13.5. Технология защиты информации на основе смарт-карт
Появление новой информационной технологии смарт-карт (СК), основанной на картах со встроенным микропроцессором, позволило удобнее решать вопросы использования пластиковых денег. Однако уникальные возможности СК с микропроцессором, состоящие в высокой степени защиты от подделки, поддержке базовых операций по обработке информации, обеспечении высоких эксплуатационных характеристик, сделали СК одним из лидеров среди носителей конфиденциальной информации.
Следует отметить отличительные особенности таких карт. СК содержит микропроцессор и ОС, которые обеспечивают уникальные свойства защиты, имеют контактное и бесконтактное исполнение (на рис.13.7 показана бесконтактная смарт-карта).
Таким образом, технология СК обеспечивает надежное хранение ключей и доступ к различным информационным ресурсам.
Персональные идентификаторы iKey компании Rainbow являются недорогими брелоками, которые могут использоваться на любой рабочей станции, имеющей универсальную последовательную шину (USB). Они обеспечивают надежность, простоту и безопасность в такой же степени, как и смарт-карты, но без сложностей и лишних затрат, связанных с использованием считывателя. iKey являются идеальным инструментом для контроля доступа к сетевым службам. iKey 2000 поддерживает и интегрируется со всеми основными прикладными системами, работающими по технологии PKI и используемыми в сетях отдельной организации, нескольких взаимодействующих организаций. Указанные системы включают Microsoft Internet Exolorer и Outlook, Netscape, Entrust, Baltimore, Xcert, Verisign и др. iKey 2000 разрабатывался для защиты цифровой идентичности в рамках инфраструктуры открытых ключей (PKI). iKey 2000 способен с помощью аппаратных средств генерировать и сохранять в памяти пары открытых ключей и цифровые сертификаты, а также производить цифровую подпись. Личный PKI-ключ недоступен компьютеру клиента.
iKey 2000 создает мощную систему защиты и криптографического кодирования непосредственно внутри аппаратного устройства. Для iKey 2000 пользователю поставляется программное обеспечение. Устройство содержит полный набор криптографических библиотек для броузеров Netscape и Internet Exolorer, а также для клиентов электронной почты. iKey 2000 действует одновременно как смарт-карта и считыватель, находящиеся в едином устройстве с конструктивом USB. Для активизации прикладной программы достаточно вставить iKey 2000 в USB-порт.
iKey 2000 реализует более простой метод обеспечения привилегий пользователя, чем пароли или чисто программные сертификаты. Чтобы запрограммировать ключ, администратору потребуется всего несколько минут. Потерянные ключи могут быть дезактивированы и изменены.
13.6. Система защиты конфиденциальной информации «Secret Disk»
Назначение
Secret Disk (рис.13.8) - система защиты конфиденциальной информации для широкого круга пользователей компьютеров: руководителей, менеджеров, бухгалтеров, аудиторов, адвокатов, для тех, кто заботится о защите личной или профессиональной информации. Secret Disk просто необходим мобильным пользователям. Именно они подвергаются наибольшему риску утечки конфиденциальной информации.
При установке системы Secret Disk в компьютере появляется новый виртуальный логический диск (один или несколько). Все, что на него записывается – автоматически шифруется, а при чтении – расшифровывается. Содержимое этого логического диска находится в специальном контейнере – зашифрованном файле. Файл секретного диска может находиться на жестком диске компьютера, на сервере, на съемных носителях типа Zip, Jaz, CD-ROM или магнитооптике.
Seсret Disk обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.
П
одключение
секретного диска и работа с зашифрованными
данными возможны только после аппаратной
аутентификации пользователя ввода и
правильного пароля. Для аутентификации
используется электронный идентификатор
– смарткарта, электронный ключ или
брелок.
После подключения секретного диска он становится «виден» операционной системе Windows как еще один жесткий диск, а записанные на нем файлы доступны любым программам. Не имея электронного идентификатора и не зная пароля, подключить секретный диск нельзя – для посторонних он останется просто зашифрованным файлом с произвольным именем (например, game.exe или girl.tif).
Как любой физический диск, защищенный диск может быть предоставлен для совместного использования в локальной сети. После отключения диска все записанные на нем файлы и программы сделаются недоступными.
Основные особенности
Защита конфиденциальных данных с помощью профессиональных алгоритмов шифрования (возможностью подключения внешних криптографических библиотек).
Генерация ключей шифрования самим пользователем.
Аппаратная аутентификация пользователя с использованием электронных брелков, смарт-карт, PCMCIA-карт или электронных ключей.
Двойная защита. Каждый секретный диск защищен личным электронным идентификатором пользователя и паролем доступа к этому диску.
Работа с зашифрованными архивами. Информацию можно сжать и зашифровать как для себя (с использованием электронного идентификатора), так и для защищенного обмена с коллегами (с паролем).
Блокировка компьютера Secret Disk позволяет гасить экран и блокировать клавиатуру при отключении электронного идентификатора, при нажатии заданной комбинации клавиш или длительной неактивности пользователя При блокировании системы секретные диски не отключаются, запущенные приложения, использующие защищенные данные, продолжают нормально работать, работа других пользователей, которым предоставлен совместный доступ к секретному диску в сети, не нарушается.
Режим работы под принуждением. В критической ситуации можно ввести специальный аварийный пароль. При этом система на некоторое время подключит диск, уничтожив личный ключ шифрования в электронном идентификаторе (что сделает невозможным доступ к диску в будущем), а затем сымитирует одну из известных ошибок Windows. Возможность восстановления данных при утере (или намеренной порче) электронного идентификатора или утрате пароля.
Простой и удобный пользовательский интерфейс.
Защищенные архивы
Secret Disk имеет встроенный архиватор, который не только сжимает, но и надежно шифрует данные.
Доступ к зашифрованному архиву может быть защищен паролем, либо электронным идентификатором.
Возможность работы с зашифрованными архивами (с паролем) очень полезна в тех случаях, когда конфиденциальные данные требуется передать на сменном носителе или переслать по электронной почте.
Вход в систему под принуждением
Для каждого секретного диска может быть задан отдельный пароль для входа под принуждением. После его ввода (при подключенном электронном идентификаторе) система на достаточно короткое время подключит диск; сотрет записанный в электронном идентификаторе личный ключ (опционально); сымитирует сбой операционной системы. После этого личный ключ доступа в памяти электронного идентификатора будет уничтожен, а без него расшифровать содержимое секретного диска (файла-контейнера) будет практически не возможно.
Электронный идентификатор
Для аутентификации пользователя и надежного хранения уникальной информации, необходимой для системы шифрования, Secret Disk использует электронные идентификаторы – своего рода, «электронные ключи» от секретных дисков пользователей.
Электронный идентификатор имеет память, в которой хранится секретный ключ, используемый для доступа и расшифровки данных на секретном диске. Для доступа к данным необходимо подключить электронный идентификатор и ввести правильный пароль доступа.
Отходя от компьютера, можно уносить электронный идентификатор с собой или запирать его в сейф.
Secret Disk может работать с различными типами электронных идентификаторов:
электронные ключи;
электронные брелоки (для новых компьютеров с USB-портами);
смарткарты;
PC Card (PCMCIA-карты).