NVision Group, НГТУ
Инженер-стажер
УДК 004.087.5
Прежде чем проводить классификацию и анализ токенов, стоит немного рассказать об инфраструктуре открытых ключей (Public Key Infrastructure, в дальнейшем будет называть коротко - PKI) в целом.
PKI – это совокупность различных средств (технических, материальных и т.д.), служб и компонентов, в целом используемых для поддержки криптозадач на основе открытого и закрытого ключей. Основывается она на криптографической системе с открытым ключом и на четырех принципах.
Коротко о системе с открытым ключом, или об ассиметричном шифровании. Суть системы – возможность создания общего секретного ключа, которым можно будет пользоваться для передачи сообщения в зашифрованном виде. Генерация происходит в пять этапов.
В результате этих действий, каждая сторона получает одно и то же значение, посчитанное независимо друг от друга.
Вернемся к PKI. Помимо ассиметричного шифрования, инфраструктура основывается на четырех основных принципах:
Т.е., PKI – это совокупность компонентов, основными из которых являются УЦ и пользователи, которые общаются между собой через УЦ. Реализуется она в модели клиент-сервер (проверка любой информации происходит по инициативе клиента).
Основным компонентами PKI являются:
Задачи PKI:
Суть PKI – выдача и аннулирование сертификатов, хранение информации, проверяющей правильность сертификатов. Сертификат – это электронный документ, содержащий электронный ключ пользователя – информацию о пользователе, удостоверяющую подпись и информацию о сроке действия. Также используется понятие ключевой пары – набор, состоящий из двух ключей: секретного (secret key) и открытого (public key). Ключи создаются вместе и полностью повторяют принципы ассиметричного шифрования. Примеры приложений PKI: защищенная электронная почта, протоколы платежей, электронные чеки, документы с электронной цифровой подписью и т.д.
Один из способов идентификации пользователя, создания электронной цифровой подписи – это использование токена (также его называют USB-ключ). Токен – это компактное физическое устройство, которое призвано облегчить процесс аутентификации. Предназначен для электронного удостоверения личности, можно использовать его как вместе с паролем, так и вместо него. Обычный токен обладает небольшим размером, поэтому его можно носить в кармане, или в кошельке.
Рис 1. Смарт-карта и USB-ключи от Aladdin Knowledge Systems
Различают несколько видов токенов:
Кроме срока службы у токенов имеются еще и другие недостатки. Самый простой из них – это потеря или кража токена. Критическим этот недостаток становится, если не используются технологии двух- или трехфакторной аутентификации, т.е. процесс идентификации зависит полностью от одного токена. Другой недостаток связан с проблемой использования ненадежной сети. Пользователь, аутентифицирующийся через ненадежную сеть, рискует подвергнуться атаке «человека посередине» (т.е. человека, который способен перехватить сообщение, прочитать его, видоизменить при необходимости и послать адресату).
Рынок PKI в России развивается очень быстро, причем большую часть рынка занимают отечественные разработки на основе ассиметричного алгоритма ГОСТ-Р 34.10-2001, иностранные решения занимают лишь небольшую часть. Связано это с жесткими требованиями ФСБ России к средствам шифрования и электронной цифровой подписи. В настоящее время насчитывается около 200 организаций, которые оказывают услуги удостоверяющих центров.
Компании «Aladdin Knowledge Systems» и «Актив» также входят в этот перечень. У этих компаний имеются конкурирующие разработки в виде смарт-карт и USB-токенов, а именно eToken («Aladdin») и Rutoken («Актив»).
Элемент архитектуры |
eTokenPRO |
ruToken |
Процессор |
Микросхема для смарт-карт SLE66CX160S |
Микроконтроллер CY7C63613 |
Регистры |
8 регистров общего назначения (каждый может быть индексным) и 1 регистр с функцией аккумулятора |
1 индексный и 1 регистр с функцией аккумулятора |
Тактовая частота |
5 МГц |
12 МГц |
Тактов на команду |
1-3 (большинство команд – 1) |
4-14 (в среднем – 6) |
Частота исполнения команд |
Средняя 3,8 МГц (не более 5 МГц) |
В среднем 2 МГц |
Память программ |
32 Кбайта |
8 КБайт |
Оперативная память |
1280 байт |
256 байт |
Встроенная защищенная энергонезависимая память |
EEPROM 16 КБайт |
- |
Контроллер для обмена с внешней памятью |
- |
SPI Программный. Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с |
Средства повышения производительности криптографических преобразований |
аппаратный криптографический ускоритель |
-
|
Поддержка файловой системы |
По стандарту ISO/IEC 7816 ПО микроконтроллера |
По стандарту ISO/IEC 7816 скорее всего, через драйвера ОС |
Аппаратный датчик случайных чисел |
есть |
нет |
Контроллер USB-интерфейса |
нет |
Low-speed, поддерживает только запросы типа control и interrupt. |
Порты ввода/вывода |
нет |
есть |
Внешняя память |
нет |
SPI до 128 КБайт |
Контроллер USB-интерфейса |
СY7C63001A Low-speed Скорость обмена не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных |
нет |
ВОЗМОЖНОСТЬ
|
Устройство
|
|
eTokenPRO
|
ruToken
|
|
Аппаратная реализация российских криптографических алгоритмов
|
нет
|
ГОСТ 28147-89
Скорость 200-300 байт/с
|
Аппаратная реализация зарубежных криптографических алгоритмов
|
RSA,
DES, TripleDES, SHA-1,
MAC, iMAC
(DSA и MD5 – по запросу)
|
-
(«дополнительные возможности» - RSA,
DES (TripleDES), RC2, RC4, MD4, MD5, SHA-1)
|
Обмен данными по USB-интерфейсу с РС, скорость
|
не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных
|
не более 8 Кбайт/с для однонаправленных функций и 4 Кбайта/с для двунаправленных
|
Обмен данными с собственной внешней памятью
|
Нет, поскольку нет внешней памяти
|
Программно, с использованием вычислительных ресурсов и памяти программ
Скорость не может превышать 85 Кбайт/с, реально – около 20 Кбайт/с
|
Хранение ключевой информации внутри вычислителя
|
Есть встроенная память EEPROM 16 КБайт
|
нет
|
Генерация случайных чисел
|
С помощью аппаратного ГСЧ
|
Нет физического датчика случайных чисел. По-видимому, для генерации случайных чисел в руТокен используется какой-то алгоритм генерации псевдослучайной последовательности, задающий элемент которой генерируется от встроенного таймера.
|
Создание резидентного ПО
|
Возможно достаточно большого размера даже на языках высокого уровня
|
Невозможно
|
Как видно из характеристик, токены имеют небольшое отличие в разных категориях, имеют некоторое преимущество над конкурентом, но, в целом, обладают одинаковыми возможностями и могут равноправно использоваться для решения задач безопасной идентификации. Изменить ситуацию призвана новая линейка токенов от «Aladdin» - JaCarta. Но, на данный момент, еще нет подробных характеристик и не обозначены преимущества по сравнению с eToken или Рутокен.
Рецензии:
22.12.2013, 17:08 Минин Игорь Владиленович
Рецензия: Напоминает реферат студента, а не статью того же студента... сноски литературы "скопом" а не по тексту...анализ поверхностный. Руждается в переработке.
24.12.2013, 21:03 Назарова Ольга Петровна
Рецензия: Рекомендуется к печати.
Комментарии пользователей:
Оставить комментарий