Защищенные носители ключевой информации инструмент информационной безопасности

Защищенные носители ключевой
информации – универсальный
инструмент информационной
безопасности
Карпов Андрей
ООО «АВТОР»
Носители ключевой информации (НКИ)
Это
защищенные
аппаратно-программные
устройства,
предназначенные для хранения ключевых данных пользователей,
с помощью которых осуществляется формирование и проверка
электронной
цифровой
подписи
(ЭЦП),
шифрование
данных,
аутентификация, а также решение ряда дополнительных задач
НКИ - универсальный инструмент
информационной безопасности
Защищенные НКИ - это универсальный инструмент, предназначенный
для использования в:
 инфраструктуре открытых ключей (PKI)
 платежных системах
 системах доступа
 сетевой безопасности
Применяется в качестве:
 электронного идентификатора
 носителя персональной информации
 средства формирования ЭЦП, шифрования данных с
неизвлекаемым закрытым ключом
НКИ компании «АВТОР»
Электронные ключи
«SecureToken-337»
Смарт-карты
«CryptoCard-337»
НКИ в формате
MicroSD
Экспертные заключения ГСССЗИ Украины
Cмарт-чип NXP Semiconductors
P5CC037
Основные технические характеристики чипа NXP P5CC037:
 EEPROM – 36 кбайт
 интерфейсы – контактный интерфейс ISO/IEC 7816
 RAM – 6 кбайт
 ROM – 200 кбайт
 5 металлических слоев толщиной 0,14 мм (CMOS технология)
 поддержка инфраструктур открытых ключей (PKI)
 сопроцессоры: ЕСС, dual/triple DES, RSA
 cсоответствие международному критерию СС EAL5+
 EEPROM с минимумом в 500 000 обращений и минимумом
времени службы 25 лет
Уровни защиты смарт-чипов
 Технологический
чипа)
(технология
производства
смарт-
 Аппаратный (обеспечивается ресурсом смарт-чипа)
 Программный (реализуется средствами ОС «УкрКОС
3.0®»)
Технологический уровень защиты
При производстве смарт-чипов применяются
затрудняют получение тайной информации:
приемы,
которые
 создаются многослойные структуры кристаллов
 ответственные части схемы размещаются внутри
 создаются дополнительные слои металлизации
Данные мероприятия защищают чип от оптического и электронного
сканирования, обеспечивают его разрушение при послойном
спиливании
Аппаратный уровень защиты
Аппаратный уровень защиты поддерживается ресурсом смарт-чипа.
Для этого в нем реализуются специальные датчики, устройства и
элементы:
 детекторы пониженного и повышенного напряжения питания,
тактовой частоты и температуры
 стирание области RAM при сбросе или срабатывании датчиков
 защита от высокочастотных помех
 скремблирование внутренних шин, шифровки RAM и EEPROM
 аппаратная защита чтения областей ROM, EEPROM
 самотестирование структуры чипа
 защита от подключений зондами
Программный уровень защиты (ОС
«УкрКОС 3.0®»)
«УкрКОС 3.0®» – полная файловая операционная система для
смарт-карт,
соответствующая
требованиям
международных
стандартов ISO/IEC 7816-3 Т=1, Т=0, ISO/IEC 14443-А/В.
Основные возможности «УкрКОС 3.0®» :
 файловая организация данных
 поддержка отдельных приложений
 реализация различных возможностей управления доступом к
данным и приложениям
 многоуровневые механизмы защиты
 быстродействие
Функциональные возможности НКИ
 Генерация ключевых данных и формирование ЭЦП в
соответствии с ДСТУ 4145-2002 (163-509 бит) и RSA
(512-2048 бит)
 Шифрование/расшифровывание данных (ДСТУ ГОСТ
28147:2009, DES, 3-DES, AES)
 Вычисление хеш-функции (ГОСТ 34.311-95, MD5, SHA-1)
 Генерация случайной битовой последовательности
 Хранение на НКИ до 30 личных ключей
 поддержка стандартных криптографических интерфейсов:
o Windows CryptoAPI
o Java Cryptography Architecture (JCA)
o
PKCS#11
Скоростные характеристики НКИ
Название стандарта
ДСТУ 4145-2002
PKCS#1 RSA
Cryptography
Standard
Длина ключа, бит
Время
формирования
ЭЦП, мс
191
30
257
50
509
185
1024
300
1536
1000
2048
2000
Использование НКИ
Интеграция НКИ
Уровень приложений
(доступно 32 кб)
ЦСК
PKI
УЦ НБУ, КФЦ, УСЦ,
ЭЦП, Шифрование,
ЭДО
MasterKey, ВДЦП, ГП
New
поддержка PKI
САБ
АСКОД, Directum,
УСС, ВТБ,
applications
любых поставщиков
Б2, Мебиус,
IBM Lotus Notes
Райффайзен Банк
Клиент-банк
Scrooge, АРГУС,
Аваль, Имэксбанк
iFOBS, iBank 2,
Midas+,
Cтандарт
Card Management
BSS, НОКК,
Двухфакторная
Bankmasrer
шифрования и
Systems
Мебиус,
авторизация
подписи в
Управление
Система
SCrooge...
домен, операционные
электронной почте
жизненным циклом
расчетов online
системы, прикладное
IS-card
S/MIME
НКИ
WebMoney
ПО
система эмиссии и
VPN
Шифрование
розничного
Системы денежных
SSO
CiscoVPN
дисков
обслуживания
переводов
CryptoSSO,
OpenVPN
CryptoGuard,
кредитных карт
Unistream, Лидер, АвальOracle SSO...
BitLocker
СЭП НБУ
CryptoHSL
TokenFS
Экспресс...
Уровень
системного ПО
Microsoft
CryptoAPI
Java
Cryptography
Architecture
CryptoLIB
(PKCS#11)
НКИ УкрКОС 3.0
Уровень аппаратного
обеспечения со встроенной
карточной ОС
SecureToken 337, CryptoCard-337
Эксп. закл. ГСССЗИ Украины, Смарт-чип NXP
P5CC037, EEPROM – 37 кб, криптографические
сопроцессоры: RSA, AES, SHA-1, ДСТУ 4145-2002,
ГОСТ 28147-89, ГОСТ 34.311-95,
интерфейс согласно ISO 7816
}
Средство
ЭЦП
CryptoDS
Преимущества НКИ
 Надежная встроенная система защиты
 Зашифрованный обмен информации с НКИ
 Долговечность
 Активная криптография
 Поддержка международных и национальных стандартов
 Интегрируемость
 Хранение до 30 личных ключей
Спасибо за внимание