Hardware kryptering

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. juli 2020; checks kræver 3 redigeringer .

Hardwarekryptering er en krypteringsproces  , der udføres ved hjælp af specialiserede computerenheder.

Introduktion

I dag er tre typer indkodere mest udbredt til datakryptering: hardware, firmware og software. Deres største forskel ligger ikke kun i den måde, kryptering er implementeret på og graden af ​​pålidelighed af databeskyttelse, men også i prisen, som ofte bliver en afgørende faktor for brugerne. De billigste krypteringsenheder er software, efterfulgt af firmware og til sidst den dyreste hardware. På trods af, at prisen på hardwarekodere er væsentligt højere end software, er forskellen i pris ikke sammenlignelig med en væsentlig stigning i kvaliteten af ​​informationsbeskyttelse [1] .

Fordele ved hardwarekryptering

Et stort antal datakrypteringsværktøjer skabes i form af specialiserede fysiske enheder. Softwareindkodere er som regel billigere end hardware og er i nogle tilfælde i stand til at give en højere informationsbehandlingshastighed. Listen over fordele ved hardwarekodere:

• en hardwaregenerator til tilfældige tal skaber virkelig tilfældige tal for at generere pålidelige krypteringsnøgler og elektroniske digitale signaturer ;
• hardwareimplementering af kryptoalgoritmen garanterer dens integritet;
• kryptering og opbevaring af nøgler udføres i selve indkoderkortet og ikke i computerens RAM;
• nøgler indlæses i krypteringsenheden fra Touch Memory (i-Button) elektroniske nøgler og smart cards direkte, og ikke gennem computerens systembus og RAM, hvilket eliminerer muligheden for nøgleaflytning;
• ved hjælp af hardwarekodere er det muligt at implementere systemer til at begrænse adgangen til en computer og beskytte information mod uautoriseret adgang;
• brugen af ​​en specialiseret processor til at udføre alle beregninger aflaster computerens centrale processor ; du kan også installere flere hardwarekodere på en computer, hvilket yderligere øger hastigheden på informationsbehandlingen (denne fordel er iboende i indkodere til PCI-bussen);
• brugen af ​​parafasedæk, når der oprettes en chifferprocessor, eliminerer truslen om at læse nøgleinformation om elektromagnetiske strålingsudsving, der opstår under datakryptering i enhedens "jordstrøm"-kredsløb.
• datakryptering er hurtigere end i hardware-software-kryptering

Installation af specialiseret krypteringshardware på din computer vil være et mindre problem end at tilføje datakrypteringsfunktioner til dit systemsoftware . I bedste fald bør kryptering ske på en sådan måde, at brugeren ikke bemærker det. For at gøre dette ved hjælp af softwareværktøjer skal de være gemt dybt nok i operativsystemet. Det er meget svært at udføre denne operation smertefrit med et debugget operativsystem. Men enhver ikke-professionel kan forbinde krypteringsenheden til en personlig computer eller til et modem [2] .

Typer af hardwarekrypteringsenheder

Det moderne marked tilbyder 3 typer informationskrypteringshardware til potentielle købere

• krypteringsblokke i kommunikationskanaler
• selvforsynende krypteringsmoduler (de udfører alt arbejdet med nøglerne selv)
• krypteringsudvidelseskort til installation i personlige computere

Næsten alle enheder af de to første typer er højt specialiserede. Derfor skal de installationsbegrænsninger, som disse enheder pålægger de respektive enheder, applikationssoftware og operativsystemer, undersøges grundigt, før der træffes den endelige beslutning om at købe dem. Ellers kan du spilde dine penge uden at komme tættere på dit ønskede mål. Sandt nok er der virksomheder, der sælger kommunikationsudstyr sammen med forudinstallerede hardwarekrypteringsenheder, hvilket nogle gange gør valget lettere.

Tillægskort til personlige computere er mere alsidig hardwarekryptering og er generelt meget nemme at sætte op til at kryptere al information skrevet til harddisken eller sendt til porte og drev. Hardwarekryptering add-on-kort har normalt ikke EMI-afskærmning, da det ikke nytter noget at beskytte disse kort, medmindre hele computeren er beskyttet på samme måde.

Yderligere funktioner i hardwarekodere

At bruge et helt udvidelseskort kun til hardwarekryptering er for spild. Ud over krypteringsfunktioner forsøger producenter at tilføje en række ekstra funktioner til deres enheder, for eksempel:

• Generator af tilfældige tal. Det er primært nødvendigt for at generere kryptografiske nøgler. Derudover bruger et stort antal krypteringsalgoritmer dem også til andre formål. For eksempel den elektroniske signaturalgoritme GOST R 34.10 - 2001: Ved beregning af signaturen bruges et nyt tilfældigt tal hver gang.
• Pålidelig download . Computer login kontrol. Hver gang brugeren tænder for den personlige computer, vil enheden kræve, at han indtaster personlige oplysninger (f.eks. indsæt en diskette med nøgler). Kun hvis enheden genkender de medfølgende nøgler og betragter dem som "sine egne", vil overførslen fortsætte. Ellers vil brugeren blive tvunget til at skille computeren ad og fjerne krypteringskortet derfra for at tænde for computeren (ikke desto mindre kan oplysningerne på harddisken som bekendt også krypteres).
• Kontrol af integriteten af ​​operativsystemfiler. En angriber vil ikke være i stand til at ændre noget i operativsystemet i dit fravær. Indkoderen gemmer i sin hukommelse en liste over alle vigtige filer med forudberegnede kontrolsummer (eller hashværdier) for hver, og computeren vil blive blokeret, hvis kontrolsummen for mindst én af filerne ikke stemmer overens under næste download.

En kryptografisk databeskyttelsesenhed (UKZD) er et udvidelseskort med alle de ovennævnte muligheder. En hardwarekrypteringsenhed, der kontrollerer indgangen til en personlig computer og kontrollerer integriteten af ​​alle operativsystemfiler, kaldes også en "elektronisk lås". Det er klart, at analogien ikke er helt komplet - almindelige låse er meget ringere end disse smarte enheder. Selvom det er klart, at sidstnævnte har brug for software - kræves der et hjælpeprogram, der genererer nøgler til brugere og gemmer deres liste til at identificere "ven/fjende". Derudover skal du bruge et program til at vælge vigtige filer og beregne deres kontrolsummer. Disse programmer er normalt kun tilgængelige for sikkerhedsadministratoren. Han skal forudkonfigurere alle enheder til brugere, og hvis der er problemer, skal han forstå deres årsager.

Eksempler på eksisterende hardwareindkodere

ruToken USB Encryptor

ruToken er et russisk godkendelses- og informationsbeskyttelsesværktøj, der bruger certificerede krypterings- og autentificeringsalgoritmer og kombinerer russiske og internationale sikkerhedsstandarder.

ruToken er en lille elektronisk enhed forbundet til en computers USB-port (USB nøglebrik). Det ligner et smartkort, men det kræver ikke ekstra udstyr (læser) for at arbejde med det.

Godkendelse

• Udskiftning af adgangskodebeskyttelse for adgang til databaser, webservere, VPN-netværk og sikkerhedsorienterede applikationer med software- og hardwaregodkendelse;
• Sikre forbindelser til adgang til mailservere, databaseservere, webservere, filservere, fjernadgangsgodkendelse.

Data beskyttelse

• Informationsbeskyttelse (kryptering i henhold til GOST 28147-89);
• E-mail-beskyttelse (EDS, kryptering);
• Beskyttelse af adgang til computeren (autorisation af brugeren ved indtastning af operativsystemet).

Virksomhedsbrug

• I applikationsprogrammer i elektroniske handelssystemer til lagring af serviceoplysninger, personlige oplysninger om brugere, adgangskoder, krypteringsnøgler, digitale certifikater og anden fortrolig information;
• ruToken kan fungere som en enkelt identifikationsenhed for brugeradgang til forskellige elementer i virksomhedens system og give for eksempel adgangskontrol, automatisk indstilling af EDS-dokumenter mv.

Hovedkarakteristika ved ruToken:

• Hardwarekryptering i henhold til GOST 28147-89;
• Filsystem i henhold til ISO 7816;
• 8, 16, 32, 64 eller 128 KB ikke-flygtig hukommelse;
• Understøttelse af PC/SC, PKCS#11, MS CryptoAPI, X.509.

Generelle specifikationer:

• Baseret på en sikker mikrocontroller;
• USB-interface (USB 1.1 / USB 2.0);
• EEPROM-hukommelse 8, 16, 32, 64 eller 128 Kb;
• 2-faktor autentificering (på det faktum at have et ruToken og på det faktum at præsentere en PIN-kode);
• 32-bit unikt serienummer;
• Understøttelse af Windows 98/ME/2000/XP/2003/Vista/2008/7;
• Understøttelse af ISO/IEC 7816, PC/SC, GOST 28147-89, MS CryptoAPI og MS SmartcardAPI, PKCS#11 (v.2.10+) standarder;
• Egen Crypto Service Provider og ICC Service Provider med standard sæt grænseflader og API funktioner;
• Evne til at integrere i alle smartcard-orienterede softwareprodukter (e-mail, internet, betalingssystemer osv.).

ruToken har et indbygget filsystem, der opfylder standarden ISO/IEC 7816. Gennemsigtig kryptering af hele filsystemet leveres i overensstemmelse med GOST 28147-89 baseret på data, der er unikke for hver forekomst af ruToken.

Den indbyggede krypteringsalgoritme GOST 28147-89 giver dig mulighed for at kryptere data i tilstandene simpel udskiftning, gamma og gamma med feedback. ruToken genererer en 32-bit imitationsindsættelse i overensstemmelse med GOST 28147-89 og genererer 256-bit tilfældige tal. Krypteringsnøgler gemmes i ruToken i en beskyttet form, uden mulighed for at eksportere dem fra ruToken. Import af krypteringsnøgler GOST 28147-89 understøttes.

Yderligere funktioner:

• Understøttelse af X.509-standarden og RSA, DES (3DES), RC2, RC4, MD4, MD5, SHA-1 algoritmer;
• Sikker opbevaring af asymmetriske krypteringsnøgler og digitale certifikater og muligheden for at bruge ruToken til asymmetrisk datakryptering og arbejde med digitale certifikater fra enhver PC/SC smartcard-applikation;
• Testet arbejde med e-mail-klienter: MS Outlook, MS Outlook Express og certifikatmyndigheder Microsoft og Verisign;
• En nøglefærdig løsning er organiseringen af ​​et sikkert logon i Windows 2000/XP/2003, inklusive PKI Logon.

PCDST i SHIPKA-serien

SHIPKA PCDST er en specialiseret mobilenhed, der giver dig mulighed for pålideligt at udføre kryptografiske transformationer og gemme nøgler.

Familien inkluderer en række USB-enheder (ved at indse, at der på CIPF-markedet i dag er et ret bredt udvalg af kun billige midler - analoger til smartkort, vi har udviklet modifikationer med væsentligt forskellige indikatorer): SHIPKA-1.5, SHIPKA-1.6 og SHIPKA-1.7, og også CF Type II, PC CARD Type II, ExpressCard 34 enheder og SHIPKA-Module enhed.

Den kryptografiske funktionalitet af alle disse enheder er den samme - dette er kryptering, digital signatur, hash-funktion, nøglegenerering, langtidslagring af nøgler og certifikater. Implementeringen af ​​kryptografiske operationer er i alle tilfælde hardware-baseret (i forhold til pc'en). For at gemme nøgleoplysninger i alle enheder er der en ikke-flygtig sikker hukommelse på 4 KB, placeret direkte i processoren. Alle enheder er udstyret med ekstra ikke-flygtig hukommelsestype DataFlash med et filsystem svarende til ISO/IEC 7816; har i deres sammensætning hardware DSC. Alle modifikationer af SHIPKA PCDST fungerer under Win32-operativsystemer, der har programgrænseflader til dette - Microsoft CryptoAPI CryptoProvider, API PKCS#11-bibliotek.

Alle enheder i SHIPKA-familien implementerer alle russiske kryptografiske algoritmer. De har også evnen til at understøtte udenlandske kryptografiske algoritmer. Sættet af fremmede algoritmer for alle enheder er det samme: Kryptering: RC2, DES, DESX, TripleDES; Hashing: MD5, SHA-1; EDS: RSA (SHIPKA-1.5 - 512-bit, resten - 2048-bit), DSA (SHIPKA-1.5 - 1024-bit, resten - 2048-bit). Alle enheder er fuldt omprogrammerbare - firmwaren kan opdateres direkte af brugeren. Dette gør det muligt at udvide sin funktionalitet og skabe individuelle løsninger til bestemte kundeopgaver, da en eksklusiv løsning i en række tilfælde er meget mere at foretrække end en standardløsning.

Personlige midler til kryptografisk databeskyttelse SHIPKA-1.7 Karakteristika:

• CPU clockhastighed: 16 MHz
• 1-2 cyklusser pr. kommando (de fleste - 1)
• kommandoudførelsesfrekvens: 14 MHz
• Programhukommelse: 128 KB
• RAM: 4 KB
• Indbygget sikker, ikke-flygtig hukommelse: EEPROM 4 KB
• Forbedringer af kryptografisk ydeevne: Hardware kryptografisk coprocessor
• Filsystemunderstøttelse: I henhold til ISO/IEC 7816
• Ekstern hukommelse: 1) Type Data Flash 2 MB (på forespørgsel - op til 8 MB)

2) Skriv NAND-flash - op til 1 GB (krypteret disk (kryptering i henhold til GOST 28147-89)

• To-arm hardware tilfældigt tal generator
• Højhastigheds USB-interface controller
• Valutakursen for envejsfunktioner er omkring 3 MB/s, for tovejs - omkring 1,5 MB/s
• Hardwareimplementering af kryptografiske algoritmer:

Hvis der er en krypteret disk - kun - EDS + GOST-kryptering + GOST-hash; Hvis disken ikke er installeret, er den samme tilgængelig - EDS + DES / TripleDES-kryptering + SHA-1-hash; - EDS + RC2-kryptering + MD5-hash; Hastighed: EDS i henhold til GOST R 34.10-2001: - nøglegenerering - 30 ms, - EDS-beregning - 40 ms, - EDS-verifikation - 70 ms. Beregning af hashfunktion - omkring 3 MB/s, kryptering - omkring 1,5 MB/s.

• Dataudveksling med egen ekstern hukommelse: Brug af hardware controller SPI-interface.

Maksimal hastighed: 1 MB/s, reel - 500 KB/s uden overhead Brugeren har mulighed for at opdatere firmwaren uden ekstra udstyr, herunder dynamisk omprogrammering af den kryptografiske coprocessor.

UKZD-serien KRYPTON

Kryptografiske databeskyttelsesenheder (UKZD) i KRYPTON-serien er hardwarekodere til IBM PC-kompatible computere. Enhederne bruges som en del af kryptografiske databeskyttelsesværktøjer og -systemer for at sikre informationssikkerhed (herunder beskyttelse med et højt hemmelighedsniveau) i offentlige og kommercielle strukturer.

KRYPTON er en serie af hardwareencodere til IBM PC-kompatible computere, lavet i form af ISA- og PCI-udvidelseskort til en personlig computer med en i386-processor eller højere.

Softwaren til KRYPTON-enheder giver dig mulighed for at: kryptere computeroplysninger (filer, grupper af filer og diskpartitioner) og sikre deres fortrolighed; at udføre en elektronisk digital signatur af filer, kontrollere deres integritet og forfatterskab; skabe gennemsigtigt krypterede logiske drev, hvilket gør det så nemt og enkelt som muligt for brugeren at arbejde med fortrolige oplysninger; skabe kryptografisk sikre virtuelle netværk, kryptere IP-trafik og give sikker adgang til netværksressourcer for mobil- og fjernbrugere; skabe systemer til at beskytte information mod uautoriseret adgang og afgrænse adgangen til en computer.

Hovedkarakteristika:

• krypteringsalgoritme GOST 28147-89 ;
• krypteringsnøglestørrelse - 256 bit (antal mulige kombinationer af nøgler - 1.158 * 10 77 );
• antal nøglesystemniveauer - 3 (masternøgle - bruger-/netværksnøgle - sessionsnøgle);
• tilfældig talgenerator - hardware (certificeret af en ekspertorganisation);
• afvigelse af fordelingen af ​​værdien af ​​tilfældige tal fra den ligesandsynlige fordeling - ikke mere end 0,0005;
• understøttede operativsystemer — MS-DOS, Windows 95(98)/ME/NT 4.0/2000/XP/2003 UNIX (Solaris/Intel) (det er muligt at oprette originale softwaredrivere til enhedsbetjening).

Crypton Emulator er en softwareemulator af UKZD-krypteringsfunktioner i KRYPTON-serien i Windows 95/98/Me/NT 4.0/2000/XP/2003, Solaris 2.x, 7, 8, Linux.

Emulatoren leverer kryptering i henhold til GOST 28147-89-algoritmen; med hensyn til krypteringsfunktioner er emulatoren fuldt ud kompatibel med UKZD fra Krypton-serien. Således er det muligt at erstatte hardwaren UKZD "Krypton" med dens softwareemulator uden nogen ændring i softwaren ved hjælp af UKZD "Krypton" eller Crypton Emulator gennem den standard Crypton API programmeringsgrænseflade.

Indkoderen arbejder med applikationssoftware designet til slutbrugeren og/eller udviklingsværktøjer - biblioteker designet til at integrere kryptering og/eller elektroniske digitale signaturer (EDS) funktioner i produkter fra uafhængige udviklere.

Crypton API-biblioteket er en nødvendig grænsefladekomponent og giver en programmeringsgrænseflade til kryptografiske databeskyttelsesenheder (UKZD) i KRYPTON-serien til Win32-applikationer og DOS-programmer i DOS-emuleringstilstand i Windows 95/98/NT 4.0/2000/XP/2003 driftsmiljøer, Solaris 2.x, 7, 8 (x86, Sparc). Brugen af ​​forskellige komponenter og løsninger giver dig mulighed for at løse problemer lige fra abonnentkryptering og digital signatur til IP-trafikkryptering. Giver dig mulighed for at beskytte oplysninger, der er klassificeret som højt klassificerede, herunder oplysninger, der udgør en statshemmelighed.

eToken PRO

eToken PRO (Java) er en sikker enhed designet til stærk autentificering, sikker lagring af hemmelige data, udførelse af kryptografiske beregninger og arbejde med asymmetriske nøgler og digitale certifikater.

• Smartkort IC: Atmel AT90SC25672RCT
• Smart Card-operativsystem: Athena OS755 Embedded Java Virtual Machine (fuldt kompatibel med Sun Java Card-standarden)
• Understøttede grænseflader og standarder: PKCS#11 version 2.01, Microsoft CryptoAPI, PC/SC, understøttelse af X.509 v3 standardcertifikater; SSL v3, IPSec/IKE; Microsoft CCID; eToken minidriver
• Hardware-implementerede algoritmer: RSA 1024 / 2048, DES, 3DES, SHA-1
• 72 KB sikker hukommelse på smart card-chip
• Modeller: USB-dongle og smart card
• Mulighed for at indlejre et radiomærke (RFID)
• Understøttede versioner af eToken PKI Client: 4.55 og nyere
• Understøttede versioner af eToken SDK: 4.5 og nyere

Formål

• To-faktor autentificering af brugere af automatiserede systemer.
• Sikker opbevaring af nøglebrugeroplysninger.
• Indlæsning og udførelse af brugerapplikationer (applets) på enheden.

Evner

• To-faktor brugergodkendelse i systemer bygget på basis af PKI-teknologi, i ældre applikationer, på arbejdsstationer og i netværket, i heterogene miljøer, med fjernadgang til informationsressourcer. Der kan bruges flere metoder til at godkende en bruger, herunder:
  • PKI-baseret godkendelse ved hjælp af X.509 digitale certifikater;
  • autentificering baseret på adgangskoder, adgangskoder og andre data, der er gemt i enhedens sikre hukommelse.
• Udvidelse af grundlæggende funktionalitet ved at downloade yderligere applikationer (applets) udviklet på Java-sproget.
• Øget hukommelse til sikker lagring af brugerdata og nøglebrugerinformation (72 KB).
• Arbejd uden at installere yderligere drivere i operativsystemerne Windows Vista, Linux, Mac OS (drivere er inkluderet i operativsystemet).
• Indbyggede radiomærker (RFID-tags) til brug i kontrolsystemer og adgangskontrol til lokaler.

Ironkey

IronKey flashdrev med gennemsigtig hardware datakryptering. Designet til sikker opbevaring af følsomme data.

• Hardware-implementerede algoritmer: RSA 2048, SHA 256, AES 256.
• Beskyttet hukommelse 1-32GB, afhængig af model.
• Selvdestruktion af krypteringsnøgler og selve data efter 10 forkerte adgangskodeforsøg (enheden fungerer ikke længere).
• Yderligere funktioner, der sikrer sikkerheden for brugerens arbejde (adgangskodehåndtering, anonym krypteret internetadgang, virtuelt tastatur, værktøj til oprettelse og gendannelse af krypterede sikkerhedskopier osv.)

Noter

1. ↑ PC-hardwarekryptering (downlink) . Hentet 28. november 2009. Arkiveret fra originalen 26. maj 2009. (ubestemt) 
2. ↑ Kryptografiske algoritmer . Hentet 28. november 2009. Arkiveret fra originalen 26. april 2018. (ubestemt)

Litteratur

1. Lukashov Igor Vladislavovich "Kryptografi? Jern!
2. S. P. Panasenko, V. V. Rakitin "Hardware-indkodere"