Контакты
Подписка
МЕНЮ
Контакты
Подписка

Теория эволюции. ПСКЗИ ШИПКА

Теория эволюции. ПСКЗИ ШИПКА

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Теория эволюции. ПСКЗИ ШИПКА

Светлана Конявская,
к.ф.н., ОКБ САПР

От смарт-карт к токенам

Не надо быть крупным специалистом, чтобы понимать, что доступа "вообще" не бывает, доступ всегда к чему-то или куда-то. Так, в общем случае доступ в помещение чаще всего контролируется проверкой пропуска с фотографией и необходимыми реквизитами, доступ к ПК и к данным - теми или иными методами идентификации/аутентификации и т.п. - с усилением жесткости контроля по мере роста критичности объекта доступа.

В свое время смарт-карты стали безусловным шагом вперед в развитии средств аутентификации, хотя всем известно, что двухфакторная аутентификация, прочно связываемая сегодня именно с ними, применялась в защите информации и раньше. Смарт-карты, однако, пришлись по вкусу пользователям своей новой удобной формой, производителю - относительной дешевизной эмиссии, а владельцам информационных систем - еще и тем, что опять же за счет удобной формы их можно использовать не только для контроля доступа к ПК и его ресурсам, но и для контроля доступа в помещение, если разместить на смарт-карте фотографию.

Однако, несмотря на очевидные выгоды, традиционные смарт-карты все чаще заменяются токенами. Идея снабдить смарт-карточный чип USB-интерфейсом оказалась привлекательной для всех. С одной стороны, это расширение линейки продуктов с минимальными затратами, с другой - повышение надежности и снижение общей стоимости системы. Наконец, пользоваться компактным брелоком удобнее, а сломать его сложнее. При этом уровень защищенности систем остается неизменным, так как технологические составляющие средств защиты остались прежними.

ПСКЗИ: наращивание внутренних функций

Следующим этапом эволюции явилось создание персональных криптографических средств защиты   информации    (ПСКЗИ).

Несмотря на то что пока единственным представителем устройств этого класса является ПСКЗИ ШИПКА, или, наоборот, благодаря этому факту для пользователей появление таких устройств прошло как естественный этап развития токенов: "такое же, как токен, только с существенно более широкой функциональностью". С точки зрения пользователя, такая трактовка вполне разумна, а специалистам технологические и архитектурные различия между токенами ПСКЗИ хорошо известны.

Но весь этот процесс протекал в области компьютерных технологий. Другая сфера применения смарт-карт - как средства идентификации в системах контроля физического доступа - оставалась в прежнем состоянии: физические размеры токенов и ПСКЗИ позволяют разместить в них радиометки для открывания дверей, но о размещении на корпусе ПСКЗИ фотографии владельца не может быть и речи. Увеличивать же корпус до необходимых для этого размеров просто нелепо.

Значит ли это, что достигнут тот самый предел и об идее использования ПСКЗИ в системах контроля физического доступа можно забыть? Отнюдь. Главная особенность архитектуры ПСКЗИ - это возможность наращивания ее внутренних функций, а не внешних размеров. Вместо того чтобы размещать фотографию владельца на ПСКЗИ, можно разместить ее в памяти устройства. И этим устройством может быть только ПСКЗИ, так как для токена расширение функциональности внутреннего программного обеспечения невозможно.

Контроль доступа на всех уровнях

Итак, фотография владельца ПСКЗИ ШИПКА, дополненная различными идентификационными параметрами (ФИО, должность, отдел, номер ПСКЗИ), сохраняется в файле, подписывается на ключе службы безопасности и размещается в энергонезависимой памяти устройства. Кроме того, в ПСКЗИ создается пара ключей ЭЦП, которая будет использоваться для подтверждения подлинности устройства. Открытый ключ этой пары сохраняется в системе контроля физического доступа. При проходе через систему контроля пользователь предъявляет ПСКЗИ. Система контроля проверяет подлинность ШИПКИ, получает из нее фотографию владельца, проверяет ее подлинность и предоставляет ее сотруднику службы безопасности для сопоставления с претендующим на вход человеком. Заметим, что от сотрудника службы безопасности требуется по-прежнему только сравнить фотографию с предъявителем, а все остальное происходит на уровне технических средств.

При этом интегрированное устройство обеспечит контроль доступа на всех уровнях - на предприятие, в комнату, компьютер, сеть.

Очень важно, что в качестве идентифицирующей информации в таком случае может выступать не только фотография владельца, но и его биометрические данные, целостность которых обеспечивается криптографическими возможностями ШИПКИ.

Такую систему можно расширять и дальше, например, функциями дистанционного контроля над пользователями. Сравнивая фотографию, полученную из ПСКЗИ ШИПКА, с изображением пользователя, работающего в данный момент, полученным через систему видеонаблюдения, сотрудник службы безопасности может предотвратить последствия халатности пользователя, оставившего ШИПКУ в USB-порте компьютера.

Думается, что пределы возможностей архитектуры ПСКЗИ будут достигнуты еще не скоро, и пока не стоит ожидать перехода к использованию устройств принципиально иного типа.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2008

Приобрести этот номер или подписаться

Статьи про теме