Введение
Сегодня для шифрования данных наиболее широко применяют три вида шифраторов: аппаратные, программно-аппаратные и программные. Их основное различие заключается не только в способе реализации шифрования и степени надёжности защиты данных, но и в цене, что часто становится для пользователей определяющим фактором. Самые дешёвые устройства шифрования — программные, затем идут программно-аппаратные средства и, наконец, самые дорогостоящие — аппаратные. Несмотря на то, что цена аппаратных шифраторов существенно выше программных, разница в цене не сравнима с значительным повышением качества защиты информации.
Конкурирующие продукты
В зависимости от набора своих функциональных возможностей, разные модели eToken конкурируют на рынке с продукцией различных производителей: ActivIdentity, Arcot, Entrust, Eutron, Feitian, Gemalto, Kobil Systems, MultiSoft, RSA Security (подразделение EMC), Vasco, Актив, БИФИТ, ОКБ САПР и других.
|
Модели eToken |
Конкурирующие продукты |
|
USB-ключи eToken GT, eToken PRO и eToken PRO (Java) |
ActivIdentity ActivKey SIM USB Token, Entrust USB Tokens, Feitian ePass, Eutron CryptoIdentity, Kobil mIDentity, MS Key, Rutoken ЭЦП, Vasco Digipass Key 1, ПCКЗИ «Шипка», Kaztoken |
|
eToken NG-FLASH |
Rutoken Flash |
|
eToken NG-OTP |
ActivIdentity ActivKey Display USB Token, Feitian OTP c400, Vasco Digipass 860 |
|
eToken PASS |
ActivIdentity Mini OTP Token, Entrust IdentityGuard Mini Token, Feitian OTP c100–c300, Kobil SecOVID Token III, RSA SecurID 700, Vasco Digipass Go |
|
смарт-карты eToken PRO и eToken PRO (Java) |
ActivIdentity Smart Cards, Feitian PKI card, Gemalto TOP, iBank 2 Key |
|
eToken Virtual |
ArcotID |
|
MobilePASS |
ActivIdentity Soft Tokens, ArcotOTP, Kobil SecOVID Soft Token, RSA SecurID software tokens, Vasco Virtual Digipass |
Аппаратный средства защиты информации
Аппаратный средства защиты информации
– это любые устройства, которые либо затрудняют несанкционированный съем
информации, либо помогают обнаружить потенциальные каналы утечки
информации. Это самый узкоспециализированный класс средств защиты
информации.
Одних только технических каналов утечки информации насчитывается более
десятка: акустические, виброакустические , оптико-электронные, паразитные
электронно-магнитные импульсы и так далее и тому подобное. Соответственно,
и борьба с утечкой ведется также весьма экзотическими средствами:
генераторы шума, сетевые фильтры, сканирующие радиоприемники и т.д.
Более подробно про аппаратные средства защиты можно прочитать
здесь и
здесь.
Съем информации через технические каналы утечки возможен только при
использовании специального, часто очень дорогостоящего оборудования. Стоит
ли ваша информация столько, сколько готовы потратить злоумышленники на ее
несанкционированное получение?
В обычной деятельности компании из всех видов утечек информации по
техническим каналам актуальными скорее всего будут просмотр информации с
экранов дисплеев, бумажных и иных носителей информации, возможно даже с
помощью оптических средств и прослушивание конфиденциальных переговоров, в
том числе телефонных и радиопереговоров.
Против этого хорошо работают как физические средства защиты информации из
предыдущего пункта так и организационные мероприятия. Перечислим их:
- не рекомендуется располагать защищаемые помещения на первых этажах зданий;
-
независимо от этажа следует закрывать окна жалюзи или экранами, в идеале
для конфиденциальных переговоров использовать помещения вообще без окон; - использовать двойные двери с тамбурами;
-
исключить пребывание посторонних в местах, где происходят
конфиденциальные переговоры или обрабатывается конфиденциальная информация; -
ввести запрет использования мобильных телефонов, смартфонов, диктофонов и
прочих устройств как минимум при конфиденциальных переговорах; - располагать мониторы таким образом, чтобы исключить просмотр информации с их посторонними;
- всегда блокировать рабочие станции при оставлении рабочего места;
Есть ли метод защиты от этих угроз?
Анализируя модели угроз, мы получили ошеломляющий вывод: добиться требуемого уровня безопасности возможно только при глубокой интеграции средств идентификации в аппаратное обеспечение. По сути, необходимо объединить материнскую плату и модуль доверенной загрузки в единое устройство!
Было принято решение по разработке и созданию материнской платы универсального применения с требуемым набором функциональных возможностей.
Совместно с компанией Aladdin Security Solutions R. D. Kraftway создал программно аппаратный комплекс, который является средством защиты от несанкционированного доступа, интегрированным в аппаратное и программное обеспечение материнских плат KWG-43 и KWG-43s производства Kraftway. Подобная глубокая интеграция позволила создать систему, обладающую существенными преимуществами по сравнению с традиционными АПМДЗ. Встроенное ПО
![Средства защиты информации [справочно-правовая система по информационной безопасности]](https://ihomesystems.ru/wp-content/uploads/f/0/b/f0b36fe863c45d88d92f0657a99c0531.jpeg)
располагается в SPI Flash на материнской плате и вызывается на исполнение BIOS после прохождения процедуры Power On Self-Test (POST). Обратная передача управления BIOS для дальнейшей загрузки компьютера осуществляется только после аутентификации пользователя при помощи сертифицированных устройств eToken в форм-факторе USB-ключей или смарт-карт. Это позволяет проводить строгую двухфак-торную аутентификацию пользователей до загрузки операционной системы компьютера.
Благодаря тесной интеграции специализированного встроенного ПО с BIOS материнской платы обеспечивается максимальная безопасность и совместимость со всеми используемыми аппаратными средствами и программным обеспечением.
Дополнительная немаловажная особенность заключается в том, что, используя компьютеры на основе указанных материнских плат, заказчик получает дополнительную гарантию от возможной кражи оборудования, так как злоумышленник просто не сможет включить компьютер, не обладая необходимыми ключами идентификации. Это достигается реализацией программно-аппаратной функции защиты от модификации встроенной в материнскую плату микросхемы EEPROM.
Использование описанных выше технологий вкупе с использованием сертифицированных операционных систем и средств многофакторной аутентификации позволяет описываемому программно-аппаратному комплексу со встроенными средствами защиты достичь более высокого уровня информационной безопасности по сравнению с системами, в которых используются наложенные средства защиты (АПМДЗ).
Производство защищенных компьютеров осуществляется на территории России на сертифицированном производстве, что гарантирует отсутствие недекларированных возможностей, закладок и гипервизоров уровня BIOS.
2.8. Microsoft Windows
Аппаратные eToken с функциями смарт-карты можно использовать для интерактивной аутентификации в домене Windows 2000-Server 2008. При наличии на компьютере драйверов eToken рабочий стол аутентификации позволяет не только вводить имя пользователя, пароль и имя домена, как обычно, после нажатия клавиш CTRL+ALT+DELETE, но и вместо нажатия этого сочетания клавиш подключать смарт-карту (eToken) и вводить PIN-код. Кроме того, начиная с Windows XP стало возможным использовать смарт-карты, в том числе eToken, для аутентификации при запуске приложений от имени другого пользователя.
Помимо использования eToken в качестве стредства аутентификации, он ещё может использоваться для обеспечения безопасности рабочего места в отсутствие пользователя. Windows 2000–Server 2008 можно настроить таким образом, что компьютер будет блокироваться при отсоединении eToken.
Для использования eToken в качестве средства аутентификации в домене Windows необходим развёрнутый и специально для этого настроенный центр сертификации предприятия (Microsoft Enterprise CA). Средствами eToken генерируется ключевая пара, и центр сертификации выпускает для пользователя сертификат открытого ключа, в котором в политику использования закрытого ключа включён пункт «вход со смарт-картой». После этого администратор может распространить на пользователя объект политики безопасности, запрещающий вход в систему без смарт-карты, в результате чего пользователь не сможет входить в систему без использования eToken, в памяти которого хранится подготовленный сертификат открытого ключа и соответствующий ему закрытый ключ.
1.2.3. По программно-аппаратным платформам
eToken NG-Flash, eToken NG-OTP и eToken PRO созданы на основе операционной системы Siemens CardOS и микросхем Infineon.
eToken GT, eToken NG-Flash (Java), eToken NG-OTP (Java) и eToken PRO (Java) построены на платформе eToken Java (операционная система Athena OS755 и микросхема Atmel), в которой реализована технология Java Card с учётом стандарта Global Platform.
1.2.4. По форм-факторам
|
Форм-фактор |
Модели |
Иллюстрация |
|||||||
|
USB-ключ |
|
|
|||||||
|
USB-ключ с генератором одноразовых паролей |
|
|
|||||||
|
OTP-токен |
eToken PASS |
|
|||||||
|
смарт-карта |
|
|
2.2. eToken Network Logon
eToken Network Logon — разработанное компанией Aladdin Knowledge Systems приложение, позволяющее сохранять имя пользователя, пароль и имя домена Windows в памяти eToken и затем использовать eToken в процессе аутентификации. При назначении нового пароля и смене пароля может использоваться встроенный в eToken Network Logon датчик случайных чисел, в результате чего пользователь может даже не знать свой пароль и, следовательно, не иметь возможности входить в систему без eToken. Помимо аутентификации с использованием подставляемых из памяти eToken паролей, eToken Network Logon поддерживает имеющийся в Windows 2000-Server 2008 механизм аутентификации с использованием сертификатов открытого ключа и закрытых ключей в памяти смарт-карт и их аналогов.
![Usb-ключи и смарт-карты etoken – персональное средство аутентификации и защищeнного хранения данных [реферат №6735]](https://ihomesystems.ru/wp-content/uploads/6/0/c/60c82fac809cab71bcaad1f4803957fc.jpeg)
Дополнительные возможности аппаратных шифраторов
Использование целой платы расширения только для аппаратного шифрования слишком расточительно. Помимо функций шифрования, производители стараются добавить в свои устройства разнообразные дополнительные возможности, например:
- Генератор случайных чисел. Он необходим в основном для генерации криптографических ключей. Вдобавок, большое количество алгоритмов шифрования применяют их и для других целей. К примеру, алгоритм электронной подписи ГОСТ Р 34.10 — 2001: При вычислении подписи используется каждый раз новое случайное число.
- Доверенная загрузка. Контроль входа на компьютер. Каждый раз, когда пользователь включает персональный компьютер, устройство будет требовать от него ввода персональной информации (например, вставить дискету с ключами). Только если устройство распознает предоставленные ключи и сочтёт их «своими», загрузка будет продолжена. Иначе пользователь будет вынужден разбирать компьютер и вынимать оттуда плату шифратора, чтобы включить компьютер (тем не менее, как известно, информация на жёстком диске также может быть зашифрована).
- Контроль целостности файлов операционной системы. Злоумышленник не сможет в ваше отсутствие что-либо поменять в операционной системе. Шифратор хранит в своей памяти перечень всех важных файлов с заранее посчитанными для каждого контрольными суммами (или хеш-значениями), и компьютер будет блокирован, если при очередной загрузке не совпадёт контрольная сумма хотя бы одного из файлов.
Устройством криптографической защиты данных (УКЗД) называется плата расширения со всеми вышеперечисленными возможностями. Устройство аппаратного шифрования, контролирующее вход на персональный компьютер и проверяющее целостность всех файлов операционной системы, называется также «электронным замком». Понятно, что аналогия не совсем полная — обычные замки сильно уступают этим интеллектуальным устройствам. Хотя ясно, что последним необходимо программное обеспечение — требуется утилита, генерирующая ключи для пользователей и хранит их список для опознания «свой/чужой». Кроме этого, необходима программа для выбора важных файлов и подсчёта их контрольных сумм. Доступ к этим приложениям обычно есть только у администратора по безопасности. Он должен заранее сконфигурировать все устройства для пользователей, а если появятся проблемы, должен разобраться в их причинах.
Виды аппаратных средств защиты информации
Аппаратные средства по функциональному назначению могут классифицироваться на средства поиска, средства обнаружения, а также средства активного и пассивного противодействия. По своим техническим возможностям при этом аппаратные средства информационной защиты могут быть:
- общего назначения, которые рассчитаны на применение непрофессионалами с целью получения предварительных оценок;
- профессиональные комплексы, которые позволяют производить тщательный поиск и прецизионные измерения всех характеристик средств промышленного шпионажа.
В качестве примера аппаратных средств общего назначения можно привести группу индикаторов электромагнитных излучений, которые обладают широким спектром принимаемых сигналов и низкой чувствительностью. Пример второго вида аппаратных средств – комплекс пеленгования и обнаружения радиозакладок, которые предназначены для автоматического поиска и определения локализации радиомикрофонов, радио- и сетевых передатчиков, а также телефонных закладок. Это уже считается сложным современным поисково-обнаружительным профессиональным комплексом.
Замечание 2
Стоит отметить, что универсальность аппаратуры приводит к снижению параметров по каждой отдельной характеристике.
Существует большое количество каналов утечки информации и множество физических принципов, на основании которых функционируют системы несанкционированного доступа. Многообразие поисковой аппаратуры обусловлено именно этими факторами, а ее сложность определяет высокую стоимость каждого прибора. По этой причине комплекс поискового оборудования могут позволить себе только те структуры, которые постоянно проводят соответствующие исследования. Это или крупные службы безопасности, или специализированые компании, которые оказывают услуги сторонним организациям.
Безусловно, это не является аргументом для того, чтобы самостоятельно отказываться от использования средств поиска. В большинстве случаев они достаточно просты и позволяют осуществлять профилактические мероприятия в промежутке между масштабными поисковыми обследованиями.
В особую группу можно выделить аппаратные средства защиты персональных компьютеров и коммуникационных систем. Они могут использоваться, как в отдельных компьютерах, так и на различных уровнях сети: в ОЗУ, в центральных процессорах ПК, внешних ЗУ, контроллерах ввода-вывода, терминалах.
Замечание 3
Аппаратные средства информационной защиты широко применяются в терминалах пользователей. Для того чтобы предотвратить утечку информации при подключении незарегистрированного терминала, перед выдачей запрашиваемых данных необходимо выполнить идентификацию терминала, с которого поступает запрос.
Но идентификации терминала в многопользовательском режиме недостаточно. Необходимо выполнить аутентификацию пользователя, установив его полномочия и подтвердив подлинность. Это нужно выполнять и для того, чтобы разные участники, которые зарегистрированы в системе, имели доступ только к отдельным файлам, а также строго ограниченные полномочия их применения.
Для того чтобы идентифицировать терминал, чаще всего используется генератор кода, который включен в аппаратуру, а для аутентификации пользователя — такие аппаратные средства, как персональные кодовые карты, ключи, устройства распознавания голоса пользователя, персональный идентификатор или устройство распознавания отпечатков его пальцев. Но самыми распространенными средствами аутентификации являются пароли, которые определяются не аппаратными, а программными средствами распознавания.
4-й шаг. Аппаратные реализации для несанкционированного доступа к ресурсам
Прогресс приносит не только возможности использования его плодов в правовом поле – он предоставляет дополнительные возможности злоумышленникам, а бурное развитие электронных систем – богатый набор инструментов для преступлений в секторе ИС. Наибольшую угрозу для конечных устройств для работы с критичными данными представляет применение нелегальных ги-первизоров для использования возможностей виртуализации при организации нелегитимного доступа. Этот программный слой размещается между операционной системой и BIOS, соответственно никакими диагностическими средствами на уровне ОС он не может быть идентифицирован. Что он дает злоумышленнику? Этот метод аналогичен открытой двери черного входа в хорошо охраняемый банк. Даже рекомендованные и имеющие реальную защиту модули доверенной загрузки (АПМДЗ) оказываются бесполезными, так как они в результате взаимодействуют с измененной версией BIOS и с точки зрения логики защиты АМДЗ нарушения не фиксируются. При этом злоумышленник может получить полный удаленный доступ как к данным, так и к критичным файлам. Типичные методы рекомендованных проверок не дадут требуемого результата. В данном случае применение АМДЗ будет создавать ложное ощущение безопасности. Сдерживает распространение этого метода сложность его реализации на этапе подготовки. Процедура модификации выглядит как штатная замена версии BIOS или может быть осуществлена в процессе производства поставляемой техники.
СПИСОК ИСТОЧНИКОВ
https://wreferat.baza-referat.ru/EToken
https://ru.wikipedia.org/wiki/Электронный_ключ
- Разработка, сопровождение и обеспечение безопасности информационных систем
- 3D принтеры.
- Игровая и виртуальная графика (Эволюция)
- Игровая и виртуальная графика (также маши́нная графика)
- Игровая и виртуальная графика (История развития игровой графики)
- Защитные механизмы ОС macOS
- Миф и стереотип. Мифологические образы. Мифологические сценарии
- Иллюстрации и их значение в книжном издании (ИЛЛЮСТРАЦИИ В ДЕТСКИХ И ПОДРОСТКОВЫХ КНИГАХ)
- История создания типометрии (Основы производственного мастерства)
- Использование цвета в оформлении книжной продукции (Основы производственного мастерства)
- Дизайн
- Пурга
2-й шаг. Нарушение целостности программной среды компьютера
Получив физический доступ к компьютеру, накопителям и операционной системе критичного ПК, злоумышленник может разместить специализированное программное обеспечение (так называемые закладки) для сбора данных, вводимых паролей и упрощения процедуры доступа к ресурсам ПК. Чтобы обеспечить защищенность такой модификации, злоумышленники прибегают к замене критичных файлов ОС, служб, драйверов оборудования. Также могут быть модифицированы исполняемые файлы приложений, непосредственно работающие с критичными данными для обеспечения продолжительного доступа к ним злоумышленнику.
Достоинства аппаратного шифрования
Большое количество средств шифрования данных создаётся в виде специализированных физических устройств. Программные шифраторы, как правило, дешевле аппаратных и в ряде случаев способны обеспечить большую скорость обработки информации. Перечень достоинств аппаратных шифраторов:
- аппаратный датчик случайных чисел создаёт действительно случайные числа для формирования надёжных ключей шифрования и электронной цифровой подписи;
- аппаратная реализация криптоалгоритма гарантирует его целостность;
- шифрование и хранение ключей осуществляются в самой плате шифратора, а не в оперативной памяти компьютера;
- загрузка ключей в шифрующее устройство с электронных ключей Touch Memory (i-Button) и смарт-карт производится напрямую, а не через системную шину компьютера и ОЗУ, что исключает возможность перехвата ключей;
- с помощью аппаратных шифраторов можно реализовать системы разграничения доступа к компьютеру и защиты информации от несанкционированного доступа;
- применение специализированного процессора для выполнения всех вычислений разгружает центральный процессор компьютера; также можно установить нескольких аппаратных шифраторов на одном компьютере, что ещё более повышает скорость обработки информации (это преимущество присуще шифраторам для шины PCI);
- применение парафазных шин при создании шифрпроцессора исключает угрозу чтения ключевой информации по колебаниям электромагнитного излучения, возникающим при шифровании данных, в цепях «земля — питание» устройства.
- шифрование данных проходит быстрее чем в программно-аппаратно шифровании
При установке на компьютер специализированного шифровального оборудования будет возникать меньше проблем, чем при добавлении в системное программное обеспечение функций шифрования данных. В самом лучшем случае шифрование должно производиться так, чтобы пользователь не замечал его. Чтобы сделать это при помощи программных средств, они должны быть спрятаны достаточно глубоко в операционной системе. Проделать эту операцию безболезненно с отлаженной операционной системой очень непросто. Но подсоединить шифровальное устройство к персональному компьютеру или к модему сможет любой непрофессионал.
