Исследования и Разработки в области защиты информации - Л.К. Бабенко, Ю.А. Брюхомицкий, О.Б. Макаревич, О.Ю. Пескова

В рамках этой НИР разработаны средства идентификации и аутентификации субъектов доступа к ресурсам рабочей станции с применением российских интеллектуальных карт, а также средства контроля доступа субъекта к защищаемым ресурсам в соответствии с матрицей доступа на основе дискреционного и мандатного принципов управления.

Для повышения уровня защищенности операционной системы с помощью средств криптографии необходимо было разработать ряд методов и на их основе реализовать соответствующие программные средства:

-       прозрачного шифрования файловой системы,

-       канального шифрования сетевого трафика,

-       инфраструктуры открытых ключей.

Первые две подсистемы построены как модули ядра, что позволяет добиться максимального уровня защищенности и обязательности использования пользователем и прикладным программным обеспечением. Только системный администратор имеет надлежащие полномочия для управления подсистемами защиты от НСД.

Основными достоинствами прозрачного шифрования файлов являются:

-       прозрачность для программного обеспечения, что снимает необходимость его модификации;

-       прозрачность для пользователя, что позволяет исключить человеческий фактор в вопросе зашифрования/расшифрования информации, поскольку эти операции будут производиться в автоматическом режиме при разрешенных запросах на чтение и запись данных;

-       хранение открытых данных только в оперативной памяти ядра, что, в частности, исключает возможность появления защищаемых данных в открытом виде на диске после аварийного завершения работы ОС.

Прозрачное шифрование файловой системы осуществляется по российскому алгоритму симметричного шифрования ГОСТ 28147-89 в режиме гаммирования с обратной связью. При этом каждый пользователь в начале сеанса работы должен предъявить соответствующий ключ, который может располагаться на дискете, смарт-карте, электронном брелке и т.п. Для того, чтобы это стало возможным, было разработано специальное программное обеспечение для работы с российскими интеллектуальными картами РИК и брелками e-token, в частности, библиотеки работы с этими устройствами, драйвера для работы с USB и т.д.

Канальное шифрование призвано защитить передаваемую по сетям связи информацию от перехвата. Это достигается путем шифрования данных отправителем и расшифрования получателем. При этом, как и в случае с прозрачным файловым шифрованием, весь процесс происходит прозрачно и для пользователя, и для программного обеспечения на обеих сторонах звена связи.

Канальное шифрование основано на стандарте IPSec, но в качестве алгоритмов шифрования используются только российские аналоги (в частности, отечественный стандарт ГОСТ 28147-89).

Кроме криптографической защиты сетевого трафика, обеспечивающей защиту конфиденциальности данных, предлагаемый подход предоставляет возможность организовать взаимную аутентификацию взаимодействующих сторон, а также защиту целостности и подлинности передаваемой информации.