поиск по сайту
Аппаратный потоковый USB-шифратор Интернет-трафика для ПК

Акашкин Д. М.
РОССИЯ, МОСКВА, ОКБ САПР

Аппаратный потоковый USB-шифратор Интернет-трафика для ПК

            Известно, что конфиденциальность информации не в последнюю очередь зависит от человеческого фактора. В самой защищенной вычислительной системе всегда есть слабое звено - люди. И это необязательно злоумышленник, воздействующий на систему извне  или изнутри, имея к ней непосредственный доступ. Это может быть и сам пользователь, неумышленно создающий условия для утечки информации,

            Разумеется, не всегда есть возможность приставить к каждому пользователю наблюдателя-администратора, поэтому с возрастанием сложности вычислительных систем необходимы все более эффективные средства защиты информации, используя которые, пользователь ПК попросту не сможет сделать ничего, что бы нарушило конфиденциальность информации. Эффективность только программных средств, модулей и драйверов уровня ядра операционной системы, вроде бы изолированных от приложений пользователя, относительная: ключевая информация для шифрования хранится на жестком диске и загружается в память компьютера, следовательно, доступ к ней, а также к модулям, реализующим алгоритмы шифрования, так или иначе может быть получен программно. Выход - в физическом разделении общей памяти системы и памяти ключей и алгоритмов.  Такие аппаратно-программные комплексы существуют, и будучи встроенными в вычислительную систему, защищают данные значительно эффективнее. Как правило, это качественные, быстродействующие дорогие стационарные решения: само устройство, поддерживающее шифрование, вставляется в слот внутри компьютера, драйвер аппаратной части инсталлируется в операционную систему, сама установка занимает время и выполняется, как правило, администратором безопасности, имеющим соответствующие навыки.

            Однако есть мобильные задачи, для которых такая технология неоптимальна по нескольким факторам. Если пользователю необходим веб-серфинг и отправка электронной почты через защищенное соединение, имеется несколько компьютеров, среди них переносной ноутбук, без свободного слота  системной шины, но с интерфейсом USB. Условия те же - хранить ключевую информацию не в памяти компьютера, по-прежнему аппаратно ограничив доступ к ним со стороны программ и модулей операционной системы, для обеспечения конфиденциальности и шифрование потока данных из Интернета - без использования средств шифрования, предоставляемых (или не предоставляемых, что тоже случается) операционной системой или дополнительным программным обеспечением, и с использованием заданных пользователем (явно или неявно) шифров и протоколов.

            Решением является мобильное устройство, подключенное к интерфейсу USB, и содержащее необходимую аппаратно-программную часть для шифрования потока данных, с собственным процессором и памятью. Когда пользователь делает из программы-браузера запрос на загрузку защищённой веб-страницы, весь обмен по защищенному протоколу прикладного уровня транслируется в USB-устройство, которое выполняет все действия согласно протоколу передачи: запрос сертификата, обмен ключами и собственно шифрование-дешифрование. После завершения работы устройство можно извлечь из разъема и перенести на другой компьютер.

            Аппаратная часть устройства - высокоинтегрированный производительный микроконтроллер, несущий "на кристалле" все ресурсы, необходимые для решения задачи. Цена такого устройства невелика, оно мобильно (размером с обычную флэшку), его можно с легкостью перенести с компьютера на компьютер, просто подключив по USB, без установки драйвера. При этом, в отличие от чисто программных решений, при изначально правильно выстроенной архитектуре защитного комплекса эффективнее и "защита от дурака":  пользователь не сможет непроизвольно дискредитировать ключи, оставив лазейку для злоумышленника, получившего временный доступ к его компьютеру: ключей в нём просто нет, ведь криптографическое usb-устройство физически отсутствует.

            Таким образом, USB-устройство потокового шифрования по протоколу ssl/tls обладает преимуществами по сравнению с чисто программным решением, при сравнимой себестоимости, и весьма конкурентоспособно.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них