1.8. Технические средства поддержки криптографических протоколов
защищенное хранение секретных данных;
аппаратная реализация криптографических алгоритмов или фраг-ментов протоколов;
средства аутентификации пользователей.
Существует большая номенклатура технических средств под-держки криптографических протоколов:
криптографические сопроцессоры;
специализированные платы с реализацией криптографических функций;
пластиковые карты;
портативные генераторы паролей;
устройства для шифрования аналоговых сигналов и др.
Все перечисленные устройства реализуются, как правило, на базе интегральных микроэлектронных схем.
При необходимости они могут быть реализованы в защищенном исполнении. Как оценить степень их защиты? Специальные российские и международные стандарты по оценке степени защищенности аппаратуры на сего-дняшний день отсутствуют, за исключением стандарта ISO/IEC 15408 - «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), определяющего общую методологию оценки защищенности продуктов и сис-тем информационных технологий. Упомянутый стандарт не содер-жит никакой конкретной методологии оценки ни криптографиче-ских средств защиты информации, ни аппаратных блоков. Других международных или российских стандартов этого профиля в на-стоящий момент нет.В связи с отсутствием других стандартов целесообразно в качестве образца возможной методики оценки защищенности крипто-графических модулей рассмотреть федеральный стандарт США FIPS 140 - «Security Requirements for Cryptographic Modulesкоторый является практически единственным руководством в этой об-ласти. Стандарт использует ряд понятий, которые приведены ниже.
Криптографический модуль (криптомодуль) - это совокупность аппаратного, программного и микропрограммного обеспечения или некоторая их комбинация, которая реализует криптографическую логику или процессы защиты (включая криптографические алгорит-мы или генерацию ключей) и содержится внутри некоторого физи-ческого объема.
Политика безопасности криптографического модуля - точная спецификация правил безопасности, при которых будет функционировать криптографический модуль, включая правила, вытекающие из требований стандарта FIPS 140, и дополнительные правила, нала-гаемые производителем оборудования.
Интерфейс криптомодуля - логическая часть криптографиче-ского модуля, которая специфицирует множество точек входа или выхода, обеспечивающих доступ к модулю, включая потоки инфор-мации или физический доступ.
Критический параметр безопасности - это информация, свя-занная с безопасностью, которая появляется в открытом тексте либо в другой незащищенной форме, разглашение или модификация ко-торой может компрометировать защиту криптомодуля или защиту информации, обрабатываемой модулем.
Это могут быть секретные криптографические ключи либо данные, связанные с аутентификацией (пароли, PIN-коды).В стандарте изложен определенный набор критериев оценки, объединенных в следующие группы:
требования к спецификации криптографического модуля;
требования к спецификации интерфейсов криптомодуля;
роли, сервисы и способы аутентификации субъектов информа-ционной системы криптомодулем;
требования по описанию криптомодуля на базе модели конечно-го автомата (Finite State Machine);
требования по физической безопасности, в том числе по безо-пасности одночиповых и много чиповых криптомодулей и требо-вания к защите и тестированию отклонений параметров внешней среды;
требования по безопасности операционной системы;
система управления криптографическими ключами, включая ге-нерацию случайных и псевдослучайных чисел и криптографиче- ских ключей, обмен ключами и распределение ключей, ввод- вывод ключей, хранение и уничтожение ключей; требования к уровню электромагнитных излучений и наводок; • требования по самотестированию устройства;
гарантии, принятые в процессе конструирования устройства; способы предотвращения иных атак.
В соответствии с этим набором критериев выделяют четыре степени защищенности устройств:
Класс «Security Level 1» -устройства без защиты. Это самый низкий уровень защиты: предполагается только реализация в уст-ройстве некоторых алгоритмов шифрования без всяких дополни-тельных мер защиты, предотвращающих несанкционированный дос-туп к криптографическим алгоритмам либо критическим парамет-рам безопасности. Таким устройством может быть плата персонального компьютера, пластиковая карта и др.
Класс «Security Level 2» - устройства, свидетельствующие о взломе. На устройстве имеются покрытия и(или) печати, свидетельствующие о его вскрытии или попытке вскрытия, ударопрочные замки. Допускается программная реализация алгоритмов в много-пользовательских средах с разделением времени, где применяются операционные системы, соответствующие функциональным требо-ваниям «Общих критериев» по классу защищенности EAL2, с опи-санным профилем защиты функций контроля доступа и аутентификацией по ролям.
Класс «Security Level 3» - устройства, предотвращающие взлом.
Устройство активно пытается предотвратить доступ к крити-ческим параметрам безопасности внутри криптомодуля (посредством обнуления данных при вскрытии корпуса). В устройстве ис-пользуется аутентификация, основанная на идентификаторах субъекта доступа. Порты ввода-вывода критических параметров безопасности должны быть физически отделены от других портов приема-передачи данных, ввод-вывод осуществляется в зашифро-ванном виде или через процедуры разделения знания частей секрета. Допускается программная реализация алгоритмов в многопользова-тельских средах, где применяются операционные системы, соответ-ствующие функциональным требованиям «Общих критериев» поJ. Базовые криптографические протоколы 83
классу защищенности EAL3, с дополнительными функциональными требованиями по образованию доверенных путей передачи данных и реализации модели политики безопасности. Выполнение последнего набора требований предотвращает смешение открытых текстов с шифртекстами и предотвращает неумышленную передачу крипто-графических ключей в открытом виде.
4. Класс «Security Level 4» - устройства, уничтожающие данные при взломе. Устройства этого класса обеспечивают высший уровень защиты: физическая защита реализует «конверт» вокруг крип-томодуля с возможностью обнаружить проникновение в модуль, предпринятое любым способом (для физически незащищенных сред). Устройства либо обнаруживают флуктуации параметров внешней среды и обнуляют критические параметры безопасности, либо проводят строгое тестирование сбоев среды для того, чтобы обеспечить гарантии того, что флуктуации за пределами нормального режима не могут повлиять на компрометацию защиты модуля. При программной реализации в многопользовательских средах с разделением времени должны удовлетворяться все требования для класса «Security Level 3», но операционная система должна быть оценена по классу EAL4 с дополнительными требованиями форма-лизации модели политики безопасности, поддерживаемой устройст-вом, анализа побочных каналов утечки информации и описанием модульной структуры устройства.
В США существует также программа оценки криптографиче-ских модулей в соответствии с этим стандартом - CMVP (Crypto-graphic Module Validation Program).
Система оценки криптографи-ческих модулей в основных чертах аналогична системе оценки про-дуктов и систем информационных технологий по «Общим критериям», в том числе повторяются все основные ее элементы: ак-кредитованные лаборатории, процесс сертификации средств защиты ИТ. д.При реализации криптосистем очень широкое распространение получил такой вид защищенных устройств, как пластиковые кар-ты. Классификация пластиковых карт приведена на рис. 1.4.
Рис. 1.4. Классификация пластиковых карт
Карты с магнитной полосой впервые начали использоваться в конце 60-х гг. в США в автоматах для выдачи наличных денег. Магнитные карты имеют функции хранения данных, записи на карту и чтения с карты. В соответствии со стандартами ISO магнитные карты имеют три магнитные дорожки, на одну из которых разреше-на запись данных, другие доступны только для чтения. Основными недостатками карт с магнитной полосой являются возможность их сравнительно легкой подделки, низкая надежность, очень ограни-ченная память, а также полная их пассивность, т. е. неспособность к самостоятельной обработке информации, сравнительно высокая стоимость и низкая надежность устройств чтения магнитных карт. В магнитных картах используются достаточно простые средства защиты от подделки: магнитные «водяные знаки» и метод «сэндви-ча» - одна полоса содержит участки с различными уровнями намаг-ниченности. В настоящее время магнитные карты используются в основном в системах с малоценной информацией, где подделка карты или ее выход из строя по техническим причинам не нанесет большого ущерба системе.
Следующим этапом развития пластиковых карт стало появление полупроводниковых карт. Такая карта содержит в своем составе ин-тегральную микросхему, в которой объединены как минимум два типа памяти: постоянная (ROM) и электрически перепрограммируемая (перезаписываемая) постоянная память (EEPROM), а также ло-гическую схему для управления ячейками памяти.
На поверхность карты выведены металлические контакты для взаимодействия с уст-ройством доступа. Взаимодействие с внешней аппаратурой осуще-ствляется за счет физического контакта электрических цепей карты и устройства доступа. При этом доступ к ячейкам памяти карты осуществляется через управляющую логическую схему.Интеллектуальные карты (ИК), или смарт-карты, - это пла-стиковые карты со встроенным программируемым микропроцессором. Геометрические параметры таких карт не отличаются от опи-санных ранее типов пластиковых карт. Главное отличие ИК от пас-сивных пластиковых карт заключается в способности обрабатывать хранящуюся и поступающую информацию при помощи встроенного микропроцессора. Применение микропроцессора позволило карди-нально изменить роль пластиковой карты в автоматизированной системе: микропроцессор позволил, например, осуществлять кон-троль доступа к памяти ИК во время взаимодействия с автоматизи-рованной системой, выполнять ряд других специфических функций, как правило криптографического характера. ИК, кроме выполнения алгоритмов, связанных с их целевым назначением (например, осу-ществления финансовых транзакций), выполняют в основном крип-тографические преобразования информации (схемы шифрования, цифровой подписи, аутентификации и др.). Кроме того, ИК могут дополнительно снабжаться средствами логической и даже биомет-рической аутентификации владельца карты. Типовые характеристики современных ИК таковы: объем ROM - 2...64 Кбайт, RAM - 4... 128 Кбайт, EEPROM - 2... 16 Кбайт, в них используются в основном 16- и 32-разрядные микропроцессоры. Существует два типа микропроцессорных ИК, различающиеся принципом взаимодействия с устройством считывания: контактные и бесконтактные.
Основным аппаратным устройством ИК является интегральная микросхема, вмонтированная в пластиковую основу, находящаяся под металлическими контактными площадками. Физически инте-гральная микросхема занимает лишь небольшую часть площади по-верхности карты; карта имеет больший размер только из соображений удобства пользования ею.
В основе аппаратной организации ИК лежит шинная архитектура вычислительной системы. Основные компоненты интегральной микросхемы карты - это микропроцессор, схемы памяти, схемы ввода/вывода, схемы синхронизации, схемы защиты, схемы инициализации (стартовые цепи) и внутренняя шина (электрическая магистраль). Интегральная микросхема карты чаще всего выполняется в виде физически защищенного от внешних воздействий модуля, на поверхность которого в особо ответственных случаях может наноситься специальное оптически непрозрачное покрытие, не позволяющее «увидеть» внутреннюю структуру модуля. Программное обеспечение смарт-карты включает операци-онную систему карты, прикладное программное обеспечение (ПО) и идентификационную информацию.На пластиковой карте может храниться разнообразная информа-ция, имеющая отношение к ее владельцу, в том числе криптографи-ческие ключи, персональные данные. На карте также могут аппарат- но реализовываться разнообразные криптографические алгоритмы: схемы открытого шифрования, цифровой подписи, блочные и по-точные шифры, хеш-функции, генераторы псевдослучайных функций, идентификационные примитивы. Конкретные примеры исполь-зования пластиковых карт в криптографических протоколах будут рассмотрены в последующих разделах.
1. Базовые криптографические протоколы