поиск по сайту
Развитие мобильных СКЗИ

Д. Ю. СЧАСТНЫЙ
РОССИЯ, МОСКВА, ОКБ САПР

Развитие мобильных СКЗИ

Речь пойдет о мобильных СКЗИ (средствах криптографической защиты информации), предназначенных для работы с компьютерами. Большую часть этого сегмента рынка в настоящий момент представляют собой устройства с USB интерфейсом. Несмотря на все недостатки этого протокола, такие устройства распространены благодаря универсальности и простоте использования. Сегодня можно выделить два основных типа мобильных СКЗИ с USB интерфейсом: токены и ПСКЗИ (персональные средства криптографической защиты информации). В основе токенов лежит смарт-карта, ПСКЗИ базируются на микроконтроллерах общего назначения.

С точки зрения организации процесса криптографической обработки данных эти устройства очень похожи: и там, и там криптопреобразования с ключом производятся внутри устройства, и там, и там ключ подписи не извлекается наружу, и там, и там доступ к ключам и криптопреобразованиям защищается с помощью PIN - кода.

Но есть и ряд существенных отличий, которые связаны с «родовыми» признаками каждого типа устройств. Смарт-карты априори позиционировались как массовые и недорогие устройства со строго определенным функционалом: именно поэтому общие вычислительные мощности у токенов невелики. Специализированные операции они могут выполнять достаточно быстро, но и только. Следующая особенность токенов вытекает из предыдущей: скорость обмена данными  с внешним миром (то есть ПК, к которому токен подключен) у них невысока и не превышает 1 Мбит/секунду. Кроме того, стремясь к максимальному удешевлению продукта, разработчики практически не предоставили возможности расширять функциональность смарт-карт. Сторонние приложения могут в них загружаться, но выполнять они могут очень ограниченный набор специализированных функций. Стремление к простоте привело к тому, что смарт-карта имеет меньше девяти контактов для взаимодействия с внешним миром. Что существенно затрудняет подключение других устройств непосредственно к смарт-карте.

ПСКЗИ строится по другому принципу: на базе унифицированного микроконтроллера создается средство защиты информации. Такие устройства получаются дороже токенов, но их недостатков они лишены: произвольный код в них легко совмещается с криптографическими библиотеками, скорость обмена данными с тем же самым внешним миром у них может достигать 480 Мбит/с (справился бы только сам микроконтроллер), достаточно легко подключается периферийные устройства (например, можно подключить физический датчик случайных чисел). Но выполнение криптографических преобразований в таких устройствах может быть небыстрым, так как микроконтроллер является универсальным и не содержит специальных высокопроизводительных криптографических команд. Однако за счет выбора более производительного микроконтроллера или установки криптоускорителя можно увеличить скорость криптоопераций до приемлемого уровня (правда это может привести к существенному увеличению стоимости изделия).

То есть, априори токен является защищенным узкоспециализированным элементом системы, который прекрасно выполняет конкретный труднорасширяемый набор функций. ПСКЗИ также может выполнять этот же набор функций с аналогичным уровнем защиты, но его функциональность в целом может быть достаточно легко расширена.Устройства обоих типов постоянно совершенствуются и развиваются. В общем развитии мобильных СКЗИ с USB можно выделить общие тенденции:

  • комбинирование разных функций в одном устройстве. В частности, можно упомянуть о добавлении RFID - меток или интеграцию с системами одноразовых паролей (OTP - One Time Password);
  • добавление биометрических процедур идентификации/аутентификации пользователя;
  • интеграция в существующие системы в качестве смарт-карты.

Но эти общие тенденции не касаются криптографических функций. Развитие криптографического аспекта применения мобильных СКЗИ происходит совершенно по разным направлениям. Для токенов в настоящее время актуальным является добавление отечественных криптоалгоритмов в устройства. Здесь можно четко выделить два подхода в решении этого вопроса: добавление процедур работы с ГОСТами в Java-машину и переход на КОС Магистра. Подходы отличаются, но тенденция явно просматривается.

Для ПСКЗИ же актуальным является повышение производительности криптографических операций: оптимизация кода и создание более производительных и недорогих микроконтроллеров (закон Мура продолжает действовать) позволяют достаточно уверенно продвигаться в этом направлении. Еще одним явно просматриваемым направлением развития ПСКЗИ видится построение полноценных защищенных мобильных автоматизированных систем в едином конструктиве. Подключение дополнительных чипов непосредственно к микроконтроллеру позволяет создать многофункциональное защищенное высокопроизводительное устройство. Наиболее ярким примером служит зашифрованный Flash-диск внутри ПСКЗИ. Или проведение процедур криптографического контроля целостности данных, хранящихся на внутреннем Flash-диске ПСКЗИ, средствами микроконтроллера: что позволяет проводить доверенную загрузку операционной системы, носимой пользователем. Необходимо заметить, что использование Flash-диска в ПСКЗИ и токене принципиально отличаются. В первом случае Flash-диск интегрируется в ПСКЗИ и доступ к данным, хранящимся на диске, контролируется микропроцессором ПСКЗИ, а во втором случае в одном корпусе размещаются два независимых устройства, функционирующие независимо друг от друга.

Резюмируя этот краткий анализ, можно предположить следующее развитие мобильных СКЗИ с USB интерфейсом:

  • Токены будут продолжать текущее экстенсивное развитие (разработчики различных автоматизированных систем добавляют в свои системы работу с криптографией, используя устоявшиеся «смарткарточные» интерфейсы);
  • ПСКЗИ превратятся в миниатюрные защищенные компьютеры с различным функционалом и различной ценой - в зависимости от того, какие именно дополнительные элементы будут в них интегрироваться. Например, это может быть даже и смарт-карточный чип.

 


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них