Идеальный токен

У всех есть свои профессиональные секреты. У театральных актеров есть такой: когда на сцене нужно показать гомон людей на улице или в кафе, когда много народу говорят между собой, и конкретных слов не слышно, но слышно общий шум разговора, то все актеры с разными выражениями произносят фразу "Куда я дел свои ключи?".
Между тем, задуматься над этим вопросом стоит каждому. Особенно, если это ключи криптографические.

Вероятность подмены рабочего места звучит не очень страшно, фактически, только по одной причине — кажется, что в этом никто особенно не заинтересован (например, трудно представить, что бухгалтер соберется сделать с домашнего ноутбука нелегальный перевод, подписав платежку своей ЭП).

Однако на самом деле представить себе сценарий как случайной, так и злонамеренной компрометации ключа и документа несложно.

Предположим несколько самых явных.

Начнем с добросовестного бухгалтера (таких, все-таки, мы уверены, большинство).

Из лучших побуждений — выполнять часть работы сверхурочно — он может организовать себе дополнительное рабочее место дома. При этом он может разделить работы по критичности и для «домашнего» выполнения выделить не платежи, а только подготовку и отправку в налоговую инспекцию отчетов в электронном виде. Это делается с помощью одной из специальных программ, например, «Фельдъегерь», и бухгалтеру на его домашнем компьютере даже не потребуется «Клиент-банк».

Если уровень просвещенности сотрудников в вопросах информационной безопасности в предполагаемой организации высок, то бухгалтер надлежащим образом защитит свой компьютер, создав на нем доверенную СФК (напомним, обмен документами в электронном виде с налоговыми органами производится с применением ЭП). Тогда единственной проблемой для организации станет аудит его действий, что можно решить с помощью орг. мер.

Но, согласитесь, кажется более вероятным предположение, что из средств защиты от НСД на этом «дополнительном рабочем месте» будет в лучшем случае только антивирус.

Эта ситуация создаст предпосылки для компрометации ключа с помощью широко распространенных вредоносных программ. В случае направленной атаки это позволит злоумышленнику в дальнейшем использовать украденный ключ в своих целях.

Если же компьютер используется и для проведения платежей, а не только для подготовки и отправки отчетов, то задача злоумышленника и вовсе упрощается.

Все еще хуже, если злоумышленником является сам бухгалтер.

Надеемся, что эту брошюру читают не бухгалтеры, и мы не доведем никого до греха.

Итак, если бухгалтер задумал провести нелегальный платеж, что его может остановить? Теоретически, его должна сдержать неотказуемость от ЭП на его ключе.

Однако в действительности при наличии технической возможности передачи ключевого носителя другому лицу и одновременно возможности применения ключа на произвольном СВТ, неотказуемость от ЭП — это уже вопрос алиби, а не криптографии.

Нарисуем такой «детектив»: злоумышленник организует рабочее место с необходимым для проведения платежа программным обеспечением. На собственном рабочем месте он подготавливает накануне несколько платежных поручений, подписанных его ЭП, но не отправляет их.

Вечером токен с ключом ЭП бухгалтер передает сообщнику и договаривается о времени проведения незаконного платежа таким образом, чтобы сам владелец ключа в это время был на рабочем месте на глазах у свидетелей.

В результате, в условленное время злоумышленник находится на виду у будущих свидетелей и отправляет заранее подготовленные платежки со своей легальной ЭП (токен ему для этого не нужен, ведь документы подписаны заранее). В это же время в другом месте с другого компьютера другое физическое лицо (сообщник) подписывает ключом нашего героя другое платежное поручение, используя токен.

При разборе инцидента злоумышленный владелец ключа имеет все шансы отказаться от своей ЭП, так как находился в это время на собственном рабочем месте и даже отправлял другой документ с подписью на том же ключе, а никаких следов отправки нелегального платежа на его рабочем СВТ нет. Очевидно, что он совершенно не при чем.

Чтобы избежать обвинений в предвзятости к бухгалтерам, приведем пример, никак не связанный с платежами.

Предположим, что злоумышленником движет желание осуществить атаку на корпоративную информационную систему, обрабатывающую информацию ограниченного доступа.

Предположим, что система распределенная централизованная (допустим, система терминального доступа, или web-система). Предположим, что документы обрабатываются на сервере, сервер надлежащим образом защищен, клиентские СВТ не содержат средств обработки информации (тонкие клиенты), загружаются с обеспечением доверенности клиентской ОС, и каналы между клиентами и сервером тоже защищены.

Ключи СКЗИ, защищающего канал, хранятся в токене.

Наиболее очевидная атака — это подключение в качестве терминального клиента произвольного СВТ злоумышленника, оснащенного программами для осуществления какой-либо атаки на систему.

Если атаку осуществляет легальный пользователь системы — он обладает идентификатором к СЗИ НСД на сервере и токеном с ключами СКЗИ, защищающего канал (зачастую это одно и то же устройство).

Предотвратить эту атаку может только применение комплексной системы защиты, включающей взаимную аутентификацию клиентского СВТ и сервера. Это не рядовая функция, зачастую относительно сервера аутентифицируется только пользователь.

Все эти леденящие кровь сценарии невозможны, если токен просто различает СВТ, к которым его подключают.

Итак, защищенный ключевой носитель должен:

• быть персональным отчуждаемым устройством,
• быть специализированным именно для хранения ключей устройством (то есть обеспечивать возможность защищенного хранения криптографических ключей с применением интерфейсов работы со смарт-картой (ccid или pkcs#11)),
• предоставлять доступ к ключам только легальному пользователю после успешной аутентификации в устройстве,
• предоставлять легальному пользователю доступ к ключам только на тех СВТ, на которых данному пользователю
• разрешено работать с данным ключевым носителем,
• удовлетворять требованию патентной чистоты.

Функции токена с функцией ограничения числа разрешенных компьютеров объединяет в себе новое средство, разработанное компанией ОКБ САПР, — «Идеальный токен».