поиск по сайту
Не для всей семьи II
Александр Дмитриев, Светлана Конявская
Не для всей семьи II

Сегодня главным преимуществом практически любого товара и услуги стала возможность употребить предлагаемое всей семьей. Обувные магазины, фильмы, рестораны и даже газеты - хороши, если они <для всей семьи>. С определенными оговорками можно согласиться, что совместное прочтение газеты или поход за обувью, действительно, сближают и организуют культурный досуг. А хотите ли вы, чтобы приходящие вам по электронной почте результаты медицинского обследования были тоже <для всей семьи>? Кто-то может возразить, что в кругу родных не может быть секретов - что ж, возможно, даже если этот круг включает тещю и племянника. Но каждый знает по личному опыту, что подчас письмо друга, не содержащее по сути никаких секретов, приходится удалять, чтобы случайно не прочитала мама (или дочь) - просто потому, что они пользуются обычно, скажем, несколько иной лексикой.

Человеку свойственно создавать вокруг себя персональную среду. Неслучайно у каждого из нас - своя записная книжка, свое любимое кресло, настроенное на нужную высоту и наклон спинки, свой собственный беспорядок на столе, в котором мы ориентируемся гораздо лучше, чем после уборки. Это все не потому, что <секрет>, а потому что удобно.

Персональная информационная среда важна не меньше, а часто и больше - достаточно вспомнить сложности работы в командировке на чужом компьютере - когда во время работы вечно не хватает каких-нибудь логинов и паролей, которые <думал, что помню>, а после работы - мучают сомнения, стер ли свои файлы, адреса, явки:

Как же создать и, что важнее, сохранить персональную информационную среду, если ваш компьютер - <для всей семьи>?

Вывод напрашивается сам собой: раз компьютер этого обеспечить не может, то нужно какое-то другое устройство, персональное, которое сможет скрыть от чужих глаз то, что нужно (или просто хочется) скрыть, которое позволит убедиться в том, что файл или сообщение отправлено вам действительно теми, кто значится в отправителе, и которое, наконец, будет не только надежно хранить все ваши логины и пароли (что само по себе уже многое), но и заполнять вместо Вас формы авторизации, не путая регистры, клавиатурные раскладки и порядок символов.

Видимо, столкнувшись с тещей, командировкой и трудностью запоминания сложного для подбора пароля, разработчики известного производителя средств защиты информации ОКБ САПР создали такое персональное устройство, которое назвали ШИПКА,  что расшифровывается как Шифрование - Идентификация - Подпись - Коды Аутентификации.

По нашему представлению замысел разработчиков состоял в том, чтобы создать миниатюрное USB-устройство, которое обеспечивало бы его владельца полным набором функций защиты информации при работе на любом компьютере в любом месте.  Важным условием, конечно же, при этом является и то, что никакие ключи шифрования, коды аутентификации и другая ключевая информация ни в коем случае не должны выходить за пределы устройства и <светиться> в компьютере, иначе шпионская программа или хитроумный хакер их обязательно отловят.  Ясно, что для этого вся обработка, будь то шифрование или ЭЦП, должны выполняться внутри устройства.  Забегая вперед, скажем, что если наши предположения относительно замыслов разработчиков верны, то их реализация оказалась вполне успешной.

   Устройство имеет габариты обычной USB-флэшки и вмещает в себя: процессор, в котором реализованы криптоалгоритмы  и специальные программы, память, аппаратный датчик случайных чисел, и USB-контроллер. Версии 1.6 и выше имеют еще и специализированный криптопроцессор, позволяющий существенно ускорить процесс шифрования и выработки/проверки подписи. По сути, это устройство является самостоятельным компьютером, предназначенным для криптографической защиты информации, и совмещает аппаратно реализованные криптографические функции с целым рядом дополнительных защитных свойств.

Слово <криптография> наводит на мысли о том, что все это нужно либо шпионам (и, конечно, разведчикам), либо в крупном бизнесе. И в любом случае - что это очень сложно. Когда-то и фотография представлялась чем-то исключительно сложным, но фотоаппараты, пользоваться которыми может и ребенок, - уже никого не удивляют. Криптография тоже может быть простой и удобной в использовании.

Основное назначение ШИПКИ - шифрование и подпись файлов и сообщений электронной почты электронной цифровой подписью (ЭЦП).

При этом, что очень важно, для того чтобы шифровать или подписывать ЭЦП с помощью ШИПКИ, не требуется ни приобретать какие-то специфические знания или навыки, ни устанавливать на компьютер какое-то дополнительное программное обеспечение, кроме ПО ШИПКИ. Поэтому пользоваться ШИПКОЙ может человек любого уровня подготовки и на любом компьютере, а не только на каком-то одном строго определенном. Отправить подписанное ЭЦП письмо можно не только из дома или с работы, но и, например,  находясь в гостях.

Заметим, что зашифровать или подписать ЭЦП сообщение электронной почты (а также вырабатывать необходимые для этого ключи и сертификаты) можно и штатными средствами, встроенными в почтовые программы, без ШИПКИ.

Теперь давайте проанализируем, что и кем подтверждается, если письмо подписывается средствами установленной на компьютере операционной системы на ключах, сгенерированных этой же системой и хранящихся в ней же, а подлинность подписи подтверждается с помощью сертификата, выданного этой же системой, и хранящегося в ней же.

Подтвердить таким образом мы можем только то, что письмо отправленно: с этого компьютера и с использованием этой учетной записи. Ключи и сертификат при таком положении вещей никакого отношения к вам лично не имеют. Получается, что это ключи и сертификаты <для всей семьи>.

Имеют ли эти манипуляции смысл? Всякий, кто сел в ваше отсутствие за ваш компьютер,  может не только отправить от вашего лица подписанное вашей ЭЦП письмо, но и прочитать вашу собственную зашифрованную корреспонденцию, если вы не удалили ее из <Отправленных>, и те зашифрованные письма, которые находятся во <Входящих>. При этом воспользоваться своими сертификатами в почтовой программе на другом компьютере, даже если вы используете в ней ту же учетную запись, вы не сможете без дополнительных без принятия дополнительных мер, которые, помимо усложнения жизни, влекут за собой еще и снижение защищенности (скопируете ключи и сертификат на дискетку, а ее украдут).

Иначе обстоят дела при использовании  ШИПКИ.  С помощью нее можно генерировать ключи, которые будут храниться в ней же, а не в компьютере, получать сертификаты УЦ или выписывать себе самоподписанные сертификаты, сохраняя их непосредственно в ШИПКЕ - и, имея всю эту информацию с собой, а не на том или ином компьютере - использовать ее на разных компьютерах.

Более того, в ваше отсутствие никто другой не сможет отправить подписанное якобы вами письмо или прочитать зашифрованное письмо - будь оно в <Отправленных> или во <Входящих>.

Работать таким образом можно в почтовых программах Outlook, OutlookExpress и The Bat! (как с использованием настроек CSP - интерфейса для работы с криптографией Microsoft, так и с использованием программы PGP, использующей интерфейс PKCS#11).

Процедура шифрования тоже оказалась довольно простой.

Вставил ШИПКУ, зашифровал файл, и можешь быть уверен, что любой пользователь компьютера увидит лишь набор значков (даже если зашифрован вовсе не текст, а, например, фотография), пока не расшифрует. Расшифровать можно либо с помощью этой же ШИПКИ, либо с помощью ключа шифрования, который вы в зашифрованном виде передали адресату. Процедура обмена ключами пошагово описана в документации, а при генерации ключей есть возможность давать им описания на русском языке, что поможет не запутаться, на каком ключе вы шифруете для, а на каком от того или иного человека.

Даже если вы случайно оставили свою ШИПКУ, выходя из комнаты, рядом с компьютером, любопытствующие не смогут воспользоваться ее возможностями, не зная ПИН-кода. Собственно ПИН-код и есть та единственная информация, которую владелец ШИПКИ должен хранить в своей собственной памяти.

Если использование ЭЦП или шифрование пока еще не воспринимается как ежедневная необходимость, то с авторизацией на Web-ресурсах каждый активный пользователь Интернета сталкивается ежедневно. Поиск нужных паролей иногда превращается в сущий кошмар. Поэтому функция автоматического заполнения Web-форм при аутентификации пользователя, которая в ШИПКЕ носит название <Помощник авторизации>, вызвала у нас особый интерес.  Работает она следующим образом.  Когда вы заходите на Web-страницу и вводите данные авторизации, например, логин и пароль, программа <Помощник авторизации> спрашивает, следует ли сохранить эту информацию в памяти ШИПКИ. Если вы соглашаетесь, то в следующий раз, когда вы снова зайдете на эту страницу, вам будет предложено подставить логин и пароль в автоматическом режиме без вашего участия. Очень удобно и сохранно. Впрочем, подобная функция реализована не только в ШИПКЕ, но и еще в ряде устройств, которые можно найти на рынке. В одном из ближайших номеров мы постараемся рассказать о различных реализациях этой функции. Здесь есть что сравнивать и выбирать. Дело в том, что существует определенное множество различных механизмов авторизации и ни одно из предлагаемых решений не покрывает этого множества полностью. Так ШИПКА успешно справляется с задачей на уровне Web-приложений, но не умеет этого делать на уровне Web-сервера. По заверению разработчика сейчас готовится новая версия <Помощника авторизации>, которая значительно расширит охват различных механизмов авторизации.

Раз уж мы заговорили о недостатках изделия, то в первую очередь следует выделить отсутствие драйвера для Windows Vista. По информации, полученной от производителя, сейчас этот драйвер находится на стадии тестирования. К недостаткам следует отнести и отсутствие ПО на сайте ОКБ САПР, которое можно было бы скачать в случае необходимости, ведь установочный диск можно забыть или потерять. Еще удобней была бы установка ПО непосредственно с самого устройства, которое первоначально могло бы включаться как USB-флэшка. По этому поводу нам были даны следующие разъяснения: в версии 1.5 для этого не хватает памяти, а для версии 1.7, где памяти существенно больше, такой вариант уже прорабатывается.

Цена ШИПКИ в версии 1.5 составляет 1650 р., а версии 1.6 - 2900 р. Не дешево, конечно, но безопасность никогда не дается дешево, а здесь в придачу к безопасности вы получаете еще и массу удобств в организации персональной информационной среды.

Всей семьей должно быть возможно поместиться в автомобиле. Или посмотреть комедию в выходной день. А что касается личной информации - то только вам решать, что станет всеобщим достоянием, а что - нет.

ПСКЗИ <ШИПКА>

Оценка: 85 баллов

Резюме: Миниатюрное USB-устройство для организации персональной защищенной информационной среды при работе на любом компьютере в любом месте.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них