Защищенные носители ключевой информации – универсальный инструмент информационной безопасности Карпов Андрей ООО «АВТОР» Носители ключевой информации (НКИ) Это защищенные аппаратно-программные устройства, предназначенные для хранения ключевых данных пользователей, с помощью которых осуществляется формирование и проверка электронной цифровой подписи (ЭЦП), шифрование данных, аутентификация, а также решение ряда дополнительных задач НКИ - универсальный инструмент информационной безопасности Защищенные НКИ - это универсальный инструмент, предназначенный для использования в: инфраструктуре открытых ключей (PKI) платежных системах системах доступа сетевой безопасности Применяется в качестве: электронного идентификатора носителя персональной информации средства формирования ЭЦП, шифрования данных с неизвлекаемым закрытым ключом НКИ компании «АВТОР» Электронные ключи «SecureToken-337» Смарт-карты «CryptoCard-337» НКИ в формате MicroSD Экспертные заключения ГСССЗИ Украины Cмарт-чип NXP Semiconductors P5CC037 Основные технические характеристики чипа NXP P5CC037: EEPROM – 36 кбайт интерфейсы – контактный интерфейс ISO/IEC 7816 RAM – 6 кбайт ROM – 200 кбайт 5 металлических слоев толщиной 0,14 мм (CMOS технология) поддержка инфраструктур открытых ключей (PKI) сопроцессоры: ЕСС, dual/triple DES, RSA cсоответствие международному критерию СС EAL5+ EEPROM с минимумом в 500 000 обращений и минимумом времени службы 25 лет Уровни защиты смарт-чипов Технологический чипа) (технология производства смарт- Аппаратный (обеспечивается ресурсом смарт-чипа) Программный (реализуется средствами ОС «УкрКОС 3.0®») Технологический уровень защиты При производстве смарт-чипов применяются затрудняют получение тайной информации: приемы, которые создаются многослойные структуры кристаллов ответственные части схемы размещаются внутри создаются дополнительные слои металлизации Данные мероприятия защищают чип от оптического и электронного сканирования, обеспечивают его разрушение при послойном спиливании Аппаратный уровень защиты Аппаратный уровень защиты поддерживается ресурсом смарт-чипа. Для этого в нем реализуются специальные датчики, устройства и элементы: детекторы пониженного и повышенного напряжения питания, тактовой частоты и температуры стирание области RAM при сбросе или срабатывании датчиков защита от высокочастотных помех скремблирование внутренних шин, шифровки RAM и EEPROM аппаратная защита чтения областей ROM, EEPROM самотестирование структуры чипа защита от подключений зондами Программный уровень защиты (ОС «УкрКОС 3.0®») «УкрКОС 3.0®» – полная файловая операционная система для смарт-карт, соответствующая требованиям международных стандартов ISO/IEC 7816-3 Т=1, Т=0, ISO/IEC 14443-А/В. Основные возможности «УкрКОС 3.0®» : файловая организация данных поддержка отдельных приложений реализация различных возможностей управления доступом к данным и приложениям многоуровневые механизмы защиты быстродействие Функциональные возможности НКИ Генерация ключевых данных и формирование ЭЦП в соответствии с ДСТУ 4145-2002 (163-509 бит) и RSA (512-2048 бит) Шифрование/расшифровывание данных (ДСТУ ГОСТ 28147:2009, DES, 3-DES, AES) Вычисление хеш-функции (ГОСТ 34.311-95, MD5, SHA-1) Генерация случайной битовой последовательности Хранение на НКИ до 30 личных ключей поддержка стандартных криптографических интерфейсов: o Windows CryptoAPI o Java Cryptography Architecture (JCA) o PKCS#11 Скоростные характеристики НКИ Название стандарта ДСТУ 4145-2002 PKCS#1 RSA Cryptography Standard Длина ключа, бит Время формирования ЭЦП, мс 191 30 257 50 509 185 1024 300 1536 1000 2048 2000 Использование НКИ Интеграция НКИ Уровень приложений (доступно 32 кб) ЦСК PKI УЦ НБУ, КФЦ, УСЦ, ЭЦП, Шифрование, ЭДО MasterKey, ВДЦП, ГП New поддержка PKI САБ АСКОД, Directum, УСС, ВТБ, applications любых поставщиков Б2, Мебиус, IBM Lotus Notes Райффайзен Банк Клиент-банк Scrooge, АРГУС, Аваль, Имэксбанк iFOBS, iBank 2, Midas+, Cтандарт Card Management BSS, НОКК, Двухфакторная Bankmasrer шифрования и Systems Мебиус, авторизация подписи в Управление Система SCrooge... домен, операционные электронной почте жизненным циклом расчетов online системы, прикладное IS-card S/MIME НКИ WebMoney ПО система эмиссии и VPN Шифрование розничного Системы денежных SSO CiscoVPN дисков обслуживания переводов CryptoSSO, OpenVPN CryptoGuard, кредитных карт Unistream, Лидер, АвальOracle SSO... BitLocker СЭП НБУ CryptoHSL TokenFS Экспресс... Уровень системного ПО Microsoft CryptoAPI Java Cryptography Architecture CryptoLIB (PKCS#11) НКИ УкрКОС 3.0 Уровень аппаратного обеспечения со встроенной карточной ОС SecureToken 337, CryptoCard-337 Эксп. закл. ГСССЗИ Украины, Смарт-чип NXP P5CC037, EEPROM – 37 кб, криптографические сопроцессоры: RSA, AES, SHA-1, ДСТУ 4145-2002, ГОСТ 28147-89, ГОСТ 34.311-95, интерфейс согласно ISO 7816 } Средство ЭЦП CryptoDS Преимущества НКИ Надежная встроенная система защиты Зашифрованный обмен информации с НКИ Долговечность Активная криптография Поддержка международных и национальных стандартов Интегрируемость Хранение до 30 личных ключей Спасибо за внимание