Файл: Практикум 2 Студент Забиров А. Р. Факультет Информационные системы и технологии информационной безопасности.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 9
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ "МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ "СИНЕРГИЯ"
Лабораторный практикум 2
Студент: Забиров А. Р.
Факультет: Информационные системы и технологии информационной безопасности
Группа: ВБИо-1013рсоб
2022 г.
Цель работы:
-
Изучить характеристики аппаратных и программных средств шифрования данных. -
Проанализировать достоинства и недостатки представителей классов (подклассов) средств шифрования данных. Внести изменения в разработанную программную и техническую архитектуру, добавив выбранные средства шифрования данных.
Ход работы:
АПМДЗ «КРИПТОН-ЗАМОК» - это сертифицированные комплексы аппаратно-программных средств, которые предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (серверы и рабочие станции), на которых будет обрабатываться информация, в том числе, и с высоким грифом секретности. Изделия семейства АПМДЗ «КРИПТОН-ЗАМОК» выполняют функции разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32, NTFS, EXT2, EXT3.
Устройства криптографической защиты данных (УКЗД) серии КРИПТОН — это аппаратные шифраторы для PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты с высоким уровнем секретности) в государственных и коммерческих структурах. Они гарантируют защиту информации, обрабатываемой на персональном компьютере и/или передаваемой по открытым каналам связи.
Структура аппаратного шифратора.
Блок управления. Основной модуль, управляющий работой всего шифратора. Обычно реализуется на базе микроконтроллера.
Шифропроцессор. Представляет собой специализированную микросхему или микросхему программируемой логики (PLD – Programmable Logic Device). Именно шифропроцессор выполняет шифрование данных на ключах, которые хранятся в «хранилище ключей» - специальном модуле шифропроцессора. Шифропроцессоров может быть несколько – для взаимного контроля (путем сравнения "на лету" получаемых зашифрованных или открытых данных) и/или распараллеливания процесса шифрования. Показанный на КРИПТОН имеет один шифропроцессор на базе PLD.
Аппаратный датчик случайных чисел. Устройство, дающее статистически случайный и непредсказуемый сигнал, преобразуемый впоследствии в цифровую форму. Случайные числа широко используются при защите информации, прежде всего, при генерации ключей шифрования и вычислении электронной цифровой подписи (ЭЦП).
Контроллер PCI(или другой системной шины – в зависимости от того, какой интерфейс имеет шифратор). Управляет процессом взаимодействия шифратора с материнской платой компьютера. Через него осуществляется обмен командами и данными между шифратором и компьютером.
Микросхемы памяти. Энергонезависимая память необходима для хранения программного обеспечения микроконтроллера, для записи журнала операций, а также для множества других целей.
Переключатели режимов работы. Обычно аппаратные шифраторы не ограничиваются выполнением функций шифрования, предоставляя множество дополнительных возможностей (отсюда и более широкое название, часто применяющееся к аппаратным шифраторам – «Устройство криптографической защиты данных» или «УКЗД»). Функциональность УКЗД, в частности, регулируется набором переключателей, позволяющих более гибко настроить шифратор под конкретные функции, требуемые пользователю.
Интерфейсы для подключения ключевых носителей. Для обеспечения наиболее надежной защиты необходимо обеспечить прямой ввод ключей шифрования в УКЗД. В принципе, ключи можно хранить и на обычной дискете, но в этом случае они будут вводиться в устройство, проходя через системную шину компьютера, где есть теоретическая возможность их перехвата. Поэтому аппаратные шифраторы обычно снабжаются интерфейсом для подключения каких-либо устройств хранения ключей. Например, на показаны разъемы для подключения ридеров смарт-карт и коннекторов для работы с электронными таблетками Touch Memory.
Помимо собственно функций шифрования по какому-либо алгоритму (например, по отечественному стандарту шифрования – ГОСТ 28147-89), аппаратный шифратор должен выполнять еще, как минимум, следующие:
-
выполнять различные операции с ключами шифрования: их загрузку в хранилище ключей и выгрузку из него (последнее необходимо для использования различных многоключевых схем, причем, ключи должны выгружаться только в зашифрованном виде), а также шифрование ключей друг на друге; -
рассчитывать имитоприставки для данных и ключей; -
выдавать по запросу случайные числа.
Использование аппаратных шифраторов в современных операционных системах. Операционные системы современных компьютеров (прежде всего, различные варианты UNIX и Microsoft Windows) являются многозадачными. Поэтому при обращении к шифратору в таких системах необходимо учитывать возможность одновременного вызова функций шифратора различных программ. Например, в Microsoft Windows шифратор может получить команды сразу от нескольких программ:
-
команды шифрования данных от программы шифрования файлов; -
команды шифрования данных и вычисления имитоприставок от драйвера, выполняющего прозрачное шифрование сетевых пакетов (скажем, реализующего механизмы VPN – виртуальных частных сетей); -
запросы случайных чисел от программы-генератора криптографических ключей.
Во избежание возникновения коллизий, программы не имеют прямого доступа к шифратору и управляют им через специальные программные модули. Шифраторами фирмы АНКАД (т.е. УКЗД серии КРИПТОН и рядом других) в операционных системах семейства Microsoft Windows управляет универсальный программный интерфейс Crypton API, решающий следующие задачи:
Обеспечение корректного поочередного выполнения шифратором команд, поступающих от различных программ. Crypton API создает отдельную сессию шифрования для каждой программы, после чего поочередно переключает ресурсы шифратора между сессиями. Каждая сессия имеет собственный виртуальный шифратор со своими ключами шифрования, которые корректно перезагружаются при переключении между сессиями. Это несколько похоже на разделение ресурсов ПК между приложениями в многозадачной операционной системе.
Предоставление стандартного интерфейса к функциям шифратора и ключевым носителям Windows-приложениям.
Возможность подключения различных типов шифраторов через драйверы, предоставляющие стандартный набор функций. Это позволяет прикладным программам не зависеть от конкретного типа шифратора. В данном случае, вместо аппаратного шифратора можно подключить и программный (Crypton Emulator), работающий на уровне ядра операционной системы. Аналогичным образом достигается и возможность использования различных ключевых носителей.
Таким образом, при обращении любой Windows-программы к УКЗД, направленная шифратору команда проходит несколько уровней:
Уровень приложений.
Уровень, обеспечивающий интерфейс между приложением и драйвером УКЗД (т.е. уровень Crypton API).
Уровень ядра операционной системы – драйвер УКЗД.
Аппаратный уровень – собственно УКЗД.
Подобная структура обращений к устройствам не нова – очень похожим образом в многозадачных операционных системах работают многие устройства, ресурсы которых разделяются между различными приложениями. Например, сетевые карты или модемы. С последними аналогия совершенно прямая – структура «модем ↔ драйвер ↔ программный интерфейс Telephony API ↔ различные приложения верхнего уровня» весьма похожа на представленную на данной схеме.
На верхнем же уровне схемы может быть любое программное обеспечение, использующее функциональность шифратора:программы шифрования файлов по требованию пользователя;
программы прозрачного (автоматического) шифрования файлов или логических дисков компьютера;
средства вычисления/проверки ЭЦП;
программы генерации криптографических ключей;
средства обеспечения защищенного обмена данными по сетям, в частности, средства построения VPN.
Шифраторы серии КРИПТОН
Основу средств защиты информации фирмы АНКАД составляет линейка аппаратных шифраторов серии КРИПТОН. Рассмотрим подробно наиболее современные из моделей семейства КРИПТОН:
КРИПТОН-4/PCI. Данный шифратор построен на основе отечественных шифропроцессоров "Блюминг" (разработка фирмы АНКАД), скорость шифрования до 1100 Кбайт/с.
КРИПТОН-8. Шифратор с двумя шифропроцессорами на основе PLD, скорость шифрования – до 8500 Кбайт/с.
КРИПТОН Шифратор с одним шифропроцессором на основе PLD, скорость шифрования – до 10000 Кбайт/с.
Перечисленные шифраторы имеют следующие общие характеристики:
Реализуют алгоритм шифрования ГОСТ 28147-89.
Подключаются к шине PCI компьютера.
Предоставляют функции «электронного замка» - т.е. на базе данных УКЗД возможно построение систем ограничения и разграничения доступа к компьютеру с контролем целостности исполняемых модулей операционной системы и других важных файлов.
Могут использовать напрямую целый ряд специализированных носителей криптографических ключей, в частности:
электронные таблетки Touch Memory (TM) фирмы Dallas Lock;
смарт-карты (СК) с открытой и защищенной памятью;
микропроцессорные СК (в том числе, РИК – Российская Интеллектуальная Карта).
Кроме того, интерфейс Crypton API позволяет загружать в УКЗД криптографические ключи и из оперативной памяти компьютера (что, однако, менее безопасно, чем «прямая» загрузка ключей в устройство), что позволяет использовать в качестве ключевых носителей более распространенные и менее дорогостоящие дискеты, USB-ключи и т.д.
В качестве ключевого носителя может быть использован, например, USB-ключ ruToken – совместная разработка компаний АНКАД и «Актив». Однако, ruToken является также и полноценным шифратором для шины USB, поскольку в нем реализованы все режимы алгоритма ГОСТ 28147-89, а драйвер ruToken для Crypton API позволяет использовать его вместо перечисленных выше шифраторов КРИПТОН, правда, с заметной потерей в скорости шифрования.