7.3.4 Функционирование аппаратных средств защиты

В банковской системе необходимо обеспечение следующих основных требований по безопасности:

• конфиденциальность данных;

• целостность данных, включая порядок следования сообщений;

• аутентификация источников сообщений;

• контроль доступа;

• ведение контрольного журнала регистрации событий и сообщений и проверка записей в нем;

• непрерывность функционирования средств защиты.

Реализация этих требований криптографическими средствами защиты ставит актуальный вопрос о функционировании средств защиты в соответствии с заданными алгоритмами на всех уровнях. При этом традиционных способов, осуществляемых через вычисление контрольных сумм (типа кода CRC), в общем случае недостаточно, поскольку речь может идти о целенаправленном изменении криптографических средств. По этой же причине неудовлетворительным выглядит контроль целостности, проводящийся чисто программными механизмами. Криптоадаптер IBM 4755 реализует аппаратно-программный контроль целостности средств защиты, включая интерфейс доступа к нему, а также любых, в том числе исполняемых, файлов. Для контроля используется специальный алгоритм типа хэш-функции Modification Detection Code -- MDC. Контроль целостности осуществляется поэтапно: проверка следующего уровня проводится уже проверенными средствами предыдущего уровня. Контрольные значения MDC хранятся внутри криптоадаптера.

С конструктивной точки зрения указанные выше средства защиты представляют собой следующие технические устройства.

Криптографический адаптер IBM 4755 -- это плата, содержащая микропроцессор 80186, ПЗУ, ЗУ с произвольным доступом, микросхему, реализующую алгоритм DES (все внутри защищенного модуля) и управляющую логику. Все криптографические функции и криптографические ключи защищены от электромагнитного, химического и физического воздействий. Если криптографический адаптер не используется совместно с кард-ридером, то требуется идентификация по паролю, который вводится с клавиатуры ПЭВМ. Криптоадаптер снабжен разъемом для подключения модуля процессора подтверждения подписи.

Кард-ридер IBM 4754 может подсоединяться:

• непосредственно к терминалу криптоадаптера (если он имеется);

• к асинхронному серийному адаптеру или порту в отсутствие криптоадаптера.

IBM 4754 включает в себя защищенное от подделки покрытие, криптографический процессор, клавиатуру с 12 клавишами и батарею резервного питания. Клавиатура используется для ввода персонального идентификатора (PIN). После ввода персональный номер PIN в засекреченном виде передается в персональную защищенную карточку (PSC), где PIN проверяется. Каждый кард-ридер снабжается тремя PSC. Понятно, что криптографические функции выполняются кард-ридером медленнее, чем криптоадаптером.

Карточка PSC взаимодействует с криптоадаптером через кард-ридер и представляет собой интегральную схему, содержащую однокристальный процессор. PSC служит для хранения следующей информации и выполнения технических функций:     1. ПЗУ на 10 Кбайтов:

• алгоритм шифрования (DEA);

• криптографические функции;

• функции управления ключами.

    2. ЗУ с произвольным доступом на 256 байтов;

    3. ЭППЗУ на 8 Кбайтов для хранения в засекреченном виде:

• данных о пользователе;

• исходного ключа;

• базы хранения ключей для шифрования данных;

• базы хранения ключей для шифрования ключей.

Конфиденциальные данные такие, как ключи, коды идентификации, образцы подписи хранятся в засекреченном виде в памяти PSC. Пространства памяти одной PSC достаточно для хранения пяти образцов подписи на одного пользователя.

К кард-ридеру может быть подсоединена ручка подтверждения подписи IBM 7446, которая является дополнительным средством и функционирует в сочетании с кард-ридером и криптоадаптером. Указанная ручка содержит датчики, измеряющие ускорение и давление кончика пера при выполнении подписи. Данные этих измерений преобразуются в цифровую форму в кард-ридере. Эти данные сравниваются с параметрами, хранимыми в PSC, в результате чего делается вывод о подлинности подписи. Обмен информацией между кард-ридером и криптоадаптером и между карточкой и криптоадаптером происходит в зашифрованном виде.

Криптоадаптер, кард-ридер и PSС обладают возможностью контроля и способны определять, кому санкционировано выполнение определенных команд и доступ к блокам данных в PSC. Для этого необходимо различать следующие взаимосвязанные области:

• конфигурации команд;

• уровни полномочий (профилирование) пользователей;

• заголовки блоков данных.

Конфигурация команд определяет требования, чтобы команды выполнялись в соответствующем устройстве. Для каждой команды может быть определено, является ли эта команда допустимой, или требуется определенная дата и время установления сеанса засекреченной связи, или требуется первоначальное подтверждение и предварительное санкционирование и на каком уровне полномочий.

Профилирование пользователей должно быть определено для каждого криптографического устройства. PSC и криптоадаптер обеспечивают различие до 4 уровней полномочий пользователей. Кроме того, в криптоадаптере и кард-ридере имеются еще один открытый и один гостевой уровень. Каждый уровень полномочий пользователя показывает, какие команды конкретного пользователя санкционированы к исполнению. Уровень полномочий пользователя, заданный в PSC, начинает действовать в криптоадаптере и кард-ридере после установления сеанса засекреченной связи и подтверждения идентификационного номера пользователя или его подписи.

Подобно файлам на дискете, блоки данных представляют собой области памяти в ЭППЗУ персональной карточки. Эти блоки могут создаваться, уничтожаться, считываться и записываться. Блок данных состоит из заголовка и области данных. Заголовок блока данных указывает, какие полномочия необходимы пользователю, чтобы выполнить конкретные операции над соответствующими блоками данных. Заголовок блока, в частности, содержит информацию об идентификации блока, минимальном уровне полномочий, необходимости подтверждения идентификационного номера или подписи, необходимости использования шифрования данных, а также какие права по считыванию или записи предоставлены пользователю.