Maskinvarukryptering

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 15 juli 2020; kontroller kräver 3 redigeringar .

Maskinvarukryptering är en krypteringsprocess  som utförs med hjälp av specialiserade datorenheter.

Introduktion

Idag används tre typer av kodare mest för datakryptering: hårdvara, firmware och mjukvara. Deras huvudsakliga skillnad ligger inte bara i hur kryptering implementeras och graden av tillförlitlighet för dataskydd, utan också i priset, vilket ofta blir en avgörande faktor för användarna. De billigaste krypteringsenheterna är mjukvara, följt av firmware och slutligen den dyraste hårdvaran. Trots att priset på hårdvarukodare är avsevärt högre än på mjukvarukodare är prisskillnaden inte jämförbar med en signifikant ökning av kvaliteten på informationsskyddet [1] .

Fördelar med hårdvarukryptering

Ett stort antal datakrypteringsverktyg skapas i form av specialiserade fysiska enheter. Programvarukodare är som regel billigare än hårdvarukodare och kan i vissa fall ge en högre hastighet på informationsbearbetningen. Listan över fördelar med hårdvarukodare:

• en slumptalsgenerator för hårdvara skapar verkligt slumptal för att generera tillförlitliga krypteringsnycklar och elektroniska digitala signaturer ;
• hårdvaruimplementering av kryptoalgoritmen garanterar dess integritet;
• kryptering och lagring av nycklar utförs i själva kodarkortet och inte i datorns RAM;
• nycklar laddas in i krypteringsenheten från Touch Memory (i-Button) elektroniska nycklar och smartkort direkt, och inte via datorns systembuss och RAM, vilket eliminerar möjligheten för nyckelavlyssning;
• med hjälp av hårdvarukodare är det möjligt att implementera system för att begränsa åtkomst till en dator och skydda information från obehörig åtkomst;
• användningen av en specialiserad processor för att utföra alla beräkningar avlastar datorns centrala processor ; du kan också installera flera hårdvarukodare på en dator, vilket ytterligare ökar hastigheten på informationsbearbetningen (denna fördel är inneboende i kodare för PCI-bussen);
• Användningen av parafasdäck när du skapar en chifferprocessor eliminerar hotet att läsa nyckelinformation om elektromagnetiska strålningsfluktuationer som uppstår under datakryptering i enhetens "jordkrafts"-kretsar.
• datakryptering är snabbare än i hårdvaru-mjukvarukryptering

Att installera specialiserad krypteringsmaskinvara på din dator kommer att vara ett mindre problem än att lägga till datakrypteringsfunktioner till din systemprogramvara . I bästa fall bör kryptering göras på ett sådant sätt att användaren inte märker det. För att göra detta med hjälp av mjukvaruverktyg måste de vara dolda tillräckligt djupt i operativsystemet. Det är mycket svårt att göra denna operation smärtfritt med ett felsökt operativsystem. Men alla icke-professionella kan ansluta krypteringsenheten till en persondator eller till ett modem [2] .

Typer av hårdvarukrypteringsenheter

Den moderna marknaden erbjuder 3 typer av informationskrypteringshårdvara till potentiella köpare

• krypteringsblock i kommunikationskanaler
• självförsörjande krypteringsmoduler (de gör allt arbete med nycklarna själva)
• krypteringsexpansionskort för installation i persondatorer

Nästan alla enheter av de två första typerna är högt specialiserade. Därför måste installationsbegränsningarna som dessa enheter ålägger respektive enheter, applikationsprogram och operativsystem undersökas noggrant innan det slutliga beslutet att köpa dem tas. Annars kan du slösa bort dina pengar utan att komma närmare ditt önskade mål. Det finns sant att det finns företag som säljer kommunikationsutrustning tillsammans med förinstallerade hårdvarukrypteringsenheter, vilket ibland gör valet lättare.

Persondatortilläggskort är mer mångsidig hårdvarukryptering och är i allmänhet mycket enkla att ställa in för att kryptera all information som skrivs till hårddisken eller skickas till portar och enheter. Tilläggskort för hårdvarukryptering har vanligtvis inte EMI-skärmning, eftersom det inte är någon idé att skydda dessa kort om inte hela datorn är skyddad på samma sätt.

Ytterligare funktioner för hårdvarukodare

Att använda ett helt expansionskort bara för hårdvarukryptering är för slösaktigt. Förutom krypteringsfunktioner försöker tillverkare lägga till en mängd ytterligare funktioner till sina enheter, till exempel:

• Generator av slumptal. Det behövs främst för att generera kryptografiska nycklar. Dessutom använder ett stort antal krypteringsalgoritmer dem för andra ändamål. Till exempel den elektroniska signaturalgoritmen GOST R 34.10 - 2001: Vid beräkning av signaturen används ett nytt slumptal varje gång.
• Pålitlig nedladdning . Datorinloggningskontroll. Varje gång användaren slår på den personliga datorn kommer enheten att kräva att han anger personlig information (till exempel sätter in en diskett med nycklar). Endast om enheten känner igen de medföljande nycklarna och betraktar dem som "sina", kommer nedladdningen att fortsätta. Annars kommer användaren att tvingas ta isär datorn och ta bort krypteringskortet därifrån för att slå på datorn (likväl, som du vet, kan informationen på hårddisken också krypteras).
• Kontrollerar integriteten hos operativsystemfiler. En angripare kommer inte att kunna ändra något i operativsystemet i din frånvaro. Kodaren lagrar i sitt minne en lista över alla viktiga filer med förberäknade kontrollsummor (eller hashvärden) för varje, och datorn kommer att blockeras om kontrollsumman för minst en av filerna inte stämmer överens under nästa nedladdning.

En kryptografisk dataskyddsenhet (UKZD) är ett expansionskort med alla ovanstående funktioner. En hårdvarukrypteringsenhet som kontrollerar ingången till en persondator och kontrollerar integriteten hos alla operativsystemfiler kallas också för ett "elektroniskt lås". Det är tydligt att analogin inte är helt komplett – vanliga lås är mycket sämre än dessa smarta enheter. Även om det är tydligt att den senare behöver programvara - krävs ett verktyg som genererar nycklar för användare och lagrar deras lista för att identifiera "vän / fiende". Dessutom behöver du ett program för att välja viktiga filer och beräkna deras kontrollsummor. Dessa applikationer är vanligtvis endast tillgängliga för säkerhetsadministratören. Han måste förkonfigurera alla enheter för användare, och om det finns problem måste han förstå deras orsaker.

Exempel på befintliga hårdvarukodare

ruToken USB Encryptor

ruToken är ett ryskt verktyg för autentisering och informationsskydd som använder certifierade krypterings- och autentiseringsalgoritmer och kombinerar ryska och internationella säkerhetsstandarder.

ruToken är en liten elektronisk enhet ansluten till en dators USB-port (USB-nyckelbricka). Det liknar ett smartkort, men det kräver ingen extra utrustning (läsare) för att fungera med det.

Autentisering

• Ersätt lösenordsskydd för åtkomst till databaser, webbservrar, VPN-nätverk och säkerhetsorienterade applikationer med mjukvara och hårdvara autentisering;
• Säkra anslutningar för åtkomst till e-postservrar, databasservrar, webbservrar, filservrar, fjärråtkomstautentisering.

Dataskydd

• Informationsskydd (kryptering enligt GOST 28147-89);
• E-postskydd (EDS, kryptering);
• Skydd av åtkomst till datorn (auktorisering av användaren vid inträde i operativsystemet).

Företagsanvändning

• I applikationsprogram i elektroniska handelssystem för lagring av tjänsteinformation, personlig information om användare, lösenord, krypteringsnycklar, digitala certifikat och annan konfidentiell information;
• ruToken kan fungera som en enda identifieringsenhet för användaråtkomst till olika delar av företagssystemet och tillhandahålla till exempel åtkomstkontroll, automatisk inställning av EDS-dokument, etc.

Huvudegenskaper för ruToken:

• Maskinvarukryptering enligt GOST 28147-89;
• Filsystem enligt ISO 7816;
• 8, 16, 32, 64 eller 128 KB icke-flyktigt minne;
• Stöd för PC/SC, PKCS#11, MS CryptoAPI, X.509.

Allmänna specifikationer:

• Baserat på en säker mikrokontroller;
• USB-gränssnitt (USB 1.1 / USB 2.0);
• EEPROM-minne 8, 16, 32, 64 eller 128 Kb;
• 2-faktors autentisering (på det faktum att ha en ruToken och på det faktum att presentera en PIN-kod);
• 32-bitars unikt serienummer;
• Stöd för Windows 98/ME/2000/XP/2003/Vista/2008/7;
• Stöd för ISO/IEC 7816, PC/SC, GOST 28147-89, MS CryptoAPI och MS SmartcardAPI, PKCS#11 (v.2.10+) standarder;
• Egen Crypto Service Provider och ICC Service Provider med standarduppsättningar av gränssnitt och API-funktioner;
• Möjlighet att integreras i alla smartkort-orienterade mjukvaruprodukter (e-post, internet, betalningssystem, etc.).

ruToken har ett inbyggt filsystem som uppfyller standarden ISO / IEC 7816. Transparent kryptering av hela filsystemet tillhandahålls i enlighet med GOST 28147-89 baserat på data som är unika för varje instans av ruToken.

Den inbyggda krypteringsalgoritmen GOST 28147-89 låter dig kryptera data i lägena enkel ersättning, gamma och gamma med feedback. ruToken genererar en 32-bitars imitationsinsättning i enlighet med GOST 28147-89 och genererar 256-bitars slumptal. Krypteringsnycklar lagras i ruToken i skyddad form, utan möjlighet att exportera dem från ruToken. Import av krypteringsnycklar GOST 28147-89 stöds.

Ytterligare egenskaper:

• Stöd för X.509-standarden och RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1 algoritmer;
• Säker lagring av asymmetriska krypteringsnycklar och digitala certifikat och möjligheten att använda ruToken för asymmetrisk datakryptering och arbeta med digitala certifikat från alla PC/SC-smartkortsapplikationer;
• Testat arbete med e-postklienter: MS Outlook, MS Outlook Express och certifikatutfärdare Microsoft och Verisign;
• En nyckelfärdig lösning är organisationen av en säker inloggning i Windows 2000/XP/2003, inklusive PKI-inloggning.

PCDST i SHIPKA-serien

SHIPKA PCDST är en specialiserad mobil enhet som gör att du på ett tillförlitligt sätt kan utföra kryptografiska transformationer och lagra nycklar.

Familjen inkluderar en serie USB-enheter (som inser att det på CIPF-marknaden idag finns ett ganska brett utbud av endast billiga medel - analoger till smarta kort, vi har utvecklat modifieringar med betydligt olika indikatorer): SHIPKA-1.5, SHIPKA-1.6 och SHIPKA-1.7, och även CF Typ II, PC CARD Typ II, ExpressCard 34-enheter och SHIPKA-Module-enhet.

Den kryptografiska funktionaliteten för alla dessa enheter är densamma - det här är kryptering, digital signatur, hashfunktion, nyckelgenerering, långtidslagring av nycklar och certifikat. Implementeringen av kryptografiska operationer är i alla fall hårdvarubaserad (i förhållande till PC). För att lagra nyckelinformation i alla enheter finns ett icke-flyktigt säkert minne på 4 KB, placerat direkt i processorn. Alla enheter är utrustade med ytterligare icke-flyktigt minne av typen DataFlash med ett filsystem som liknar ISO/IEC 7816; har i sin sammansättning hårdvara DSC. Alla modifieringar av SHIPKA PCDST fungerar under Win32 operativsystem, med programgränssnitt för detta - Microsoft CryptoAPI CryptoProvider, API PKCS#11 bibliotek.

Alla enheter i SHIPKA-familjen implementerar alla ryska kryptografiska algoritmer. De har också förmågan att stödja utländska kryptografiska algoritmer. Uppsättningen av främmande algoritmer för alla enheter är densamma: Kryptering: RC2, DES, DESX, TripleDES; Hashing: MD5, SHA-1; EDS: RSA (SHIPKA-1,5 - 512-bitar, resten - 2048-bitar), DSA (SHIPKA-1,5 - 1024-bitar, resten - 2048-bitar). Alla enheter är helt omprogrammerbara - den fasta programvaran kan uppdateras direkt av användaren. Detta gör det möjligt att utöka sin funktionalitet och skapa individuella lösningar för vissa kunduppgifter, eftersom en exklusiv lösning i ett antal fall är mycket mer att föredra än en standard.

Personliga medel för kryptografiskt dataskydd SHIPKA-1.7 Egenskaper:

• CPU klockhastighet: 16 MHz
• 1-2 cykler per kommando (de flesta - 1)
• kommandoutförande frekvens: 14 MHz
• Programminne: 128 KB
• RAM: 4 KB
• Inbyggt säkert, icke-flyktigt minne: EEPROM 4 KB
• Förbättringar av kryptografiska prestanda: Kryptografisk medprocessor för maskinvara
• Filsystemstöd: Enligt ISO/IEC 7816
• Externt minne: 1) Typ Data Flash 2 MB (på begäran - upp till 8 MB)

2) Skriv NAND-flash - upp till 1 GB (krypterad disk (kryptering enligt GOST 28147-89)

• Tvåarmad hårdvarugenerator för slumptal
• Höghastighets USB-gränssnittskontroller
• Växelkursen för enkelriktade funktioner är cirka 3 MB / s, för dubbelriktade - cirka 1,5 MB / s
• Hårdvaruimplementering av kryptografiska algoritmer:

Om det finns en krypterad disk - endast - EDS + GOST-kryptering + GOST-hash; Om disken inte är installerad är densamma tillgänglig - EDS + DES / TripleDES-kryptering + SHA-1-hash; - EDS + RC2-kryptering + MD5-hash; Hastigheter: EDS enligt GOST R 34.10-2001: - nyckelgenerering - 30 ms, - EDS-beräkning - 40 ms, - EDS-verifiering - 70 ms. Hashfunktionsberäkning - ca 3 MB/s, kryptering - ca 1,5 MB/s.

• Datautbyte med eget externt minne: Med hjälp av hårdvarustyrenheten SPI-gränssnitt.

Maximal hastighet: 1 MB/s, reell - 500 KB/s utan overhead Användaren har möjlighet att uppdatera den fasta programvaran utan extra utrustning, inklusive dynamisk omprogrammering av den kryptografiska samprocessorn.

UKZD-serien KRYPTON

Kryptografiska dataskyddsenheter (UKZD) i KRYPTON-serien är hårdvarukodare för IBM PC-kompatibla datorer. Enheterna används som en del av kryptografiska dataskyddsverktyg och system för att säkerställa informationssäkerhet (inklusive skydd med hög sekretessnivå) i statliga och kommersiella strukturer.

KRYPTON är en serie hårdvarukodare för IBM PC-kompatibla datorer, gjorda i form av ISA- och PCI-expansionskort för en persondator med en i386-processor eller högre.

Programvaran för KRYPTON-enheter låter dig: kryptera datorinformation (filer, grupper av filer och diskpartitioner), säkerställa deras konfidentialitet; att utföra en elektronisk digital signatur av filer, kontrollera deras integritet och författarskap; skapa transparent krypterade logiska enheter, vilket gör det så enkelt och enkelt som möjligt för användaren att arbeta med konfidentiell information; skapa kryptografiskt säkra virtuella nätverk, kryptera IP-trafik och ge säker åtkomst till nätverksresurser för mobila och fjärranvändare; skapa system för att skydda information från obehörig åtkomst och avgränsa åtkomst till en dator.

Huvuddragen:

• krypteringsalgoritm GOST 28147-89 ;
• krypteringsnyckelstorlek - 256 bitar (antal möjliga kombinationer av nycklar - 1,158 * 10 77 );
• antal nyckelsystemnivåer - 3 (huvudnyckel - användar-/nätverksnyckel - sessionsnyckel);
• slumptalsgenerator - hårdvara (certifierad av en expertorganisation);
• avvikelse från fördelningen av värdet av slumpmässiga tal från den lika sannolika fördelningen - inte mer än 0,0005;
• operativsystem som stöds — MS-DOS, Windows 95(98)/ME/NT 4.0/2000/XP/2003 UNIX (Solaris/Intel) (det är möjligt att skapa originalprogramvarudrivrutiner för enhetsdrift).

Crypton Emulator är en mjukvaruemulator av UKZD-krypteringsfunktioner i KRYPTON-serien i Windows 95/98/Me/NT 4.0/2000/XP/2003, Solaris 2.x, 7, 8, Linux.

Emulatorn tillhandahåller kryptering enligt GOST 28147-89-algoritmen; när det gäller krypteringsfunktioner är emulatorn helt kompatibel med UKZD i Krypton-serien. Således är det möjligt att ersätta hårdvaran UKZD "Krypton" med dess mjukvaruemulator utan någon ändring i programvaran med UKZD "Krypton" eller Crypton Emulator genom det vanliga programmeringsgränssnittet för Crypton API.

Kodaren fungerar med applikationsmjukvara designad för slutanvändaren och/eller utvecklingsverktyg – bibliotek utformade för att bädda in kryptering och/eller elektroniska digitala signaturer (EDS) funktioner i produkter från oberoende utvecklare.

Crypton API-biblioteket är en nödvändig gränssnittskomponent och tillhandahåller ett programmeringsgränssnitt till kryptografiska dataskyddsenheter (UKZD) i KRYPTON-serien för Win32-applikationer och DOS-program i DOS-emuleringsläge i Windows 95/98/NT 4.0/2000/XP/2003 driftsmiljöer, Solaris 2.x, 7, 8 (x86, Sparc). Användningen av olika komponenter och lösningar låter dig lösa problem som sträcker sig från abonnentkryptering och digital signatur till IP-trafikkryptering. Låter dig skydda information som klassificeras som högst sekretessbelagd, inklusive information som utgör en statshemlighet.

eToken PRO

eToken PRO (Java) är en säker enhet designad för stark autentisering, säker lagring av hemlig data, utföra kryptografiska beräkningar och arbeta med asymmetriska nycklar och digitala certifikat.

• Smartkort IC: Atmel AT90SC25672RCT
• Operativsystem för smartkort: Athena OS755 Embedded Java Virtual Machine (fullständigt kompatibel med Sun Java Card-standarden)
• Gränssnitt och standarder som stöds: PKCS#11 version 2.01, Microsoft CryptoAPI, PC/SC, stöd för X.509 v3 standardcertifikat; SSL v3, IPSec/IKE; Microsoft CCID; eToken minidrivrutin
• Hårdvaruimplementerade algoritmer: RSA 1024 / 2048, DES, 3DES, SHA-1
• 72 KB säkert minne på smartkortchip
• Modeller: USB-dongel och smartkort
• Möjlighet att bädda in en radiotagg (RFID)
• Stödda versioner av eToken PKI Client: 4.55 och högre
• Stödda versioner av eToken SDK: 4.5 och högre

Ändamål

• Tvåfaktorsautentisering av användare av automatiserade system.
• Säker lagring av nyckelanvändarinformation.
• Ladda och köra användarapplikationer (appletar) på enheten.

Förmågor

• Tvåfaktorsanvändarautentisering i system byggda på PKI-teknik, i äldre applikationer, på arbetsstationer och i nätverket, i heterogena miljöer, med fjärråtkomst till informationsresurser. Flera metoder kan användas för att autentisera en användare, inklusive:
  • PKI-baserad autentisering med X.509 digitala certifikat;
  • autentisering baserad på lösenord, åtkomstkoder och annan data lagrad i enhetens säkra minne.
• Utökning av grundläggande funktionalitet genom att ladda ner ytterligare applikationer (appletar) utvecklade på Java-språket.
• Ökat minne för säker lagring av användardata och nyckelanvändarinformation (72 KB).
• Arbeta utan att installera ytterligare drivrutiner i operativsystem Windows Vista, Linux, Mac OS (drivrutiner ingår i operativsystemet).
• Inbyggda radiotaggar (RFID-taggar) för användning i styrsystem och tillträdeskontroll till lokaler.

Ironkey

IronKey flash-enhet med transparent hårdvarudatakryptering. Designad för säker lagring av känslig data.

• Hårdvaruimplementerade algoritmer: RSA 2048, SHA 256, AES 256.
• Skyddat minne 1-32GB, beroende på modell.
• Självförstöring av själva krypteringsnycklarna och data efter 10 felaktiga lösenordsförsök (enheten fungerar inte längre).
• Ytterligare funktioner som säkerställer säkerheten för användarens arbete (lösenordshanterare, anonym krypterad internetåtkomst, virtuellt tangentbord, verktyg för att skapa och återställa krypterade säkerhetskopior, etc.)

Anteckningar

1. ↑ PC-hårdvarukryptering (nedlänk) . Hämtad 28 november 2009. Arkiverad från originalet 26 maj 2009. (obestämd) 
2. ↑ Kryptografiska algoritmer . Hämtad 28 november 2009. Arkiverad från originalet 26 april 2018. (obestämd)

Litteratur

1. Lukashov Igor Vladislavovich "Kryptografi? Järn!
2. S. P. Panasenko, V. V. Rakitin "Hårdvarukodare"