Мобильное устройство защиты информации

Авторы патента:

Устройство содержит энергонезависимую память, адаптер интерфейса и процессор. Новым является то, что последний выполнен на многофункциональном микроконтроллере, аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов, и построен так, чтобы все ключи шифрования использовались только внутри него и никогда не передавались бы через интерфейс. Возможность доступа к критичным данным, хранящимся в энергонезависимой памяти процессора, предусмотрена также только изнутри него. Память устройства может быть расширена внешней по отношению к процессору флэш-памятью данных файловой системы, доступ к которой защищен PIN-кодом, причем предусмотрено ее стирание после превышения допустимого числа неверных введений PIN-кода. При этом PIN-код может вводиться не только извне через интерфейс, но и с собственной миниатюрной клавиатуры, которую может быть оснащено устройство. Постановка задачи, на решение которой направлена полезная модель, характеризуется новизной - выбором в качестве объекта защиты не только собственной информации пользователя (контента), но и процедуру информационного взаимодействия пользователя с внешними техническими средствами, в которую шифрование контента входит как составная часть, причем приоритет отдан безопасности осуществления транспортных процедур. Технические результаты, находящиеся в причинно-следственной связи с решением указанной задачи, состоят в том, что пользователь получает возможность более безопасного управления своим банковским счетом с любого «чужого» компьютера, вырабатывать/ проверять электронную цифровую подпись и т.д. 2 зав. п. ф-лы.

Полезная модель относится к мобильным (носимым) аппаратным средствам, обеспечивающих пользователям, информационно взаимодействующих, в частности, с несколькими компьютерами, компьютерными сетями, а также современными сетями и системами телекоммуникаций (например, сотовой связи), поддержание криптографически защищенной от несанкционированного доступа персональной информационной среды.

С учетом того, что роль персональной информационной среды в жизни человека в последние годы резко возрастает, обычные средства хранения собственной информации пользователя, используемые им в качестве связующего звена между всеми компьютерами, на которых ему приходится работать (домашним, офисным, библиотечным и т.д.), а также современными многофункциональными средствами связи (смартфонами, коммуникаторами и т.д.), широко представленные на рынке, в частности, всякого рода флэш-накопителями, зачастую перестают удовлетворять требованиям времени, в особенности, по информационной безопасности.

К сожалению, защищенность от несанкционированного доступа не может быть обеспечена шифрованием конфиденциальной информации при ее хранении на обычных носителях, ибо для выполнения криптографических операций на чужом компьютере надо заранее скопировать на какой-то другой носитель ключи, т.е., повышая защищенность одних данных, существенно снизить защищенность других, причем именно тех, от которых зависит защищенность первых. При работе в компьютерных сетях (используя всякого рода веб-сервисы) пользователи, не имеющие специальных мобильных устройств для осуществления криптографически защищенного информационного взаимодействия с ними, вынуждены либо, пренебрегая правилами безопасности, записывать свои пароли на бумаге или в незащищенные файлы, либо рисковать перепутать или забыть их.

На современном уровне технике эта проблема решается применением устройств такого назначения (которые, в более узком смысле, часто позиционируются как персональные средства криптографической защиты), выполненных в виде USB-ключей (т.е. устройств, схемы которых сопрягаются с портом универсальной последовательной шины компьютера), производящих различные операции по обеспечению информационной безопасности пользователя - такие, например, как аутентификацию, электронную цифровую подпись, сохранение конфиденциальной информации, управление доступом к компьютерным сетям, криптографические операции, обеспечение безопасности хранения пароля и т.п.

К ним относятся, в частности, представленные сегодня на отечественном рынке изделия eToken PRO, eToken RIC и ruТокеn. В качестве раскрытых с наибольшей полнотой аналогов можно привести способ и устройство (варианты), описанные в патенте на изобретение [1].

Некоторые из известных решений такого рода фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован программно. Если вычисления такого рода реализуются аппаратно, то они возлагаются, как правило, на микросхему (микроконтроллер) интеллектуальной карточки с ограниченными функциональными возможностями. В большинстве из них объем памяти ограничен только внутренней (защищенной) энергонезависимой памятью процессора, предназначенной для хранения критичных данных, а собственная внешняя память, организованная по принципу файловой системы с менее жесткими требованиями к уровню защищенности, отсутствует.

Таким образом, ни одна из известных моделей аппаратных средств такого рода, если анализировать ее по всему комплексу важных с потребительской точки зрения характеристик, в т.ч. таких, как скорость шифрования и скорость обмена данными по USB-интерфейсу, оказывается не свободной от тех или иных существенных недостатков.

Задача, на решение которой направлена заявляемая полезная модель, состоит не только в устранении присущих известным устройствам упомянутых недостатков, но и характеризуется новой постановкой - сделать объектом криптографической защиты, наряду с собственной информацией пользователя (под этим, строго говоря, подразумевать что-либо, кроме шифрования контента, не логично), саму процедуру информационного взаимодействия пользователя с техническими средствами, в которую шифрование контента входит как составная часть или частный случай. В указанную задачу, таким образом, входят как обеспечение защищенности хранения информации (в перерывах между сеансами использования), так и, что наиболее существенно, обеспечение защищенности транспортных процедур.

Технические результаты, вытекающие из создания устройства, в котором приоритет отдан требованиям безопасности транспортных процедур, трудно переоценить: пользователь, в частности, получает возможность безопасного управления своим банковским счетом с любого «чужого» компьютера, используя программное обеспечение типа «клиент-банк», вырабатывать/проверять электронную цифровую подпись, и т.п. Что же касается непосредственно процедур шифрования, то их следует считать

наиболее решенной из проблем защиты информации - криптографических алгоритмов известно и стандартизовано около десятка.

Сущность заявляемой полезной модели состоит в том, что в мобильном устройстве для осуществления криптографически защищенного информационного взаимодействия пользователя с информационными и телекоммуникационными сетями и системами, содержащем энергонезависимую память, адаптер интерфейса и процессор, последний выполнен на многофункциональном микроконтроллере, аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов, и построен так, чтобы все ключи шифрования использовались только внутри него и никогда не передавались бы через интерфейс, и доступ к критичным данным, хранящимся в энергонезависимой памяти процессора, был бы возможен также только изнутри него.

Процессор с указанными свойствами может быть реализован на одном серийно выпускаемом однокристальном микроконтроллере с соответствующими функциональными возможностями, например, типа ATMEGA128. Последний, в частности, позволяет аппаратно реализовать целую криптографическую библиотеку, включающую практически все используемые в российской и зарубежной практике криптографические алгоритмы (шифрование по ГОСТ 2819-89 и стандартам RC2, RC4, RC5, DES, 3DES, вычисление хэш-функции по ГОСТ Р 34.11-94 и стандартам MD5 и SHA-1, вычисление и проверка электронной цифровой подписи по ГОСТ Р 34.10-94, ГОСТ Р 34-10-2001 и стандартам RSA и DSA, а также вычисление и проверка защитных кодов аутентификации), предусмотрев при этом 4 килобайта для встроенной защищенной энергонезависимой памяти критичных данных.

Аппаратная - без привлечения ресурсов компьютера - реализация криптографических алгоритмов имеет следствием невозможность вмешательства извне в протекание процессов аутентификации, шифрования или выработки/проверки электронной цифровой подписи и их фальсификация. Также это значит, что ни во время сеанса работы, ни после отключения устройства от компьютера или иного аппарата, к которому оно присоединено, во внешний мир не выходит конфиденциальная ключевая информация, и потому она ни при каких условиях не может быть перехвачена или восстановлена злоумышленником (безопасность транспортных процедур).

Естественно, что ограничиться в этой схеме только памятью критичных данных относительно небольшого объема (они хранятся в энергонезависимой памяти внутри процессора) для ряда применений недостаточно. Поэтому устройство, в отдельных вариантах его исполнения и использования, целесообразно оснастить вторым отдельным от процессора управляемым

им блоком - флэш-памятью данных файловой системы (например, подобной ISO 7816-4, с функциями, содержащимися в памяти команд микроконтроллера), доступ к которой защищен PIN-кодом. Стирание данных, хранящихся в организованной таким образом собственной внешней памяти, целесообразно предусмотреть после превышения допустимого числа неверных введений PIN-кода - т.е. при попытке его подбора злоумышленником. Введение PIN-кода в базовом варианте осуществляется извне (через интерфейс) - например, с клавиатуры компьютера, к которому присоединено устройство. В отдельных вариантах исполнения и использования МУЗИ возможно применение собственной миниатюрной клавиатуры.

ЛИТЕРАТУРА

1. Патент России RU 2267155, опубликован 2005.12.27.

1. Мобильное устройство защиты информации (МУЗИ), предназначенное для осуществления криптографически защищенного информационного взаимодействия пользователя с информационными и телекоммуникационными сетями и системами, содержащее энергонезависимую память, адаптер интерфейса и процессор, отличающееся тем, что последний выполнен на многофункциональном микроконтроллере, аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов, и построен так, чтобы все ключи шифрования использовались только внутри него и никогда не передавались бы через интерфейс, и доступ к критичным данным, хранящимся в энергонезависимой памяти процессора, был бы возможен также только изнутри него.

2. МУЗИ по п.1, отличающееся тем, что его память расширена внешней, по отношению к процессору, флэш-памятью данных файловой системы, доступ к которой защищен PIN-кодом, причем предусмотрено ее стирание после превышения допустимого числа неверных введений PIN-кода.

3. МУЗИ по пп.1 и 2, отличающееся тем, что оно дополнительно содержит собственную миниатюрную клавиатуру, в частности, для введения PIN-кода.

Система обеспечения информационной безопасности грид-сети при распределении ресурсов между различными пользователями // 128745

Система формирования правил политик безопасности, реализующих модели безопасности на основе состояний информационных систем // 105486

Автоматизированная система управления защитой информации в территориально распределенной прикладной системе управления // 113442

Устройство для подписи документов электронной аналого-цифровой подписью // 125421

Съемный носитель информации // 102139

Специализированное автоматизированное рабочее место конструктора-проектировщика на автозаводе // 91451

Система маркировки и проверки подлинности объекта // 117668

Устройство для доступа к конфиденциальной информации // 98076

Автоматизированная система квалифицированной цифровой электронной подписи документов // 142709

Автоматизированная система квалифицированной цифровой электронной подписи документов относится к устройствам обработки данных для специального применения и может быть использована в структуре электронного документооборота заказчик-исполнитель, в частности, при реализации документооборота в области рекламы

Автоматизированная информационная система удостоверяющего центра при оформлении и изготовлении паспортно-визовых документов нового поколения // 99625

Установка для создания средств гарантированной защиты передаваемой по радиоканалу информации от неправомерного доступа с помощью специального кодирования (преобразования) информации при открытом хранении параметров кодирования // 124015

Комплекс инженерно-технической защиты охраняемого объекта с идентификацией речи // 105051

Автоматизированное рабочее место с защитой информации от утечек по каналу побочных электромагнитных излучений и наводок // 107608

Система защиты от утечек информации // 111325

Полезная модель относится к средствам вычислительной техники и может быть использовано для предотвращения утечек информации через Интернет, электронную почту, сменные носители, компакт-диски, Bluetooth, инфракрасный порт и принтер

Схема блока индикации и управления, включающая устройство для организации систем информационной безопасности на предприятии // 137144

Система доверенного юридически значимого электронного документооборота // 117198

Система для оформления перевозочных документов на железнодорожном транспорте // 108178

Автоматизированная система предоставления услуг с использованием идентификационного (ид) приложения универсальной электронной карты // 122509

Бортовой комплекс для систем сопровождения и управления наземными транспортными средствами // 109945

Организация система сбора, временного хранения и рассылки информации // 136607