поиск по сайту
Защищенная электронная коммуникация для человека Мира: ПСКЗИ ШИПКА

Т. М. Борисова, С. В. Конявская, Д. Ю. Счастный

Защищенная электронная коммуникация для человека Мира: ПСКЗИ ШИПКА

По мере естественной глобализации мира для людей бизнеса, политики, культуры, таких гуманитарно-значимых областей деятельности, как медицина и образование - становится все более важной возможность коммуникации с коллегами по всему миру. Каждый из нас может заметить, как выросло за последние годы число деловых поездок лично у него. И это явление не идет на спад даже под влиянием сложившейся экономической ситуации - напротив, контакты должны становиться все более прочными, а устанавливаться они должны в рекордно короткие сроки, но в то же время продуманно и надежно.

Становится все более актуальной задача иметь с собой все необходимые материалы для встреч, для подготовки к встречам, для гибкой реакции на изменившуюся ситуацию (например, если выяснилось, что перспективы для сотрудничества могут быть шире, чем казалось сначала, и нелепо утратить возможность или затянуть процесс на лишнее время только из-за того, что с собой нет нужных файлов).

Вторая задача - оптимизация количества поездок - напрямую связана с тем, насколько можно доверять электронному обмену информацией через Интернет в тех случаях, которые касаются действительно значимой информации, содержащей коммерческую тайну, персональные данные, те или иные виды другой конфиденциальной информации.

Эти две задачи в действительности оказываются смежными. Ведь если в поездке выяснилось, что нам не хватает какого-либо документа (или, например, необходимые для демонстрации видеоматериалов «кодеки» отсутствуют на предоставленном компьютере), мы просим коллег прислать нам недостающие материалы по электронной почте. И хотелось бы быть уверенными, что мы получим именно эти материалы именно от них, а не какую-либо вредоносную программу от злоумышленника, подорвав тем самым работоспособность чужого компьютера и свою репутацию.

Наиболее часто для решения этих задач в настоящее время используются ноутбуки. Однако даже если не брать во внимание то, что носить с собой ноутбука несколько неудобно (это дополнительное место и вес), проанализировав свой опыт, скорее всего, каждый вспомнит, что и на ноутбуке время от времени не оказывается чего-то нужного, и приходится запрашивать материалы по почте. Это с одной стороны, а с другой стороны, далеко не всегда удается использовать свой ноутбук в местной инфраструктуре. Вы можете все подготовить и проверить заранее, но окажется, например, что в данной гостинице подключиться к Интернету можно  только со штатных машин из business-room. Или в организации, в которую Вы приехали на важные переговоры, проектор подключен к строго определенному компьютеру и совершенно неуместны препирательства о том, что Вам бы хотелось демонстрировать презентацию со своего ноутбука. В чужой монастырь со своим уставом не ходят.

Эта довольно неприятная картина обычно считается неизбежной трудностью жизни человека, место работы которого - по всему миру. Однако технический прогресс существует именно для того, чтобы «неизбежных» трудностей можно было избежать.

Для организации защищенного электронного обмена информацией нужно, во-первых, чтобы можно было однозначно установить отправителя (то есть чтобы отправитель был идентифицируем и не мог отказаться от того, что отправил данные именно он), во-вторых, должна быть гарантия, что информация получена в том же виде, в котором была отправлена - что не произошло изменений «в дороге». Это вообще тонкое место любых перемещений, известное с детства всем, кто читал детское стихотворение «Дама сдавала багаж». Сдавала маленькую собачонку, а получила огромного волкодава. И ей было нечего возразить на то, что «во время пути собака могла подрасти». Могла, действительно. Чтобы так не получалось при обмене электронной корреспонденцией, во всем мире применяется электронная цифровая подпись (ЭЦП).

И есть еще «в-третьих» - чтобы то, что никто не должен прочитать - никто не прочитал. Для этого применяется, конечно, шифрование.

Но и то, и другое, применяется обычно только «в идеальных условиях». Криптографические процедуры сейчас, как правило, поддерживаются прикладными программами - во всяком случае, программами электронной почты, в основном, поддерживаются. Криптопровайдер, как правило, в состав стандартных Windows входит. Но ведь для того чтобы подписать ЭЦП (или проверить ее) или зашифровать (или расшифровать) нужны ключи подписи и шифрования - причем не просто где-то, а с собой. Нужно обменяться этими ключами (причем защищенно, так, чтобы они не попали к «лишним» людям) с абонентами, алгоритмы, поддерживаемые криптопровайдером на том компьютере, на котором Вы в данный момент работаете, должны совпадать с алгоритмами Ваших ключей. И так далее. В общем, очевидно, что для того, чтобы работать с криптографией быстро и в любых условиях - нужно персональное средство криптографической защиты информации (ПСКЗИ).

Такое средство существует - это ПСКЗИ ШИПКА.

ШИПКА - это USB-устройство, представляющее собой «специализированный компьютер» (или, если говорить терминологически точно - то сопроцессор к компьютеру) размером со среднюю флешку. Этот компьютер имеет собственный процессор, в котором реализованы, в частности, криптографические алгоритмы. То есть устройство производит криптографические преобразования (генерацию ключей, шифрование/расшифровывание, выработку/проверку подписи) - самостоятельно, без участия процессора того компьютера, в USB-разъем которого ШИПКА вставлена. Это дает возможность применять криптографию, обходя все ее узкие места.

 В ШИПКЕ есть датчик случайных чисел на шумовых диодах - и ключи генерируются с использованием действительно случайных, а не псевдослучайных последовательностей. Это значит, что ни производители ШИПКИ, ни кто другой - не может знать сгенерированный ею ключ.

Хранить ключ в памяти компьютера опасно потому, что существуют различные возможности его оттуда извлечь или восстановить. Кроме того, ключи человеку могут понадобиться не только на своем компьютере. А записывать такую информацию на разного рода носители типа дискет или обыкновенных флешек - еще более опасно, ведь эти носители никак не защищены от несанкционированного доступа к записанной на них информации. Любой человек может стереть или исказить Ваши ключи (даже не обязательно злонамеренно, это может произойти и случайно), или просто скопировать их себе и «слушать» Вашу переписку. В случае же использования ШИПКИ ключи всегда доступны их владельцу, но никогда не доступны никому другому.

В то же время даже при надежном хранении ключей, если само преобразование (шифрование или подпись) производятся процессором компьютера, то в момент преобразования ключи находятся в оперативной памяти в открытом виде и доступны для перехвата (например, вирусом-«трояном», который может оказаться не только на чужом, но и на Вашем собственном компьютере). А где-нибудь в командировке Вы вообще не можете быть до конца уверены в том, что за программное обеспечение стоит на том компьютере, на котором Вы решили что-то зашифровать или подписать.

ШИПКА выполняет все защитные действия, не обращаясь к ПО компьютера: она в этом не нуждается, поскольку сама является компьютером. При этом ПО ШИПКИ невозможно модифицировать извне, поэтому ШИПКА - это доверенная среда, значит, преобразованиям, которые она выполняет, можно доверять.

При всем при этом ШИПКА - это небольшое по размеру и простое в использовании устройство.

Применение ПСКЗИ ШИПКА

ПСКЗИ ШИПКА позволяет решить целый ряд задач, из которых в первую очередь целесообразно остановиться на следующих:

1.     шифрование и подпись файлов на жестком диске;

2.     шифрование и подпись сообщений электронной почты;

3.     защищенный вход в Windows;

4.     авторизация при входе в домен;

5.     автоматическое заполнение веб-форм и хранение необходимых для этого данных, в том числе и паролей.

 Шифрование и подпись файлов

Для шифрования и подписи файлов в ПО ПСКЗИ ШИПКА предназначено две программы - «Сертификаты: шифрование и подпись данных» и «Ключи: Шифрование и подпись файлов». Первая предназначена для работы в инфраструктуре открытых ключей (PKI), а вторая - вне ее, если планируется обмениваться ключами напрямую, или если шифрование и/или подпись используются только для защищенного хранения информации, и файлы вообще не предназначаются для передачи какому-либо адресату.

 «Ключи: Шифрование и подпись данных»

После запуска программы открывается главное окно, в котором пользователь может выбрать файлы на своем жестком диске и выполнить над ними необходимую операцию (шифрование или подпись файла). Если используется отформатированное (или новое) устройство ШИПКА, то первоначально в его памяти не содержится никаких ключей и для выполнения операций  шифрования/подписи необходимо их сгенерировать.

Рис. 1. Главное окно программы «Ключи: шифрование и подпись файлов»

Для этого на панели задач предназначена специальная кнопка с изображением ключа, а в пункте меню «Ключи» есть команда «Управление ключами».

Рис. 2. «Управление ключами» и ключи, созданные и хранящиеся в ПСКЗИ ШИПКА

Один ключ (симметричный) используется для шифрования, а пара ключей (открытый/закрытый) используется для цифровой подписи.

При генерации ключа можно выбрать алгоритм, длину ключа, экспортируемый он будет или нет (то есть сможем ли мы его кому-то передать), а так же дать ключу описание, чтобы легко отличить его впоследствии от других, например «для обмена с Сашей». Ключ будет сгенерирован только в том случае, если пользователь введет PIN-код, тем самым подтвердив, что он легальный владелец данной ШИПКИ.

Рис. 3. Запрос PIN-кода

Для зашифрования файла необходимо в главном окне программы выбрать файл и нажать кнопку «Зашифровать» на панели задач, затем  ввести PIN-код. На экран выводится список ключей, которые хранятся в памяти устройства и могут быть использованы для шифрования файла. Если таких ключей было сгенерировано несколько, то пользователю необходимо выбрать один, на котором и будет выполнена операция.

Полученный зашифрованный файл будет иметь расширение .enc (encrypted). Внизу окна  можно установить флаг «Удалять исходный файл после шифрования». Далее необходимо нажать кнопку Ok, ввести PIN-код и файл будет зашифрован. 

Для того чтобы расшифровать файл, нужно в главном окне программы отметить нужный файл с расширением .enc и выбрать в меню «Файл» команду «Расшифровать» или щелкнуть мышью по кнопке «Расшифровать» на панели задач главного окна программы.

Симметричный ключ, на котором должно выполняться расшифрование файла, выберется ШИПКОЙ автоматически. Далее необходимо нажать кнопку Ok, ввести PIN-код и файл будет расшифрован. Расшифровать файл без подключенной ШИПКИ и/или введения PIN-кода невозможно.

Чтобы подписать файл электронной цифровой подписью, необходимо в главном окне программы выбрать файл и нажать кнопку «Подписать» на панели задач, затем  ввести PIN-код. На экран выведется список закрытых ключей, которые хранятся в памяти устройства и могут быть использованы для вычисления подписи файла. Если таких ключей нет, то их нужно сгенерировать - для этого предназначена кнопка с изображением двух ключей или команда «Генерация» - «Генерировать ключевую пару». Эта процедура в целом аналогична генерации симметричного ключа. Если пар было сгенерировано несколько, то пользователю необходимо отметить один закрытый ключ, на котором и будет выполнена операция.

Файл подписи будет иметь расширение .sig. Далее необходимо нажать кнопку Ok, ввести PIN-код и будет выполнено вычисление подписи файла.

Для того чтобы проверить подпись под файлом, нужно в главном окне программы отметить нужный файл с расширением .sig и выбрать в меню «Файл» команду «Проверить» или щелкнуть мышью по кнопке «Проверить» на панели задач главного окна программы.

Открытый ключ, на котором должна выполняться проверка подписи файла выберется автоматически. Если после проверки подписи выводится сообщение, что подпись проверена и является корректной, значит, файл не был изменен после подписания.

В противном случае - если в файл были внесены изменения, будет выведено сообщение, что подпись проверена и является неверной.

Для того чтобы шифровать или подписывать файлы ЭЦП для себя, для того, чтобы самому контролировать конфиденциальность и целостность своих файлов, - достаточно одного устройства ШИПКА.

Для того чтобы обмениваться зашифрованными и подписанными сообщениями или файлами с другими людьми, необходимо, чтобы ключи были на обеих сторонах, значит, ШИПКА должна быть у обоих абонентов, и они должны обменяться ключами: для шифрования - симметричными, а для проверки подписи отправителя - открытыми ключами ключевых пар. Это можно сделать с помощью команд «Экспортировать ключ»/«Импортировать ключ» из меню «Управления ключами».

 «Сертификаты: шифрование и подпись данных»

Для того чтобы использовать ПСКЗИ ШИПКА для шифрования и подписи данных в инфраструктуре PKI, необходимо иметь сертификаты ключей подписи.

Рис. 4. Цифровой сертификат (сертификат открытого  ключа подписи)

Сертификаты можно получить в Удостоверяющих Центрах (или Центрах Сертификации). Но если Вы планируете защищать не юридически значимую, а личную переписку, то можно воспользоваться для получения сертификата программой «Сертификаты: шифрование и подпись данных» из состава ПО ПСКЗИ ШИПКА. Такой сертификат не будет официально зарегистрирован, но вполне подходит для обмена защищенными почтовыми сообщениями с людьми, которым Вы доверяете.

Ключевым моментом в шифровании с помощью сертификатов является то, кто должен иметь возможность расшифровать файл - тот же пользователь, который его зашифровал, или другой пользователь. В первом случае достаточно иметь свой сертификат. А для того чтобы зашифровать файл для передачи кому-то другому, необходимо иметь сертификат получателя (в случае шифрования по RSA, с шифрование по российскому ГОСТу ситуация обстоит иначе - нужен и свой сертификат, и сертификат получателя).

Сертификат получателя нужно получить у того, с кем планируется защищенный обмен информацией, и установить этот сертификат в систему  при помощи этой же утилиты.

Для того чтобы зашифровать файл с помощью сертификата, нужно указать этот файл и в меню «Файл» (или выпадающем меню по правой кнопке мыши) выбрать «Зашифровать».

Рис. 5. Шифрование папки с использованием сертификатов через программу «Сертификаты: шифрование и подпись данных»

После этого появится окно, в котором нужно будет выбрать, куда будут помещены зашифрованные файлы, для себя ли Вы будете шифровать или для обмена со своими коллегами, а также будут ли удаляться исходные файлы после их зашифрования.

После нажатия на кнопку «Далее», появится окно, в котором необходимо выбрать сертификат, на открытом ключе которого будет происходить шифрование (то есть свой сертификат, если выбрано шифрование для себя, и сертификат получателя, если выбрано шифрование для другого пользователя).

Если алгоритм ключа выбранного сертификата - RSA, то можно выбрать также алгоритм, по которому будет зашифрован файл.

Затем надо нажать «Зашифровать», и по окончании процесса шифрования высветится сообщение об успешном завершении процесса. Зашифрованный файл имеет расширение .cry (cryptography). При попытке его открыть, не расшифровывая, с помощью любой программы - будет выводиться только нечитаемый набор символов, по которому невозможно определить даже исходный формат файла.

Для того чтобы расшифровать зашифрованный файл утилитой «Сертификаты: шифрование и подпись файлов», нужно выбрать его и в меню «Файл» (или выпадающем меню по правой кнопке мыши) нажать на пункт «Расшифровать». 

Подпись файлов с использованием цифровых сертификатов выполняется аналогично при помощи этой же утилиты. Нужно учесть, что выбирать необходимо тот сертификат, который есть (или будет) у того, кто будет проверять подпись. Только в этом случае подпись может быть проверена. Файл подписи будет иметь расширение .sig.

Шифрование и/или подпись сообщений электронной почты

Шифрование и подпись сообщений электронной почты с использованием ПСКЗИ ШИПКА может выполняться в различных почтовых клиентах:  Outlook Express, Outlook, The Bat. Рассмотрим шифрование и подпись  сообщений на примере Outlook Express.

Для подписи сообщений в Outlook Express электронной цифровой подписью с помощью ШИПКИ необходимо выбрать учетную запись пользователя, от которого будет отправляться подписанное сообщение и в свойствах учетной записи указать тот сертификат, который получен с помощью ШИПКИ на ключевую пару, хранящуюся в ШИПКЕ, чтобы именно он использовался для подписи сообщения. Электронный адрес пользователя, для которого был выдан сертификат должен обязательно совпадать с электронным адресом в настройках «Учетной записи».

Создаем сообщение, нажимаем кнопку «Подписать», а затем «Отправить». Подписанное сообщение будет отправлено после введения PIN-кода.

Рис. 6. Отправка письма, подписанного ЭЦП с помощью ПСКЗИ ШИПКА в Outlook Express

Когда адресат получит это сообщение и откроет его, почтовая программа сообщит, что письмо подписано электронной цифровой подписью и подпись корректна.

Для шифрования сообщений в Outlook Express необходимо в списке контактов иметь копию сертификата получателя для каждого из тех, с кем планируется защищенный обмен. Когда сообщение создано, нужно только нажать «Зашифровать», а затем «Отправить», и после введения PIN-кода зашифрованное сообщение будет отправлено.

Для  расшифрования необходимо только выбрать зашифрованное  сообщение, а когда появится окно запроса PIN-кода, ввести его.

Если отключить устройство от USB-порта, сообщение прочитать нельзя, даже если оно уже было однажды расшифровано.

 Защищенный вход в Windows

На рабочих станциях под управлением ОС Windows при помощи ПСКЗИ ШИПКА можно организовать защищенный локальный вход в систему. То есть режим, при котором вход в систему возможен только после того, как подключена ШИПКА и введен ее PIN-код.

Рис. 7. Вход в ОС по ПСКЗИ ШИПКА

Для настройки и активизации этой процедуры следует запустить программу  «Настройка защищенного входа в ОС», зарегистрировать пользователя, а затем установить систему входа.

В настройках можно задать политики на те случаи, когда пользователь вынимает ПСКЗИ ШИПКА из USB-порта во время работы в системе.

Политики могут быть следующими:

- нет реакции на извлечение устройства

- блокировка экрана и клавиатуры сразу после извлечения устройства

- выключение компьютера через заданный промежуток времени после извлечения устройства.

После того, как пользователь зарегистрирован и все настройки заданы, надо перезагрузить компьютер, и при входе в систему будет появляться запрос ШИПКИ. Нужно вставить ее в USB-порт и ввести PIN-код.

 Автоматическое заполнение веб-форм

Для автоматизации заполнения форм авторизации и стандартных форм на Web-сайтах и в программах Windows предназначена программа «Помощник авторизации». Перед запуском программы необходимо подключить ШИПКУ к компьютеру и ввести PIN-код. После этого на панели задач (в system tray) появится иконка с синим шаром.

Эта программа распознает формы авторизации и предлагает действия с ними:  заполнить автоматически, если данные для этого уже есть, или сохранить вводимые данные, если для такой формы еще не создана Пасскарта.

Пасскарта - это запись, содержащая url, где была перехвачена форма авторизации, и данные, которые в эту форму были введены.

Для начала работы с пасскартами Internet необходимо запустить Internet Explorer и включить в нём отображение панели Помощника авторизации. После этого в IE появится несколько новых кнопок от «Помощника авторизации».

После этого, если зайти на какой-либо сайт, например, почтовый, и ввести имя пользователя и пароль для доступа к своему почтовому ящику, «Помощник авторизации» предложит сохранить введенные данные.

После этого в Меню «Пасскарты» добавится новая Пасскарта.  Ее можно посмотреть при помощи «Редактора».

В меню Internet Explorer появится ссылка с названием сохраненной Пасскарты, для которой открывается подменю:

  • Перейти - выполнить переход по URL, записанному в Пасскарте.
  • Перейти и заполнить - выполнить переход по URL, записанному в Пасскарте и заполнить данные для входа.
  • Заполнить - заполнить данные для входа.

Рис. 8. Кнопки программы «Помощник авторизации» ПСКЗИ ШИПКА в меню Internet Explorer

Если выбрать «перейти и заполнить», сохраненные в Пасскарте поля подсвечиваются зеленым и заполняются автоматически, теперь не нужно вводить никаких данных вручную и запоминать логины и пароли - они теперь хранятся в ШИПКЕ.

Все действия с ШИПКОЙ подробно описаны в Руководстве пользователя и являются, как мы видим, несложными и не требующими специальных знаний и навыков. Напротив, применение ПСКЗИ ШИПКА может сделать жизнь проще и удобнее.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них