaños de tarjetas de crédito estándar que contienen un circuito integrado (IC) de silicio con sus propias capacidades incorporadas de procesamiento de datos, incluidas varias técnicas de cifrado. Los componentes principales de la tarjeta inteligente son el microprocesador, el dispositivo de almacenamiento y el sistema operativo.

El núcleo de la tarjeta inteligente es el sistema operativo (SO). Veámoslo con más detalle. OS RIK-2 está diseñado para su uso como componente de software de microcontroladores producidos en serie del tipo Angstrem KB5004BE1 (como portadores de claves e información de identificación, así como tarjetas inteligentes para aplicaciones especiales).

El sistema operativo RIK-2 proporciona:

• la posibilidad de autenticación unidireccional y mutua de la tarjeta y el dispositivo externo basada en métodos de criptografía simétrica;
• la capacidad de identificar al titular de la tarjeta basándose en el código secreto de la función de cifrado/descifrado de datos utilizando el algoritmo criptográfico ruso GOST 28147-89;
• la función de generar una inserción simulada;
• función clave de diversificación;
• la capacidad de verificar la integridad de la máscara ROM de los programas del microcontrolador utilizando métodos criptográficos;
• acceso estructurado a la información almacenada en la memoria no volátil de la tarjeta;
• la capacidad de verificar criptográficamente intercambio seguro de información entre la tarjeta y el equipo terminal;
• posibilidad de utilizar la tarjeta como cifrador de datos.

El sistema operativo RIK-2 implementa sus funciones ejecutando comandos enviados a la tarjeta por un dispositivo externo (ED). El sistema operativo garantiza que la tarjeta se intercambie con un dispositivo externo utilizando el protocolo de transferencia de datos T0 de acuerdo con ISO 7816-3. Se pueden transferir bloques de datos de hasta 64 bytes en ambas direcciones. Tipo de intercambio (tipo de codificación): directo.

La interfaz lógica para el intercambio de datos de la tarjeta con la computadora, implementada en el sistema operativo RIK-2, cumple con el estándar internacional ISO 7816-4. El sistema operativo RIK-2 implementa el principio de proporcionar control de acceso a archivos para un dispositivo externo. OS RIK-2 admite los siguientes tipos de archivos:

• DF – archivos de control que combinan archivos de una aplicación;
• EF – archivos binarios destinados a almacenar datos;
• KF – archivos especializados para almacenar claves y contraseñas.

Para cada archivo de la tarjeta, los tipos de acceso se pueden definir individualmente. Una tarjeta puede contener múltiples aplicaciones. OS RIK-2, utilizado como componente de software de microcontroladores producidos comercialmente del tipo KB5004BE1, cumple con los requisitos tácticos y técnicos aprobados por FAPSI para RIK como portador inteligente de información clave y de identificación”.

La tarjeta inteligente rusa básica se basa en el microcontrolador KB5004BE1 con el sistema operativo UniCOS. El sistema operativo proporciona una plataforma que permite al RIC implementar toda la gama de aplicaciones para pagos no monetarios utilizando tarjetas de pago, incluyendo: billetera electrónica, cheque electrónico, tarjeta de débito, tarjeta comercial, tarjeta telefónica y otras.

Las áreas de aplicación prometedoras de RIC son los pasaportes electrónicos, las tarjetas de seguro médico y social, los documentos de identidad electrónicos y los portadores de TIN (número individual de contribuyente).

En términos de aplicaciones especiales, basándose en el RIC, es posible construir sistemas de acceso a objetos e instalaciones, autenticación de usuarios para limitar el acceso a la información y recursos de telecomunicaciones, utilizar el RIC como portador de información clave, así como un herramienta de cifrado y firma electrónica de documentos.

El microcontrolador RIK tiene las siguientes características técnicas:

• Microcontrolador de alto rendimiento de 8 bits con arquitectura RISC;
• 256 bytes de memoria de acceso aleatorio (RAM);
• 2 kbytes de EEPROM;
• al menos 10 años de almacenamiento de información registrada;
• al menos 100.000 ciclos de borrado/escritura;
• Canal de acceso secuencial compatible con ISO 7816-3;
• disposición de contactos compatible con el estándar ISO 7816-2;
• tecnología de fabricación de chips — CMOS de dos metales;
• consumo de corriente:

• < 2 mA a 5 V y 5 MHz;
• < 1 µA en modo STOP de baja potencia.

El sistema operativo UniCOS tiene las siguientes características:

• Cumplimiento de la norma ISO 7816-4;
• protocolos criptográficos basados ​​en el algoritmo GOST 28147-89;
• sistema de control de acceso flexible;
• la capacidad de integrar funciones adicionales;
• autoprueba interna;
• sistema de protección contra fallas.

El sistema de control de acceso UniCOS RIK OS le permite:

• crear archivos de una sola escritura;
• permitir la lectura de archivos solo después de presentar una contraseña y/o realizar operaciones criptográficas. autenticación;
• permitir la adición de datos al archivo solo después de presentar una contraseña y/o realizar autenticación criptográfica;
• permitir la modificación de datos en el archivo solo después de presentar una contraseña y/o realizar autenticación criptográfica;
• cifrar los datos transmitidos y descifrar los datos recibidos en la clave registrada en la tarjeta;
• garantizar el intercambio seguro de datos entre el terminal y la tarjeta mediante el cifrado (descifrado) en la clave de sesión calculada como resultado de la autenticación criptográfica ;
• suministrar a los datos transmitidos un inserto imitativo criptográfico que proporciona control de integridad, mientras que el inserto imitativo puede generarse tanto en la clave registrada en la tarjeta como en la clave de sesión.

Cifrador personal basado en RIK-2

El codificador personal RIK-2 está diseñado para cifrar y proteger por imitación información documental personal. Se puede utilizar para cifrar información confidencial que no contenga información que constituya un secreto de estado. En este caso, el cifrado personal RIK-2 con las claves introducidas no es una técnica secreta, sin embargo, se deben tomar medidas para dificultar el acceso incontrolado a él a personas no autorizadas. El modo de cifrado personal se implementa en RIK-2 mediante el comando CRYPT. Este comando cifra o descifra datos, calcula o verifica la inserción simulada de datos en la clave del KF actual. Para calcular o comprobar una inserción simulada, la longitud de los datos debe ser de al menos 8 bytes.

Las herramientas de protección de información criptográfica RIK-2 están certificadas por FAPSI según el nivel B de los «Requisitos temporales para los medios de protección de información confidencial».

La operación de estaciones de trabajo con el codificador personal RIK-2 está permitida solo en organizaciones con licencia para operar medios de protección de datos criptográficos. Sistema de claves CIPF El cifrador personal RIK-2 del tipo «matriz completa» proporciona comunicación según el principio «todos para todos» e incluye:

• claves de cifrado, individuales para la comunicación con cada suscriptor de la comunicación red;
• clave de cifrado de datos para todos los suscriptores de la red de comunicación a la vez (clave de transmisión).

Cuando se utiliza en sistemas que procesan información que contiene información que constituye secretos de estado, las tarjetas inteligentes con RIK- 2 OS debe contar con las siguientes medidas:

• entrenamiento termoeléctrico de microcircuitos;
• medidas organizativas adicionales para garantizar el acceso limitado a estas tarjetas;
• el nivel de atenuación requerido para la protección en el circuito de alimentación secundario debe ser de al menos 47 dB;
• al encender el RIK-2 fuera del lector, el tamaño de la zona controlada debe ser de al menos 1,5 m, debe ubicarse a una distancia de al menos 0,2 m de alambres y cables extraños (excepto cables de alimentación) que se extiendan más allá del área controlada).

Implementación práctica de cifradores de hardware personales

Una de las primeras herramientas hardware de protección de información criptográfica personal en Rusia es Shipka-1.5OKB SAPR (foto 1).

Foto 1. Apariencia del codificador personal Shipka-1.5

Shipka-1.5 es una abreviatura de las palabras Cifrado – Identificación – Firma – Códigos de autenticación”. Externamente, este producto no se diferencia de una memoria USB normal, pero al mismo tiempo realiza todas las funciones de las palabras que componen su nombre. Shipka-1.5 es un dispositivo USB en el que se implementa el siguiente hardware:

1. Todos los algoritmos criptográficos rusos estándar:

• cifrado (GOST 28147-89);
• cálculo de la función hash (GOST R 34.11-94);
• cálculo y verificación de firma digital (GOST R 34.10-94, GOST R 34.10-2001);
• cálculo de SCA (para asegurarse de que los datos se procesen correctamente y no haya violaciones en la tecnología, se utilizan códigos de autenticación de seguridad (SCA); para ello, en algunos puntos se verifica el resultado de las operaciones y, si no coincide la “correcta”, se activa una alarma).

2. Varios algoritmos externos:

• cifrado RC2, RC4 y RC5, DES, 3DES, RSA;
• Funciones hash MD5 y SHA-1;
• Firma digital (RSA, DSA).

3. Dos bloques de memoria no volátil aislados:

• para almacenar información clave crítica, una memoria de 4 KB ubicada directamente en la computadora;
• para almacenar diversa información clave, contraseñas, certificados, etc. – memoria de hasta 2 MB, parte de la cual se puede asignar para organizar un pequeño disco protegido.

4. Generador de números aleatorios de hardware.

Utilizando el dispositivo Shipka-1.5, puede resolver una variedad de problemas de seguridad de la información tanto a nivel personal como corporativo, por ejemplo:

• cifrado y /o archivos de firma;
• almacenamiento seguro de contraseñas para varios servicios web;
• identificación de usuario de hardware en soluciones de cliente ligero sin disco;
• identificación de usuario de hardware para PAK Accord-NT/2000” instalado en computadoras portátiles;
• autorización de hardware al cargar el sistema operativo Windows en una PC;
• almacenamiento de claves y sensor de números aleatorios de hardware para aplicaciones criptográficas;
• tarjeta inteligente en soluciones estándar, como autorización al ingresar a un dominio de Windows, cifrado y/o firma de mensajes en programas de correo electrónico (por ejemplo, Outlook Express), para obtener certificados de Autoridad de Certificación para pares “nombre de usuario + clave pública”, si es necesario , para que esta clave pública sea considerada legal en la PKI;
• para proteger la tecnología de la información mediante algoritmos criptográficos.

La implementación de cálculos por hardware sin involucrar recursos informáticos es una diferencia importante entre el dispositivo Shipka-1.5 y otras soluciones conocidas basadas en llaves USB, que en realidad son solo memoria no volátil y un adaptador de interfaz USB, y todo el nivel crítico de informática. se implementa en ellos en software. En el dispositivo Shipka-1.5, solo los procedimientos de transporte y los procedimientos de negociación de formato de datos que no afectan la seguridad se implementan en el software; todas las demás funciones se realizan en el hardware.

Esto significa que nadie podrá interferir en los procesos de autenticación, cifrado o firma digital y falsificarlos. Esto también significa que después de apagar el dispositivo Shipka-1.5, no quedan rastros de las claves secretas del usuario en la memoria de la computadora y nadie más las usará. Además, puede utilizar todas estas funciones en cualquier computadora, ya que toda la información clave se almacena en el dispositivo Shipka-1.5.

Sin embargo, esto no significa que cualquiera que tome posesión del dispositivo Shipka-1.5 tomar posesión automáticamente de toda la información almacenada: el acceso a ella está protegido por un código PIN y, si se excede el número permitido de entradas incorrectas, el dispositivo se bloquea y se destruye toda la información que contiene.

La capacidad de almacenar contraseñas en el dispositivo Shipka-1.5 permitirá al usuario no elegir entre la seguridad de la contraseña y la facilidad de recordarla, evitando al mismo tiempo errores tan comunes como almacenar contraseñas en un bloc de notas o en hojas de papel. como usar la misma contraseña en diferentes casos.

Al ser un dispositivo USB, Shipka-1.5 no requiere el uso de lectores de tarjetas bastante costosos necesarios para trabajar con tarjetas inteligentes, lo que significa que su uso como tarjeta inteligente no solo es más conveniente, sino también más económico. Además, el dispositivo Shipka-1.5 es totalmente programable. Esto permite ampliar fácilmente su funcionalidad.

Hoy en el mercado ruso de productos de seguridad de la información, además del dispositivo Shipka-1.5 mencionado anteriormente, ya existe una amplia gama de dispositivos de hardware para criptografía personal. protección (garantizada).

En particular, la empresa Aktiv, junto con la empresa Ankad, ha desarrollado una serie de identificadores electrónicos personales de la serie ruToken (foto 2), que son un análogo completamente funcional de una tarjeta inteligente, fabricados en la forma de una llave USB en miniatura. Estos identificadores electrónicos se conectan a una computadora a través de un puerto USB y no requieren un lector adicional. Dicho ruToken tiene su propio sistema de archivos, implementación de hardware del algoritmo de cifrado de acuerdo con GOST 28147-89 y contiene hasta 128 kbytes de memoria no volátil protegida.

Foto 2. Vista general de los identificadores personales
del tipo ruToken