ДБО - как сделать это безопасным. Часть II
В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
ДБО - как сделать это безопаснымЧасть II
Валерий Конявский
научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР, д.т.н.
научный руководитель ВНИИПВТИ,
научный консультант ОКБ САПР, д.т.н.
Конкретные ответы на реальные вопросыПроникновение информационных технологий в нашу жизнь вызывает пристальный интерес к защите информационного взаимодействия. Зачастую это интерес академический, подогреваемый прессой и мифами о том, что "вот дадут мне электронную подпись, и будет мне счастье". Действительно, для значительного числа государственных услуг, предоставляемых в электронном виде, вполне достаточно простой идентификации гражданина. С точки зрения значительного количества граждан, не представляет особого интереса и защита персональных данных, так как все они "уже давно украдены". Если интерес к защите в этих областях и есть, то его можно считать не оформившимся в личный интерес. А значит, общественное мнение не возражает против того, чтобы защищались эти коммуникации формально.
Иное дело - ДБО. Суммы потерь огромны, деньги теряют граждане, компании и предприятия, банки. Здесь интерес к защите становится конкретным, личным, почти интимным. Вопрос стал не праздным. А на реальные вопросы и ответ должен быть конкретным.
Иное дело - ДБО. Суммы потерь огромны, деньги теряют граждане, компании и предприятия, банки. Здесь интерес к защите становится конкретным, личным, почти интимным. Вопрос стал не праздным. А на реальные вопросы и ответ должен быть конкретным.
В предыдущей статье1 мы обосновали выводы о том, что:
- невозможно обеспечить безопасность ДБО без создания доверенной среды у клиента, что является необходимым условием безопасного информационного взаимодействия;
- при этом вовсе необязательно доверенную среду на компьютере клиента поддерживать постоянно, достаточно обеспечить доверенность только на период сеанса связи - создать доверенный сеанс связи, ДСС;
- создание ДСС может быть обеспечено разными средствами, но для целей ДБО целесообразно использовать недорогое малогабаритное устройство, которое удобнее всего подключать к компьютеру через USB-порт.
При этом должны выполняться требования по безопасности, а именно:
- защита от перехвата паролей;
- защита от перехвата портов;
- неизвлекаемость ключей;
- защита от перехвата управления;
- безопасное обновление. Кроме этого, мы выделили
- необходимые требования по функциональности, основные из них:
- достаточность функций для любой архитектуры системы;
- мультиплатформенность решения;
- поддержка любой периферии;
- независимость от провайдеров сети.
Более всего этим требованиям удовлетворяет средство электронной подписи СЭП "МАРШ!-ДСС", однако и у него есть недостатки - в частности, не выполняется важнейшее требование независимости от конфигурации сети. Таким образом, становится объяснимым, почему "МАРШ!" получил большое распространение в корпоративных системах, но мало используется в рознице. Действительно, настройка сетевых параметров в ряде случаев может стать препятствием.
Архитектура
Как же избавиться от данного недостатка? Для этого рассмотрим условную структурную схему "МАРШ!" (рис. 1).
Основными его элементами являются микроконтроллер, память и криптографический блок, включая физический датчик случайных чисел. К компьютеру он подключается через USB-интерфейс, как показано на рис. 2.
Естественно, в этом случае для организации телекоммуникаций используются каналы, поддерживаемые компьютером (см. рис. 3).
Так как при загрузке с "МАРШ!" использовать настройки, размещенные в компьютере, нельзя по причине их недоступности в ряде случаев и по соображениям безопасности, то такая архитектура приводит к необходимости хоть раз, но настроить "МАРШ!". Как отмечалось, это не всем по силам и, кроме того, лишает "МАРШ!" преимущества мобильности - связаться можно будет только с теми компьютерами, для которых заранее осуществлены настройки.
Нужно отметить, что такая схема вполне пригодна для корпоративных систем, например медицинских информационных систем (МИС), где и компьютеры, и настройки одинаковы. В том же случае, если компьютеры разнообразны и подключены к Интернету с помощью всего многообразия возможных способов, хочется найти более легкий для пользователя вариант.
Очевидный вариант видится в том, чтобы не использовать все возможные для компьютера варианты, а ограничиться одним или несколькими провайдерами, и эти возможности коммуникаций придать непосредственно СЭП "МАРШ!". Вариант такого взаимодействия показан на рис. 4.
Конечно, это намного упрощает ОС "МАРШ!", полностью снимает проблему настроек, но делает сложнее само устройство, так как к нему нужно добавить модем.
В этом случае структура "МАРШ!" будет дополнена модемом (см. рис. 5).
Почему не работают другие подходыТокены, защищенные ключевые носители, электронные замки, модули доверенной загрузки, средства разграничения доступа. VPN, межсетевые экраны и прочая, прочая, прочая - позволяют обеспечить достаточный уровень защищенности только в комплексе. Однако требования регуляторов выглядят так, что. если есть хотя бы одна функция, связанная с безопасностью, изделие нуждается в сертификации. И вот сертификат есть - ура! Изделие сертифицировано! И кто потом, за исключением горстки специалистов, поймет, что это изделие обеспечивает не безопасность, а приемлемое выполнение только одной (или нескольких) функций?! Защита подменяется имитацией защиты. Имитация. Проблема эпохи.
Не решает проблему и подключение к недоверенному компьютеру устройства ЭП, подписывающего и отображающего платежку. Да, если это устройство простейшее, его можно исследовать, состояние его зафиксировать и считать доверенным. Но проблема в том, что функциональность его будет слишком узкой (в силу простоты). Значит, использовать его будет неудобно. А если функциональность сделать близкой к привычной, которую предоставляют компьютеры, - то тогда и все проблемы компьютеров перенесутся на это устройство. И снова о доверенности придется забыть.
Нужное нам устройство должно быть полнофункциональным, с одной стороны. и простейшим в применении - вот такая дихотомия.
Не решает проблему и подключение к недоверенному компьютеру устройства ЭП, подписывающего и отображающего платежку. Да, если это устройство простейшее, его можно исследовать, состояние его зафиксировать и считать доверенным. Но проблема в том, что функциональность его будет слишком узкой (в силу простоты). Значит, использовать его будет неудобно. А если функциональность сделать близкой к привычной, которую предоставляют компьютеры, - то тогда и все проблемы компьютеров перенесутся на это устройство. И снова о доверенности придется забыть.
Нужное нам устройство должно быть полнофункциональным, с одной стороны. и простейшим в применении - вот такая дихотомия.
Такое устройство может использоваться на любом компьютере, не требует настроек (one-click), его функций достаточно для любой архитектуры системы, оно независимо от провайдеров сети, и является мультиплатформенным, так как может загружать код ОС и ФПО для компьютеров любой архитектуры, включая х86, Мае или компьютеры с гарвардской архитектурой.
При такой архитектуре наиболее простым способом обеспечивается и выполнение требований по безопасности. Действительно, доверенность среды обеспечивает защиту от перехвата паролей, портов и защиту от перехвата управления, криптографический блок обеспечит неизвлекаемость ключей и контроль целостности при проведении обновлений ПО.
В состав резидентного ПО входит операционная система, браузер, модуль интеграции, библиотека электронной подписи, VPN, криптоядро, вспомогательные библиотеки для надежной работы с памятью, транспортной системой массторадж, файловой системой.
Операционная система - Linux.
Браузер - Mozilla Firefox.
Модуль интеграции - встраивается как плагин браузера и предназначается для инициирования выполнения операций сЭП.
Библиотека ЭП - это средство, позволяющее применять ЭП не битовых строк, а документов в формате XML.
VPN - может быть любым. Есть положительный опыт работы со всеми распространенными VPN.
Криптоядро - может быть любым. Есть положительный опыт работы со всеми распространенными криптоядрами.
Для интеграции с банковской частью ДБО, построенной на основе Web-сервисов, со стороны серверной части достаточно установить физический или виртуальный сервер доверенного сеанса связи - сервер ДСС. Его задача - поддержка VPN со стороны канала (клиента) и поддержка Web-сервиса со стороны центра.
Режимы работы
"Папуасскими бусами" из флешек, токенов, "таблеток" touch memory, модемов и других идентификаторов и USB-устройств сегодня может похвастаться едва ли не каждый. Нужно ли это?
За счет описанной архитектуры, возможностей микроконтроллера и криптоблока интегрированный с модемом "МАРШ!" может реализовывать функции:
- а) модема;
- б) токена;
- в) защищенного ключевого носителя (неизвлекаемость ключа-ЗКН);
- г) специального загрузочного носителя (СЗН);
- д) технологической среды хранения доверенной ОС и ФПО.
Все эти функции доступны в доверенном режиме (при загрузке с "МАРШ!"). Однако несложно предусмотреть, чтобы некоторые функции были доступны и при использовании компьютера в недоверенном режиме. Например, при необходимости можно использовать описанный "МАРШ!" просто как модем, можно использовать как токен и как ЗКН. Конечно, при этом необходимый уровень защиты не будет достигаться, но возможность такого доступа позволит не тратить деньги на другие устройства, уже присутствующие в "МАРШ!".
Таким образом, будем выделять два режима функционирования "МАРШ!" - обычный, при котором доступны первые три функции, и доверенный, при котором доступны все функции устройства.
Ориентировочный срок начала поставки изделий на рынок - сентябрь этого года.
___________________________________________
1Конявский В.А. ДБО – как сделать это безопасным // Information Security/Информационная
безопасность. – 2012. – № 2. – С. 32–33.
1Конявский В.А. ДБО – как сделать это безопасным // Information Security/Информационная
безопасность. – 2012. – № 2. – С. 32–33.
ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265, 235-2814
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265, 235-2814
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2012
