поиск по сайту
Теория эволюции. ПСКЗИ ШИПКА

С. В. Конявская,
к. ф. н., ОКБ САПР

Теория эволюции. ПСКЗИ ШИПКА

Технические средства эволюционируют очень логично. Если не вдаваться в тонкости, то направление этой эволюции сочетает в себе минимизацию габаритов и предельное увеличение количества функций. Не буду приводить набивший оскомину пример мобильных телефонов, интегрированных с фотоаппаратами и расческами - у каждого есть один или несколько таких образцов.

Естественно, любая архитектура сама несет в себе пределы для возможного расширения функциональности, и однажды приходится либо уже отказаться от дополнительных функций, либо переходить на другую архитектуру. Это совершенно очевидная вещь, менее очевидно другое - как определить, когда именно наступает этот «предел» и ресурса для расширения больше нет, а когда - он просто не обнаружен?

Изобретательный ум человека стремится расширить область применения уже имеющихся инструментов по принципу смежности и сходства: обратной стороной топора можно отлично забивать гвозди, поскольку он тяжелый (как молоток), а крокодила можно отлично использовать для розыгрыша прохожих с кошельком на ниточке, поскольку он зеленый и плоский (сливается с клумбой). Так практически во всем.

Рассмотрим простой пример: контроль доступа.

Не надо быть крупным специалистом, чтобы понимать, что доступа «вообще» - не бывает, доступ всегда к чему-то или куда-то. Так, в общем случае, доступ в помещение чаще всего контролируется проверкой пропуска с фотографией и необходимыми реквизитами, доступ к ПК и к данным - теми или иными методами идентифиакации/аутентификации и т. д. - с усилением жесткости контроля по мере роста критичности объекта доступа.

В свое время смарт-карты стали безусловным шагом вперед в развитии средств аутентификации, хотя всем известно, что «двухфакторная» аутентификация, прочно связываемая сегодня именно с ними, применялась в защите информации и раньше. Смарт-карты, однако пришлись по вкусу пользователям своей новой удобной формой, производителю - относительной дешевизной эмиссии, а владельцам информационных систем - еще и тем, что - опять же за счет удобной формы - их можно использовать не только для контроля доступа к ПК и его ресурсам, но и для контроля доступа в помещение, если разместить на смарт-карте фотографию.

Однако, несмотря на очевидные выгоды, традиционные смарт-карты все чаще заменяются токенами. Идея снабдить смарткарточный чип USB-интерфейсом оказалась привлекательной для всех. С одной стороны, это расширение линейки продуктов с минимальными затратами. С другой, - повышение надежности и снижение общей стоимости системы. Наконец, пользоваться компактным брелком удобнее, а сломать его сложнее. При этом уровень защищенности систем остается неизменным, так как технологические составляющие средств защиты остались прежними.

Следующим этапом эволюции явилось создание персональных криптографических средств защиты информации (ПСКЗИ). Несмотря на то, что пока единственным представителем устройств этого класса является ПСКЗИ ШИПКА, или наоборот - благодаря этому факту, для пользователей появление таких устройств прошло как естественный этап развития токенов: «такое же, как токен, только с существенно более широкой функциональностью». С точки зрения пользователя такая трактовка вполне разумна, а специалистам технологические и архитектурные различия между токенами ПСКЗИ хорошо известны.

Но весь этот процесс протекал в области компьютерных технологий. Другая сфера применения смарт-карт - как средства идентификации в системах контроля физического доступа оставалась в прежнем состоянии: физические размеры токенов и ПСКЗИ позволяют разместить в них радиометки для открывания дверей, но о размещении на корпусе ПСКЗИ фотографии владельца не может быть и речи. Увеличивать же корпус до необходимых для этого размеров - просто нелепо.

Значит ли это, что достигнут тот самый предел и об идее использования ПСКЗИ в системах контроля физического доступа можно забыть? Отнюдь. Главная особенность архитектуры ПСКЗИ - это возможность наращивания ее внутренних функций, а не внешних размеров. Вместо того, чтобы размещать фотографию владельца на ПСКЗИ, можно разместить ее в памяти устройства. И этим утройством может быть только ПСКЗИ, так как для токена расширение функциональности внутреннего программного обеспечения невозможно.

Итак, фотография владельца ПСКЗИ ШИПКА дополненная различными идентификационными параметрами (ФИО, должность, отдел, номер ПСКЗИ) сохраняется в файле, подписывается на ключе Службы Безопасности и размещается в энергонезависимой памяти устройства. Кроме того, в ПСКЗИ создается пара ключей ЭЦП, которая будет использоваться для подтверждения подлинности устройства. Открытый ключ этой пары сохраняется в системе контроля физического доступа. При проходе через систему контроля пользователь предъявляет ПСКЗИ. Система контроля проверяет подлинность ШИПКИ, получает из нее фотографию владельца, проверяет ее подлинность и предоставляет ее сотруднику Службы Безопасности для сопоставления с претендующим на вход человеком. Заметим, что от сотрудника Службы безопасности требуется по-прежнему только сравнить фотографию с предъявителем, а все остальное происходит на уровне технических средств.
При этом интегрированное устройство обеспечит контроль доступа на всех уровнях - на предприятие, в комнату, в компьютер, в сеть.

Что очень важно, в качестве идентифицирующей информации в таком случае может выступать не только фотография владельца, но и его биометрические данные, целостность которых обеспечивается криптографическими возможностями ШИПКИ.

Такую систему можно расширять и дальше, например, функциями дистанционного контроля за пользователями. Сравнивая фотографию, полученную из ПСКЗИ ШИПКА с изображением пользователя, работающего в данный момент, полученным через систему видеонаблюдения, сотрудник Службы Безопасности может предотвратить последствия халатности пользователя, оставившего ШИПКУ в USB-порте компьютера.

Думается, что пределы возможностей архитектуры ПСКЗИ будут достигнуты еще не скоро, и пока не стоит ожидать перехода к использованию устройств принципиально иного типа.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них