реализация концепции доверенных вычислений в новых

В. В. Лысенко ОКБ САПР
РЕАЛИЗАЦИЯ КОНЦЕПЦИИ ДОВЕРЕННЫХ ВЫЧИСЛЕНИЙ
В НОВЫХ ИЗДЕЛИЯХ ОКБ САПР
Развитие современных компьютерных систем неизменно сопровождается
увеличением объемов и ценности обрабатываемой информации, что делает вопросы
защиты информации все более актуальными. Одной из последних инициатив в этом
направлении является создание концепции Trusted Platform Module (TPM), предложенной
организацией Trusted Computing Group (TGC - консорциум фирм-производителей
компьютерной техники, таких как AMD, HP, IBM Corp., Intel Corp. и др.). Основной идеей
концепции является обеспечение доверенных вычислительных операций (обычно
криптографических) в вычислительной системе за счет реализации этих операций на
аппаратном уровне в изолированной подсистеме с надежно специфицированными
интерфейсами.
Типичный TPM модуль представляет собой интегральную микросхему (ИС),
устанавливаемую на материнскую плату компьютера. Типичная ИС TPM (для примера –
AT97SC3201 фирмы Atmel) имеет следующие возможности:
-
энергонезависимая память для хранения нескольких RSA ключей;
8-битный микропроцессор семейства AVR;
аппаратный криптографический ускоритель (вычисление ЭЦП на базе
алгоритма RSA для длины ключа до 2048 бит);
генератор случайных чисел
Программный интерфейс к TPM модулю стандартизован под названием TGC
Software Stack (TSS) . Известны реализации TSS для поддержки функций модуля TPM
через спецификации PKCS #11 и Microsoft CAPI.
Фирма Microsoft заявила о системной поддержке TPM в будущих версиях ОС
Windows. Фирма Intel выпустила первую материнскую плату с установленным TPM
модулем (модель D865GRH).
Учитывая передовой мировой опыт в решении проблем защиты информации, ОКБ
САПР анонсирует ряд новых изделий, которые позволят наряду с доверенной загрузкой
ОС обеспечить концепцию доверенных вычислений.
Контроллер Аккорд-5.5
Новый контроллер Аккорд-5.5 является контроллером электронного замка (в этом
плане он практически совместим с контроллером Аккорд-5), дополненного мощным
криптографическим вычислителем и подсистемой хранения ключевой информации, и
имеющего следующие технические данные и характеристики:
-
шифрование по ГОСТ 28147-89 (до 12 Мбайт/с);
вычисление хэш-функций – ГОСТ Р 34.11-94, MD5, SHA-1 (до 8 Мбайт/с);
вычисление/проверка ЭЦП по ГОСТ Р 34.10-94 (30/70 мс 1024-бит)
вычисление/проверка ЭЦП по ГОСТ Р Р 34.10-2001 (100 мс)
-
вычисление защитных кодов аутентификации ЗКА (3000 ЗКА/с)
Все алгоритмы реализованы аппаратно, ключевые данные находятся в плате
контролера, никогда не попадая в память компьютера. Для долговременного хранения
разнообразной ключевой информации (ключи, пароли, сертификаты) используется
энергонезависимая память с организацией данных, подобной файловой системе по ISO
7816.
Фактически контроллер Аккорд-5.5 представляет собой комбинацию электронного
замка с TPM модулем. Возможности контроллера могут быть использованы во множестве
стандартных приложений благодаря наличию реализаций интерфейсов Microsoft CAPI,
PKCS #11, TSS v1.10.
Физически контроллер Аккорд-5.5 представляет собой стандартную плату
расширения, устанавливаемую в любой свободный PCI или PCI-X слот, поддерживающий
режим bus-master (плата полностью совместима со спецификацией PCI 2.2). Плата требует
наличия напряжения питания 3.3V в шине PCI (может отсутствовать в старых
компьютерах на базе процессора 486).
Программно-аппаратный комплекс ШИПКА-1.5
Новое изделие - программно-аппаратный комплекс ШИПКА-1.5 представляет
собой USB-ключ, подобный изделию ruToken фирм Актив/Анкад или eToken фирмы
Alladin, но обладающий значительными преимуществами.
Архитектура изделия ШИПКА-1.5 фактически совпадает с архитектурой типичного
TPM модуля, имеющего интерфейс типа USB. Вычислительная мощность примененного
микропроцессора достаточна для аппаратной (по отношению к центральному процессору
ЭВМ) реализации криптографических алгоритмов, таких как шифрование по ГОСТ
28147-89, RC4, вычисление хэш-функций по ГОСТ Р 34.11-94, MD-5, SHA-1, вычисление
ЭЦП по ГОСТ Р 34.10-94 и RSA, вычисление защитных кодов аутентификации ЗКА; при
этом ключевая информация никогда не покидает вычислитель и не появляется на выводах
микросхемы вычислителя. Наиболее критичные ключевые данные хранятся во внутренней
энергонезависимой памяти вычислителя, остальные данные хранятся во внешней
микросхеме флэш-памяти (64 Кбайт, 128 Кбайт, 256 Кбайт, 512 Кбайт, 1 Мбайт, 2 Мбайт,
4 Мбайт) в зашифрованном виде. Хранимые данные организованы в файловую систему,
подобную ISO 7816. В состав изделия входит аппаратный генератор случайных чисел.
Изделие ШИПКА-1.5 является полностью перепрограммируемым устройством, что
позволяет расширить список поддерживаемых алгоритмов обработки или хранения
информации любым, требуемым конкретному заказчику.
Полностью поддерживаются спецификации интерфейсов Microsoft CAPI,
PKCS #11, что позволяет использовать комплекс ШИПКА-1.5 в качестве идентификатора
для входа в ОС Windows, для организации защищенной почтовой переписки (при помощи
почтовых клиентов MS Outlook, The Bat), защищенного обмена сообщениями (ICQ PGP) и
т.п. Кроме того, имеется возможность сохранения паролей, используемых для входа в
различные web-сервисы. Также имеется возможность организации защищенного диска
небольшого объема, предназначенного для хранения информации в виде файлов.
Криптографический
Аккорд-5 – Аккорд-5КУ
ускоритель
для
контроллеров
Это изделие предназначено для наших клиентов, которые уже приобрели
контроллер Аккорд-5. Ускоритель фактически является аналогом программноаппаратного комплекса ШИПКА-1.5, устанавливаемого на разъем расширения платы
контроллера Аккорд-5. Установка ускорителя позволит расширить функциональные
возможности стандартного контроллера Аккорд-5 до возможностей нового контроллера
Аккорд-5.5, однако при этом скоростные показатели будут примерно такие, как у
комплекса ШИПКА-1.5. Исключение составляет функция вычисления ЭЦП, скоростные
показатели которой будут такие же, как и у нового контроллера Аккорд-5.5.