Исследования и Разработки в области защиты информации - Л.К. Бабенко, Ю.А. Брюхомицкий, О.Б. Макаревич, О.Ю. Пескова

Для полноценной работы разработанных подсистем криптографической защиты данных и аутентификации необходимо было создать средства генерации, распределения и хранения ключевой информации.

Программный комплекс инфраструктуры открытых ключей (ИОК) позволяет организовать защищенное хранилище сертификатов и последующее их использование в распределенных системах и сетях передачи данных. ИОК базируется на стандарте X.509 и состоит из центра сертификации, реализованного в виде демона, и центра регистрации, реализованного в виде набора программ.

Информация о пользователях и их открытые ключи хранятся в специальной базе данных - хранилище сертификатов, в качестве которого используется одна из СУБД на выбор пользователя: MySQL (одна из самых производительных систем) или ЛИНТЕР (российская СУБД с повышенным уровнем защищенности от НСД).

В разработанный программный комплекс также входит библиотека взаимной аутентификации пользователей, вступающих в информационный обмен по сетям связи, которая построена на базе стандарта X.509 с использованием отечественных алгоритмов симметричного шифрования и генерации электронной цифровой подписи (ЭЦП). Состав библиотеки:

-       алгоритм криптографического преобразования ГОСТ 28147-89;

-       функция хэширования ГОСТ Р34.11-94;

-       процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма, описанного в российском стандарте  ЭЦП ГОСТ Р34.10-94;

-       алгоритм несимметричного шифрования RSA;

-       проверка целостности хранимой и передаваемой по сетям связи информации также реализована на основе ЭЦП.

Для проверки целостности программной среды был разработан модуль, реализующий метод проверки целостности на основе контрольных сумм, который предназначен для встраивания в качестве прошивки ПЗУ в электронный замок НТЦ «Атлас», что позволит доработать его до уровня аппаратно-программного модуля доверенной загрузки.

Подсистема разграничения доступа базируется на системе PAM (Pluggable Authentication Modules - подключаемые модули аутентификации) и включает в себя четыре основных модуля аутентификации и идентификации с использованием специальных средств:

-       РИК (российская интеллектуальная карта);

-       eToken RIC (аналог РИК в виде USB брелка);

-       биометрическая аутентификация пользователя по голосу;

-       биометрическая аутентификация по отпечатку пальца.

Для организации защищенной работы с интеллектуальными картами была разработана подсистема разграничения доступа к информации, хранимой на них, а также средства безопасного обмена данными между картами и приложением, обращающимся к ним за ключевой информацией.

Кроме того, для работы с РИК и eToken RIC были разработаны библиотеки функций для организации хранения ключей разных типов, которые были использованы в подсистемах криптографической защиты данных и аутентификации пользователей, а также могут служить для создания дополнительных средств защиты информации на основе этих аппаратных средств независимыми разработчиками.

Методы аутентификации на основе паролей либо аппаратных ключей достаточно надежны, но имеют довольно серьезные недостатки и, прежде всего, – возможность использования  посторонними лицами, например, вследствие подбора пароля, либо хищения аппаратного ключа.