
4509d2c549163c1d5f180ac3cf7d3a9e.ppt
- Количество слайдов: 104
ОКБ САПР Если Вам есть что скрывать. ОКБ САПР www. accord. ru 1@accord. ru Москва, 2007
Почему так бывает — используешь СЗИ, а информация все равно попадает в чужие руки ?
Для того, чтобы обеспе чить защищенность, а не только защищать, необходимо понимать, что является ОБЪЕКТОМ ЗАЩИТЫ.
Объекты защиты информации определяются тем, на что могут быть направлены действия злоумышленника: ü средства вычислительной техники (СВТ); ü данные, хранящиеся и обрабатывающиеся СВТ; ü технологии обработки данных; ü каналы передачи данных.
Задачи защиты информации определяются в соответствии с объектами: ü защита компьютера от несанкционированного доступа (НСД); ü разграничение прав доступа к данным; ü обеспечение неизменности технологии обработки данных; ü передача данных в защищенном виде.
Задачи защиты информации решаются применением комплексов защиты информации на основе Аккорд-АМДЗ
Защищенность компьютера от НСД ü достигается обеспечением режима доверенной загрузки ОС , при котором подтверждено, что: üпользователь именно тот который имеет , право работать на данном компьютере; üкомпьютер именно тот на котором имеет , право работать данный пользователь.
Аккорд-АМДЗ: Аппаратный модуль доверенной загрузки Обеспечивает доверенную загрузку различных ОС для аутентифицированного пользователя.
Что такое доверенная загрузка? Загрузка ОС производится только после успешного завершения процедур: ü блокировка загрузки ОС с внешних носителей информации; ü идентификация/аутентификация пользователя; üпроверка целостности технических и программных средств ПК с использованием алгоритма пошагового контроля целостности.
Аккорд-АМДЗ — защита от НСД Аккорд-АМДЗ обеспечивает доверенную загрузку ОС, поддерживающих файловые системы: ü FAT 12, FAT 16, FAT 32, ü NTFS, HPFS, ü EXT 2 FS, EXT 3 FS, Free. BSD, Sol 86 FS, ü QNXFS, MINIX.
Аккорд-АМДЗ — защита от НСД В частности, режим доверенной загрузки обеспечивается для ОС семейств: ü MS DOS, ü Windows, ü OS/2, ü UNIX, ü LINUX, ü BSD и др.
СЗИ НСД Аккорд-АМДЗ состоит из аппаратных и программных средств: Аппаратные средства: ü Контроллер; ü Контактное устройство; ü Идентификатор; Программные средства: ü BIOS контроллера комплекса Аккорд-АМДЗ; ü Firmware, в котором реализованы функции МДЗ.
Функциональная достаточность резидентного ПО Администрирование комплекса Возможность блокировки внешних устройств Идентификация/ аутентификация Хранение ключей и выработка случайных последовательностей Пошаговый механизм контроля целостности Функции МДЗ Блокировка загрузки со сменных носителей для всех пользователей, кроме администратора
Основные версии Аккорд-АМДЗ базируются на контроллерах: для ПК с шинным интерфейсом и PCI -Х ü Аккорд-5 МХ, ü Аккорд-5. 5 с мощной криптографической подсистемой ü Аккорд-6 с криптографической и коммуникационной подсистемой.
Аккорд-АМДЗ на базе контроллера Аккорд-5 МХ ü Для ПЭВМ с шинным интерфейсом PCI. ü Класс защиты до 1 Б включительно. ü Регистрация пользователей – до 128.
Аккорд-АМДЗ на базе контроллера Аккорд-5. 5 Дополнительно к характеристикам Аккорд-5 МХ имеет аппаратную криптографическую подсистему: ü Мощный криптографический вычислитель ü Средство хранения и мониторинга ключевой информации
Аккорд-АМДЗ на базе контроллера Аккорд 6 Универсальное решение для защиты информации, сочетающее функции защиты от НСД с функциями криптографической и сетевой защиты информации:
Аккорд-АМДЗ на базе контроллера Аккорд 6 это полноценный 32 -битный высокопроизводительный микрокомпьютер, имеющий интерфейсы üPCI 32 -bit 33 MHz 3. 3/5 V, üEthernet 10/100, üRS-232, üUSB-host, üUSB-slave, üi. Button (Touch Memory), физически реализованный в виде стандартной низкопрофильной PCI-card , вставляемой в любой свободный PCI или PCI-X слот компьютера.
Также Аккорд-АМДЗ может базироваться на контроллерах: üАккорд-5. 5. е для ПК с шинным интерфейсом PCI-Express; ü Аккорд-5. 5 mini-PCI для ноутбуков и других компьютеров с шинным интерфейсом mini-PCI; üАккорд-5 МХ mini-PCIe для ПК, ноутбуков и серверов с шинным интерфейсом mini-PCI-express;
Аккорд-АМДЗ на базе контроллера Аккорд-5. 5. е ü для компьютеров с современным шинным интерфейсом PCI-Express. ü все характеристики аналогичны Аккорд-5. 5
Аккорд-АМДЗ на основе контроллера Аккорд -5. 5 mini. PCI ü для ноутбуков, низкопрофильных серверов и других компьютеров с шинным интерфейсом mini -PCI ü все характеристики аналогичны Аккорд-5. 5 ü 4, 5 x 6 см
Аккорд-АМДЗ на основе контроллера Аккорд -5. 5 mini. PCI е ü для ноутбуков, низкопрофильных серверов и других компьютеров с шинным интерфейсом mini -PCI -express ü все характеристики аналогичны Аккорд-5. 5 ü 3 x 5 см
Индивидуальная комплектация: в соответствии с требованиями заказчика в Аккорд-АМДЗ и в системах на его основе могут использоваться различные идентификаторы: üТМ-идентификаторы (стандартная комплектация), üсмарт-карты, üПСКЗИ ШИПКА.
Все модификации Аккорд-АМДЗ : ü могут использоваться на любом ПК 486+, имеющем свободный PCI (ISA) слот; ü используют для идентификации пользователей персональные ТМ-идентификаторы DS 1992 – DS 1996 с объемом памяти до 64 Кбит (или другие идентификаторы по запросу заказчика) и предусматривают регистрацию до 128 пользователей на ПК; ü используют для аутентификации пользователей пароль до 12 символов, вводимый с клавиатуры;
Все модификации Аккорд-АМДЗ : ü работают с файловыми системами следующих типов: FAT 12, FAT 16, FAT 32, NTFS, HPFS, Free. BSD, Ext 2 FS, Sol 86 FS, QNXFS, MINIX; ü обеспечивают контроль целостности аппаратных средств ПК до загрузки ОС; ü обеспечивают контроль целостности программ и данных до загрузки ОС (для ОС семейства Windows возможен контроль целостности отдельных ветвей реестра);
Все модификации Аккорд-АМДЗ : ü блокируют загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP-drive); ü осуществляют регистрацию действий пользователей в системном журнале, размещенном в энергонезависимой памяти контроллера; ü обеспечивают администрирование системы.
Администрирование системы: ü назначение общих установок системы; ü регистрация пользователей; ü назначение прав доступа пользователей и групп пользователей; ü выбор объектов, подлежащих контролю целостности: ü ü файлов и каталогов, ветвей и ключей реестров, служебных областей жесткого диска, аппаратных средств; ü работа с журналом регистрации событий.
Особенности архитектуры СЗИ НСД Аккорд-АМДЗ Энергонезависимая память ПО АМДЗ пользователь Журнал регистрации событий АБИ пользователь ПО микропроцессора АБИ Базы данных (пользователей, аппаратуры, контролируемых объектов) Микропроцессор Считыватель идентификаторов контроллер ПК Системная шина R only Оперативная память ПК R/W Add only АБИ - администратор безопасности информации ПО АМДЗ Датчик случайных чисел
Надежность в ненадежном мире: Архитектура Аккорд-АМДЗ обеспечивает ü невозможность внесения изменений в firmware; ü невозможность сокрытия попытки НСД от администратора безопасности информации; ü возможность построения системы управления защитой информации (при установке специального ПО Аккорд-РАУ. )
Разграничение прав доступ к данным ü обеспечивают программно-аппаратные комплексы на базе Аккорд-АМДЗ и специального ПО ü Аккорд-1. 95 – для операционных систем MS DOS, Windows 9 x, Windows Millenium; ü Аккорд. NT/2000 – для операционных систем Windows NT, Windows 2000, Windows XP, Windows 2003, Vista; в том числе для терминальных систем.
Аппаратная защита терминальных решений ОКБ САПР http: // www. accord. ru e-mail: 1@accord. ru Аккорд. Надежность в ненадежном мире.
Еще не забытое старое становится новым: терминальные решения снова востребованы , поскольку они ü дешевле – как установка, так и дальнейшее обслуживание; ü удобнее – проще администрирование, ниже требования к производительности оборудования; ü надежнее – дольше служат, реже ломаются, при инциденте с терминалом данные сохраняются на сервере.
Старое или новое? Суть терминальной сессии осталась прежней: ü на сервере хранятся и обрабатываются данные; ü на сервер от пользователя передаются нажатия клавиш и манипуляции с мышью; ü на терминал к пользователю передаются изменения изображения на экране.
Старое или новое? было: ü серверы – только «большие» ЭВМ; ü «алфавитно-цифровые терминалы » – только монитор, клавиатура и блок соединения с сервером.
Старое или новое? данные было: последовательный побайтовый обмен Терминальный сервер Алфавитно-цифровой терминал
Старое или новое? стало: ü серверное ПО – может работать на специализированных серверах, обычных персональных компьютерах и даже notebook’ах; ü «тонкие клиенты » – имеют собственную ОС, загрузочный диск, периферию.
Старое или новое? стало: данные сетевые пакеты (передаются) (хранятся и обрабатываются) Терминальный сервер (хранятся и обрабатываются) «Тонкий клиент»
Смена поколений Защита терминальных сессий, достаточно надежная в идеологии «длинных данные проводов » - это защита терминального сервера и коммуникаций.
Смена поколений Защита терминальных сессий, достаточно надежная в идеологии «длинных проводов » , - недостаточна для современных решений с «тонкими клиентами » . ?
Как обеспечить защищенность терминальных решений? Использовать навесные средства защиты на каждом «тонком клиенте? » Превратить «тонкого клиента в «алфавитно » -цифровой терминал » ?
Как обеспечить защищенность терминальных решений? Защищена ли сессия, если üзащищен терминальный сервер и üзащищены «тонкие клиенты» ?
Защищенность терминальных решений достигается обеспечением режима взаимодействия, при котором подтверждено, что ü пользователь работает только с защищенным терминальным сервером; ü с терминальным сервером работает пользователь только с защищенного «тонкого клиента» .
Защищенность терминальных решений достигается, если ü со стороны сервера в момент создания терминальной сессии проверяется не только пользователь , но и «тонкий клиент; » ü со стороны «тонкого клиента» проверяется, что сервер именно тот, с которым должен работать данный пользователь.
Защищенность терминальных решений достигается, если средства защиты ü аппаратные – независимы от ОС; ü активные – находятся во взаимодействии. взаимодействие сервера и терминала взаимодействие средств защиты
Защищенность терминальных решений достигается применением ПАК СЗИ НСД Аккорд. NT/2000 3. 0, V сертифицированного ФСТЭК России (сертификат № 1161)
Аккорд. NT/2000 V 3. 0 на терминальном сервере или на «тонком клиенте» ü проводит процедуры идентификации/аутентификации пользователей; ü обеспечивает изолированную программную среду на сервере (запуск только разрешенных данному пользователю программ); ü в момент создания терминальной сессии проводится взаимная проверка подлинности «тонких клиентов» и терминальных серверов.
В Аккорд- T/2000 3. 0 N V добавлены следующие специфические возможности: ü усиленная аутентификация терминальных станций с помощью контроллера Аккорд или ПСКЗИ ШИПКА; ü идентификация/аутентификация пользователей, подключающихся к терминальному серверу (с использованием ТМ-идентификатора или ПСКЗИ ШИПКА); ü управление терминальными сессиями,
В Аккорд- T/2000 3. 0 N V добавлены следующие специфические возможности: ü опциональная автоматическая идентификация в системе Windows NT+ и на терминальном сервере пользователей, аутентифицированных защитными механизмами контроллера АМДЗ, ü контроль печати на принтерах, подключенных как к терминальным серверам, так и к пользовательским терминалам, который позволяет протоколировать вывод документов на печать и маркировать эти документы.
Аккорд. NT/2000 3. 0 V функционирует: ü на всех версиях операционных систем (ОС) Microsoft NT+ , ü на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, ü на ПО Citrix Metaframe XP, работающем на этих ОС.
ПАК Аккорд- T/2000 3. 0 N V установленные на терминальных серверах и пользовательских терминалах взаимодействуют в рамках виртуальных каналов, построенных на протоколах: ü RDP и ü ICA, что позволяет использовать для взаимодействия СЗИ уже установленный канал , а не организовывать новый.
Защищенность терминальных решений достигается применением ПАК СЗИ НСД Аккорд -NT/2000 V 3. 0, обеспечивающим ü защищенность терминальных серверов; ü защищенность «тонких клиентов» ; ü взаимодействие этих защитных механизмов. взаимодействие сервера и терминала взаимодействие средств защиты
Управление защитой информации ü будет эффективным , если руководствоваться тремя принципами: 1. Управление системой – эффективнее, чем управление разрозненными элементами. 2. Управление защитой информации должно осуществляться на базе защищенного обмена данными , иначе уязвимость АС только увеличивается. 3. Управление защитой информации в системах разного уровня не может быть построено одинаково – необходима иерархия уровней управления.
Управление защитой информации на базе ащищенного обмена данными по сети з обеспечивается подсистемой Аккорд-РАУ , объединяющей автоматизированное рабочее место администратора безопасности информации (АРМ АБИ ) и рабочие станции, оснащенные ПАК Аккорд-1. 95 или Аккорд. NT/2000.
Подсистема Аккорд-РАУ ПО АРМ АБИ позволяет администратору безопасности информации, не вставая со своего рабочего места , осуществлять функции ü оперативного наблюдения и управления ü удаленного администрирования.
Подсистема Аккорд-РАУ оперативное наблюдение за работой пользователя: ü получение информации о пользователе, о версии ОС, под управлением которой идет работа, о списке выполняющихся задач; ü просмотр всех событий подсистемы разграничения доступа со всех станций в одном окне; ü получение всех событий одной станции в отдельное окно; ü выбор для просмотра отдельных станций или отдельных событий; ü оперативное изменение уровня детальности журнала на рабочих станциях; ü просмотр экрана выбранной рабочей станции; ü просмотр дисков рабочих станций (до уровня файлов).
Подсистема Аккорд-РАУ оперативное управление работой пользователя: ü отправка пользователю сообщений; ü обмен с пользователем файлами; ü блокировка экрана и клавиатуры рабочей станции, которую можно снять только TM-идентификатором АБИ; ü управление «мышью» и клавиатурой рабочих станций; ü остановка любого запущенного на рабочей станции процесса; ü перезагрузка рабочих станций.
Подсистема Аккорд-РАУ удаленное администрирование - это: ü Централизованный сбор журналов регистрации СЗИ НСД Аккорд (с выбранных рабочих станций; систематизировано по соответствующим каталогам с делением по датам сбора) - получение журналов подсистемы разграничения доступа с рабочих станций; - получение журналов контроллеров АМДЗ с рабочих станций; - осуществление очистки журналов регистрации. ü Работа со писком с зарегистрированных рабочих станциях: - редактирование списка станций на АРМ; - рассылка обновленного списка по рабочим станциям. ü Работа с азами пользователей б и файлами конфигурации на рабочих станциях.
Подсистема Аккорд-РАУ Работа с азами пользователей б и файлами конфигурации на рабочих станциях включает: ü получение файлов конфигурации с выбранной станции; ü редактирование и замену файлов конфигурации выбранной станции; ü редактирование базы пользователей рабочих станций на АРМ: ü удаление пользователей станции или изменение настроек их полномочий, ü добавление новых пользователей станции и назначение им полномочий; ü синхронизация баз пользователей на рабочих станциях (в том числе, находящиеся в контроллерах) q сразу после изменения базы или q в момент начала работы рабочей станции.
Подсистема Аккорд-РАУ построена на основе специально разработанного комплекса для защищенного обмена данными по сети Аккорд-Ac. XNet. За счет своей архитектуры Аккорд-Ac. XNet обеспечивает конфиденциальный и аутентифицированный обмен данными между приложениями через сеть.
Архитектура Аккорд-А c. XNet 1. Ядро - предоставляет интерфейсы для обмена данными: - интерфейсы для приложений q основной (для обмена данными с рабочими станциями и приложениями пользователей), q служебный (для регистрации рабочих станций в системе и приложений пользователей на каждой станции); - интерфейсы для подсистем взаимодействия с модулями. 2. Подсистемы взаимодействия с модулями : 1) Подсистема шифрования - обеспечивает взаимодействие с модулями шифрования данных (ГОСТ 28147 -89). 2) Подсистема аутентификации - обеспечивает взаимодействие с модулями аутентификации данных (ЭЦП по ГОСТ Р 34. 10 -94, ГОСТ Р 34. 10 -2001, ЗКА). 3) Подсистема транспорта - обеспечивает взаимосвязь с модулями передачи данных в сети (протоколы IPX, UDP, TCP/IP).
протокол DP U модуль передачи данных в сети протокол TCP/IP Приложение N интерфейсы для приложений Подсистема взаимодействия с модулями передачи данных в сети основной служебный Подсистема взаимодействия с модулями диспетчер интерфейсы для подсистем взаимодействия с модулями шифрования данных Подсистема взаимодействия с модулями аутентификации данных модуль аутентификации ЭЦП по ГОСТ Р 34. 10 -2001 ГОСТ Р 34. 10 -94 база зарегистрированных станций и приложений модуль шифрования модуль передачи данных в сети Ac. XNet ЯДРО протокол PX I Служебное ПО алгоритмы ЗКА ГОСТ 28147 -89 модуль передачи данных в сети Приложение 2 Приложение 1 Архитектура Аккорд-А c. XNet
Подсистема Аккорд-РАУ предназначена для управления защитой информации в локальной сети В крупных системах, где количество сообщений может быть слишком велико для конечного числа администраторов, необходима система обработки инцидентов , и реагирования на попытки НСД. Такую функциональность Аккорд-РАУ получает за счет интеграции, например, с Open. View , при которой попытка НСД будет представлена как инцидент Open. View.
Подсистема Аккорд-РАУ может интегрироваться не только с Open. View по нашему неизменному правилу мы работаем с реальными условиями заказчика.
Криптографические алгоритмы ü для защиты информационных технологий и передачи данных в защищенном виде реализованы в контроллерах Аккорд ерий 5. 5 и 6 и с ПСКЗИ ШИПКА , с использованием которых можно шифровать данные, подписывать их ЭЦП и защищать информационные технологии с помощью защитных кодов аутентификации (ЗКА).
Серия контроллеров Аккорд- 5. 5 Аппаратная реализация всех российских криптографических алгоритмов: ü шифрование по ГОСТ 28147 -89 (до 12 Мбайт/с; ) ü вычисление хэш-функций - ГОСТ Р 34. 11 -94 (6 Мбайт/с; ) ü вычисление/проверка ЭЦП по ГОСТ Р 34. 10 -94 (3/3/7 мс - 512 бит, 11/11/24 мс - 1024 бит ); ü вычисление/проверка ЭЦП по ГОСТ Р 34. 10 -2001 (50/50/80 мс ); ü вычисление защитных кодов аутентификации ЗКА (3000 ЗКА/с ).
Серия контроллеров Аккорд- 5. 5 Аппаратная реализация зарубежных криптографических алгоритмов : ü шифрование RC 2 (около 4 Мбайт/с, DES (24 Мбайт/с, ) ) DESX (22 Мбайт/с, Triple. DES (8 Мбайт/с; ) ) ü хэш-функции MD 5 (15 Мбайт/с и SHA-1 (12 Мбайт/с; ) ) ü ЭЦП (RSA (2048 бит - 350/350 мс, 1024 бит - 45/45 мс, 512 бит - 6/6 мс, 256 бит - 1/1 мс ), DSA (12/15/27 мс 1024 бит)).
ОКБ САПР http: // www. accord. ru e-mail: 1@accord. ru ПЕРСОНАЛЬНОЕ СКЗИ ШИПКА
Идеальное информационное взаимодействие: Ü Мобильное Ü Дружественное И Ü Защищённое
Реальная жизнь ставит перед выбором: Ü Мобильное Ü Дружественное ИЛИ Ü Защищённое
Реальная жизнь ставит перед выбором: Использование конфиденциальной информации Хранение паролей веб-сервисов и ключей шифрования / ЭЦП Управление банковским счётом Ü Мобильное Ü Дружественное ИЛИ Ü Защищённое
Из двух зол выбирай меньшее!
Из двух зол выбирай меньшее!
Для того чтобы иметь все необходимое, достаточно иметь с собой ПСКЗИ ШИПКА
ПСКЗИ ШИПКА: ü Мобильность: не требует инсталляции программных средств с дополнительных носителей, может использоваться на любом ПК, имеющем USBразъем. ü Дружественность: не требует отдельной установки криптографических библиотек на ПК; обеспечивает безопасное хранение и применение персональных конфиденциальных данных, не требует специальных навыков при эксплуатации на ПК и в Интернет. ü Защищённость: аппаратная реализация криптографических алгоритмов, ДСЧ, защищенная ЭНП, применение ключей без передачи их в ПК.
ШИПКА: ardware h (транспортный Уровень ) USB-контроллер защищённый MCU ядро (ALU) аппаратный датчик случайных чисел • криптографическая библиотека • функции файловой системы (ФС), подобной ISO 7816 -4 память критичных данных Память данных ФС Data Flash (функциональный Уровень ) SPI память команд firmware:
Firmware ШИПКА ü криптографическая библиотека ü поддержка файловой системы, подобной ISO/IEC 7816 -4 ü возможность обновления без дополнительного оборудования у пользователя
Firmware ШИПКА: Криптографическая библиотека: российские алгоритмы Российские криптографические алгоритмы: Ü Шифрование: ГОСТ 28147 -89. Ü Вычисление хэш-функций: ГОСТ Р 34. 11 -97. Ü Вычисление и проверка ЭЦП: ГОСТ Р 34. 10 -94, ГОСТ 34. 10 -2001. Ü Вычисление и проверка ЗКА (защитных кодов аутентификации).
Firmware ШИПКА: Криптографическая библиотека: зарубежные алгоритмы Зарубежные криптографические алгоритмы: Ü Шифрование: RC 2, RC 4, RC 5, DES, 3 DES, RSA. Ü Вычисление хэш-функций: MD 5 и SHA-1. Ü ЭЦП: RSA, DSA.
Firmware ШИПКА: Поддержка файловой системы, подобной ISO/IEC 7816 -4 Поддержка файловой системы, подобной ISO/IEC 7816 -4 Ü Позволяет структурировать и организовать обработку в виде файлов разнородных данных - ключей, сертификатов, личных данных пользователя.
Firmware ШИПКА: Возможность обновления без доп. оборудования у пользователя Возможность обновления ( upgrade) Ü Устройство является полностью программируемым , поэтому, когда в ходе разработок у ПСКЗИ ШИПКА появятся новые возможности, не нужно будет покупать новый экземпляр , достаточно провести upgrade без использования дополнительного оборудования.
ШИПКА: oftware s приложение 1 приложение 2 криптопровайдер (уровень приложений ОС) приложение 3 приложение N библиотека API PKCS#11 библиотека взаимодействия с firmware ШИПКИ (уровень ядра ОС) виртуальный считыватель смарт-карт драйвер ШИПКИ
Software ИПКА Ш ü ü ü драйвер устройства динамическая библиотека криптопровайдер ОКБ САПР для ПСКЗИ ШИПКА библиотека API PKCS#11 драйвер виртуального считывателя смарт-карт
Software ИПКА: Ш Драйвер устройства и динамическая библиотека Ü Обеспечивают связь между прикладным ПО и USB-устройством «ШИПКА» .
Software ИПКА: Ш Криптопровайдер ОКБ САПР для ПСКЗИ ШИПКА Ü Обеспечивает интерфейс между криптографическими алгоритмами, реализованными в ШИПКЕ и использующими их прикладными программами. Ü Подписан Microsoft.
Software ИПКА: Ш Библиотека PKCS#11 Библиотека API PKCS#11 Ü Обеспечивает интерфейс к приложениям, поддерживающим этот стандарт, в частности, к криптосистеме PGP и др.
Software ИПКА: Ш Драйвер виртуального считывателя смарт-карт Ü Обеспечивает интерфейс к приложениям, требующим наличия считывателя смарт-карт.
ШИПКА: oftware & hardware s приложение 1 приложение 2 приложение 3 (software) криптопровайдер библиотека API PKCS#11 библиотека взаимодействия с firmware ШИПКИ виртуальный считыватель смарт-карт приложение N (уровень ядра ОС ) (уровень приложений ОС ) драйвер ШИПКИ (транспортный Уровень ) защищённый MCU ядро (ALU) SPI аппаратный ДСЧ память команд firmware: (функциональный Уровень ) (hardware) USB-контроллер • криптографическая библиотека • функции ФС память критичных данных память данных ФС
ПСКЗИ ШИПКА не в формате USB ШИПКА- ard. Bus C ШИПКАExpress ШИПКА -Compact Flash
ПСКЗИ ШИПКА не в формате USB ШИПКА-модуль ü 25 x 15 mm ü интерфейсы I 2 C и UART ü 5 В для питания ядра и 1. 5… 5 В для питания интерфейса ввода-вывода
Задачи, решаемые ПСКЗИ ШИПКА делятся на РИ Т большие группы: ü создание защищенной и одновременно мобильной персональной информационной среды и защита информационного взаимодействия граждан и организаций, ü создание корпоративных систем защищенного электронного документооборота разного уровня сложности, внедрения и использования ЭЦП и работа с Удостоверяющими центрами и пространством PKI, ü разработка специализированных приборов и устройств, включающих криптографическую подсистему.
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü для шифрования и / или подписи файлов ;
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü для автоматического заполнения WEB форм различных WEB-сервисов и для хранения паролей и других необходимых для этого данных;
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü для аппаратной идентификации и аутентификации на ПК и ноутбуках при загрузке ОС Windows, а также в терминальных решениях;
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü в качестве хранилища ключей и аппаратного датчика случайных чисел для криптографических приложений;
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü В качестве «смарт-карты» в типовых решениях, например, авторизация при входе в домен Windows, шифрование и/или подпись сообщений в почтовых программах (Outlook Express и др. ), для получения сертификатов Удостоверяющего Центра;
1 группа : решения ОКБ САПР с использованием ШИПКА ОКБ САПР предлагает использовать ПСКЗИ ШИПКА: ü для защиты информационных технологий с помощью ЗКА.
2 группа: для корпоративных систем üорганизация с помощью ШИПКИ доступа к тем или иным приложениям и прочая функциональность стандартных смарт-карт üобеспечение подтверждения авторства и целостности электронных сообщений и документов в ЛВС или при использовании технологий терминального доступа : üключевая информация и криптографические библиотеки сосредоточены в одном устройстве, доступны на исполнение только авторизованному пользователю и технологически защищены от чтения и модификации; üсобственные ресурсы устройства достаточны для организации защиты виртуальных каналов.
2 группа: для корпоративных систем внутреннее ПО ПСКЗИ ШИПКА не нуждается ü в адаптации для терминального либо локального использования ü в дополнительной настройке процедур взаимодействия для работы с ПО различных производителей (благодаря поддержке стандартных интерфейсов).
3 группа: для разработчиков СКЗИ ШИПКА-модуль ü 25 x 15 mm ü двухплечевой датчик случайных чисел ü интерфейсы I 2 C и UART ü 5 В для питания ядра и 1. 5… 5 В для питания интерфейса ввода-вывода ü шифрование - примерно 150 к. Бит/с ü вычисление хеш-функции - примерно 300 к. Бит/с ü ЭЦП по ГОСТ 34. 10 -2001 - выработка ключа – 30 мс; - вычисление ЭЦП – 40 мс; - проверка ЭЦП – 70 мс.
Преимущества использования ШИПКА в качестве смарт-карты Ü Будучи USB-устройством (Vendor ID USBассоциации — 17 e 4), ШИПКА не требует применения card-reader’ ов. Ü Характеристики изделия ШИПКА ни в чём не уступают характеристикам смарт-карт. Ü Использование в качестве смарт-карты — не исчерпывает возможностей ПСКЗИ ШИПКА.
Преимущества ШИПКИ перед другими USB-ключами Сравнения показателей стандартных версий СЗИ e. Token , ru. Token и ШИПКА-1. 5 по наиболее важным для пользователя характеристикам ü Количество аппаратно реализованных криптографических алгоритмов: из них российских — в e. Token PRO: 0 в e. Token RIC: 1 в ru. Token PRO: 1 в ШИПКА-1. 5 : 4 ü Скорость шифрования по ГОСТ 28147 -89 у ШИПКА-1. 5 в 10 раз выше, чем у e. Token RIC и в 100 -200 раз выше, чем у ru. Token ü Скорость обмена данным изделия ШИПКА-1. 5 по USB-интерфейсу превышает показатели всех упомянутых ключей в 25 раз.
Всё своё носи с собой!
Сертификаты Уровень защиты, обеспечиваемый СЗИ ТМ ТМ семейств АККОРД и ШИПКА , подтвержден 30 сертификатами соответствия, выданными üФАПСИ, üГостехкомиссией России и ФСТЭК России, üМинистерством обороны РФ, üГосстандартом России, üСЭС РФ.
ОКБ САПР Если Вам есть что скрывать. ОКБ САПР www. accord. ru 1@accord. ru Москва, 2007
4509d2c549163c1d5f180ac3cf7d3a9e.ppt