23. Организация хранения ключей (с примерами реализации). Магнитные диски прямого доступа. Магнитные и интеллектуальные карты. Средство TouchMemory.

При создании надежной системы криптографической защиты информации одной из первоочередных задач является обеспечение надежного хранения ключей пользователя на его рабочем месте. Злоумышленнику гораздо легче получить несанкционированный доступ к ключам путем подкупа сотрудников или с использованием специальных программных средств, таких как вирусы и программы прямого доступа к памяти, чем осуществлять дорогостоящие, требующие больших вычислительных и временных затрат атаки на криптографический алгоритм. Приведем некоторые основные способы организации надежного хранения ключей на рабочем месте пользователя:

- работа с криптоустройствами, имеющими защищенную от несанкционированного доступа память для хранения ключей;

- хранение ключей в зашифрованном виде непосредственно на персональном компьютере пользователя;

- использование внешних устройств для хранения ключей.

Первый способ, хотя и является самым надежным, но не всегда у пользователя есть возможность работать с такими устройствами. Кроме того, как правило, память криптоустройств имеет ограниченный объем, поэтому на практике в них хранятся ключи для зашифрования или генерации сеансовых ключей или ключей для файлов (директорий).

Второй способ не нуждается в особых комментариях и с точки зрения практической реализации не представляет особого интереса. Необходимо лишь отметить, что в большинстве реализованных систем криптографической защиты таким образом хранятся лишь ключи для зашифрования файлов (директорий).

Третий способ на сегодняшний день считается одним из самых перспективных. Дело в том, что в последнее время появилось большое количество устройств, имеющих возможность долгосрочного хранения ключевой информации. Защита таких устройств легко решается организационными методами, а возможность их совмещения с современными средствами вычислительной техники расширяет диапазон применения, поэтому данный метод является предпочтительным для практической реализации. Среди устройств, в которых хранится ключевая информация, следует выделить магнитные карты, гибкие магнитные диски, микросхемы ППЗУ, электронные пластиковые ключи и электронные карты (smart-cards). Из вышеперечисленных наиболее перспективными являются смарт-карты, поскольку одновременно с ключевым носителем они могут использоваться в качестве технического средства реализации криптосхем с программируемой логикой.

Магнитные и интеллектуальные карты. Пластиковая карточка представляет собой пластину стандартных размеров (85,6х53,9х0,76 мм), изготовленную из специальной, устойчивой к механическим и термическим воздействиям, пластмассы. Основное назначение пластиковой карточки в защищенной компьютерной системе – быть носителем ключа или индивидуальной информации пользователя. Карточка может содержать и внешние признаки идентификации и аутентификации. Графические данные обеспечивают возможность визуальной идентификации карточки и ее владельца. В карточках со штрих-кодом в качестве носителя ключа используется штриховой код. Обычно кодовая полоска штрих-кодовой карты покрыта непрозрачным составом и считывание кода происходит в инфракрасных лучах. Последняя особенность обусловливает их слабую защищенность от подделки и делает поэтому малопригодными для использования в защищенных компьютерных системах. Магнитная полоса располагается на обратной стороне магнитной карты и включает три дорожки магнитной записи, первые две из которых предназначены для хранения данных владельца, на третью можно записывать изменяемую информацию. Носителем информации является специальное устройство типа бескорпусной микросхемы.

Смарт-карты подразделяются на два больших класса:

-                   карты с процессором

-                   карты без процессора – карты памяти.

Карты памяти подразделяются на два типа:

-                   с незащищенной (полнодоступной)

-                    защищенной памятью.

В картах первого типа нет никаких ограничений на чтение и запись данных. Карта с микропроцессором (интеллектуальная карта, ИК) представляет собой практически микрокомпьютер и содержит все его аппаратные компоненты. Пластиковая карта с процессором позволяет реализовать достаточно сложные процедуры обработки и хранения ключевой информации.

Touch Memory представляет собой энергонезависимую память, размещенную в металлическом корпусе, с одним сигнальным контактом и одним контактом земли. Корпус, по виду напоминающий миниатюрную пуговичную батарейку, легко крепится на изделии либо на носителе (карточка, брелок). Информация записывается и считывается из памяти прибора простым касанием считывающего устройства корпуса Touch Memory.

Каждый прибор Touch Memory содержит постоянное запоминающее устройство (ПЗУ), в котором хранится 64-разрядный код, состоящий из 8-разрядного кода типа прибора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы

Размещаемые в ПЗУ данные представляют собой уникальную кодовую комбинацию, которая записывается в прибор с помощью лазерной установки во время его изготовления и не может быть изменена в течение всего срока службы прибора. В процессе записи и тестирования на заводе гарантируется, что не будет изготовлено двух приборов с одинаковыми номерами.

Одним из основных преимуществ Touch Memory по сравнению с идентификаторами других типов является их высокая надежность. Приборы Touch Memory выдерживают механический удар 500 g, падение с высоты 1,5 метра на бетонный пол, 11-килограммовую нагрузку на корпус, не подвержены воздействию магнитных и статических полей, промышленной атмосферы и работают в диапазоне температур от -40'С до +85'С для DS 1990 и от -20'С до +85'С для всех остальных приборов семейства.

Наиболее широкое применение приборы Touch Memory находят в системах управления физическим доступом в помещения, здания и доступом к информационным ресурсам, оборудованию, в системах безналичных электронных платежей, автоматической идентификации изделий, объектов.