Съемное мобильное устройство для криптографической защиты информации

МИНИСТЕРСТВО ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН ОПИСАНИЕ ПОЛЕЗНОЙ МОДЕЛИ К ПАТЕНТУ ключей шифрования и электронной цифровой подписи ЭЦП, модуль охраны, выполненный с обеспечением возможности контроля за периметром устройства, флеш - память для хранения сгенерированных ключей в зашифрованном виде и препятствующую выходу ключей за периметр устройства, и память микро-, обеспечивающую создание криптодиска. Модуль охраны выполнен с обеспечением возможности стирания ключей шифрования и недоступность информации на криптодиске при несанкционированном доступе НСД. Устройство выполнено с обеспечением возможности в режиме офлайн шифровки файлов любой конфигурации, в том числе видео, схемы,фото, текстовые документы, таблицы, используя свою адресную книгу подписчиков, и передачи зашифрованных файлов через публичные сети, в том числе через Интернет. Криптодиск, созданный на основе памяти микро- емкостью до 32 Гб,выполнен с обеспечением возможности в режиме онлайн сохранять информацию пользователя в шифрованном виде.(54) СЪЕМНОЕ МОБИЛЬНОЕ УСТРОЙСТВО ДЛЯ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ(57) Полезная модель относится к области компьютерной техники и информационных технологий. В указанной области техники актуальна проблема защиты от несанкционированного доступа(отчуждаемых от компьютера) носителях, решение которой сводится к созданию, тем или иным способом,труднопреодолимых затруднений(барьеров) для злоумышленника, намеревающегося осуществить несанционированный доступ (НСД). В съемное мобильное устройство для криптографической защиты информации введены физический датчик случайных чисел для генерации Полезная модель относится к области компьютерной техники и информационных технологий. В указанной области техники актуальна проблема защиты от несанкционированного доступа(отчуждаемых от компьютера) носителях, решение которой сводится к созданию, тем или иным способом,труднопреодолимых затруднений(барьеров) для злоумышленника, намеревающегося осуществить несанционированный доступ (НСД). Наиболее широкие возможности по созданию таких барьеров предоставляют съемные носители информации на основе энергонезависимой флэшпамяти, в частности, с-интерфейсом,поскольку они содержат, наряду с основными запоминающими схемами,вспомогательные логические схемы, в число которых входят адаптер интерфейса и, в части моделей, процессор. Это позволяет,соответствующим образом строя вспомогательные схемы, выполнять в виде привычных-брелков - подобных обычным флэшкам многофункциональные мобильные устройства защиты информации, реализующие наиболее современные и эффективные концепции обеспечения информационной безопасности, для которых безопасный съемный носитель информации - одна из их штатных функций. Известно устройство для защищенного хранения информации ( 57929 1, МПК 06 12/16,публ.27.10.2006). В основу этой полезной модели поставлена задача создания устройства предотвращающего несанкционированный доступ к хранимой информации и перехват данных при их передаче. В известном устройстве для защищенного хранения информации, имеющем в своем составе разъем универсальной последовательной шины,блок,поддерживающий интерфейс универсальной последовательной шиныи блок перезаписываемой памяти,для решения поставленной задачи устройство выполнено на базе однокристальной реализации,в виде однокристального микропроцессора. Микропроцессор оснащен встроенными перезаписываемой памятью и интерфейсом универсальной последовательной шины , с обеспечением возможности получения информации,ее кодирования, записи, хранения и считывания. При этом устройство выполнено с обеспечением возможности хранения информации в формате- накопитель на гибком магнитном диске. Выбор данного формата хранения обусловлен небольшой потенциальной емкостью однокристальной реализацией, стандартностью данного формата и возможности большинства компьютеров производить с данного типа накопителя загрузку операционных систем. Загружаемая операционная система может быть защищена с момента загрузки, таким образом, даже в самый начальный момент загрузки операционной системы уже можно организовывать защищенную работу. Поскольку встроенная перезаписываемая память и интерфейсвыполнены на едином однокристальном микропроцессоре,все 2 необходимые функции, а именно получение информации с интерфейса , кодирование,запись, хранение и считывание информации реализовываются внутри микропроцессора. Таким образом,исключается возможность криптографических атак, как на хранимую информацию, так и на ключи кодирования во время записи, считывании и хранения. Известен съемный носитель информации с безопасным управлением доступом ( 123571 1, МПК 11 С 16/06, публ.14.08.2012). Задачей полезной модели является расширение функциональных возможностей и повышение уровня защищенности съемных носителей информации путем аппаратной реализации новой концепции безопасного управления доступом. Технический результат состоит в создании нового типа мобильных аппаратных средств безопасного хранения больших по объему критичных данных, в частности, доверенной операционной системы и специализированного программного обеспечения,предназначенных для загрузки компьютера в перспективном способе безопасных коммуникаций в компьютерных сетях - доверенном сеансе связи(ДСС). Указанная задача решена тем, что в съемном носителе информации,содержащем адаптер интерфейса, процессор и энергонезависимую память, расширенную внешней, по отношению к процессору, флэш-памятью данных файловой системы,адаптер интерфейса выполнен программируемым, обеспечивающим доступ к флэш-памяти данных файловой системы по кодам,вводимым через компьютер, к которому подключен носитель, извне, в том числе, без участия человекапользователя. Адаптер интерфейса, как известно,является буферным звеном между памятью носителя информации и компьютером, к которому он подключен, поэтому осуществить доступ к любой части содержащейся в носителе информации, в обход него, программным путем невозможно. Известно мобильное устройство защиты информации ( 83862 1, МПК 06 13/00,публ.20.06.2009). Сущность заявляемой полезной модели состоит в том, что в мобильном устройстве для осуществления криптографически защищенного информационного взаимодействия пользователя с информационными и телекоммуникационными сетями и системами,содержащем энергонезависимую память, адаптер интерфейса и процессор,последний выполнен на многофункциональном микроконтроллере,аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов,и построен так, чтобы все ключи шифрования использовались только внутри него и никогда не передавались бы через интерфейс, и доступ к критичным данным,хранящимся в энергонезависимой памяти процессора, был бы возможен также только изнутри него. Аппаратная реализация криптографических алгоритмов (без привлечения ресурсов компьютера) имеет следствием невозможность вмешательства извне в протекание процессов аутентификации,шифрования или выработки/проверки электронной цифровой подписи и их фальсификация. Также это значит, что ни во время сеанса работы, ни после отключения устройства от компьютера или иного аппарата, к которому оно присоединено, во внешний мир не выходит конфиденциальная ключевая информация, и потому она ни при каких условиях не может быть перехвачена или восстановлена злоумышленником (безопасность транспортных процедур). Указанное мобильное устройство защиты информации ( 83862 1, МПК 06 13/00,публ.20.06.2009) является наиболее близким техническим решением к предлагаемому. Задачей предлагаемого технического решения является расширение арсенала используемых средств в качестве съемного мобильного устройства для криптографической защиты информации. Поставленная задача решается за счет того, что съемное мобильное устройство для криптографической защиты информации,предназначенное для осуществления криптографически защищенного информационного взаимодействия пользователя с информационными и телекоммуникационными сетями и системами,содержит энергонезависимую память, адаптер интерфейса и процессор, выполненный на многофункциональном микроконтроллере,аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов,и построен так, чтобы все ключи шифрования использовались только внутри него. В съемное мобильное устройство для криптографической защиты информации введены физический датчик случайных чисел для генерации ключей шифрования и электронной цифровой подписи ЭЦП, модуль охраны, выполненный с обеспечением возможности контроля за периметром устройства, флеш - память для хранения сгенерированных ключей в зашифрованном виде и препятствующую выходу ключей за периметр устройства, и память микро -, обеспечивающую создание криптодиска. Модуль охраны выполнен с обеспечением возможности стирания ключей шифрования и недоступность информации на криптодиске при несанкционированном доступе НСД. Созданный на основе памяти микро - емкостью до 32 Гб криптодиск выполнен с обеспечением возможности в режиме онлайн сохранять информацию пользователя в шифрованном виде. Съемное мобильное устройство для криптографической защиты информации выполнено с обеспечением возможности в режиме офлайн шифровки файлов любой конфигурации, в том числе, видео, схем, фото, текстовых документов,таблиц, с использованием своей адресной книги подписчиков, и передачи зашифрованных файлов через публичные сети, в том числе через Интернет. Съемное мобильное устройство для криптографической защиты информации выполнено с обеспечением возможности осуществления постановки и проверки электронной цифровой подписи (ЭЦП) по нескольким алгоритмам,например, ГОСТу, , а также проведения шифрования/расшифрования по нескольким алгоритмам, например, ГОСТу, , которые загружают в устройство в виде криптоядер,осуществляющих функционал различных криптографических алгоритмов, при этом в устройстве может быть до 29 криптоядер. Предлагаемое съемное мобильное устройство для криптографической защиты информации предназначено для- реализации криптографических алгоритмов и протоколов- хранения криптографических ключей и критических системных компонентов- хранения данных Пользователя, в том числе и в зашифрованном виде. Предлагаемое съемное мобильное устройство для криптографической защиты информации является автономным-устройством. Криптографической границей устройства является периметр корпуса устройства. Предлагаемое устройство изображено на прилагаемой схеме. Основной процессор 1, микроконтроллер 2 (со встроенной памятью 16-32 Кбайт), флэш-память 3(2-8 Мбайт), флэш-память типа 4 (от 2 до 32 Гбайт), физический генератор случайных чисел 5,светодиодный индикатор 6,-разьем 7, датчик вскрытия 8, автономный источник питания(аккумулятор) 9, преобразователь напряжения 9,стабилизатор напряжения 10, кварцевый резонатор 11. Программное средство основного процессора 1,отвечающее за обмен данными с персональным компьютером,обмен данными с микроконтроллером,загрузку/выгрузку в/из оперативной памяти основного процессора программных модулей,реализующих криптографические алгоритмы, хранится во флэшпамяти 3, которое не выполняет криптографических функций. Программное средство микроконтроллера отвечает за обмен данными с центральным процессором, чтением и записью данных во флэшпамять 3, получением и обработкой данных с физического генератора случайных чисел 5. Это программное средство выполняет криптографические функции зашифрования/расшифрования,имитозащиты,функции защиты от несанкционированного доступа НСД в пределы криптографической границы устройства, а также функции уничтожения ключа шифрования ключей при обнаружении попыток несанкционированного доступа НСД в режиме 24/7/365. Оно хранится во встроенной памяти микроконтроллера. Программные средства основного процессора,реализующие криптографические алгоритмы,хранятся во флэш-памяти 3. В съемном мобильном устройстве для криптографической защиты информации реализованы следующие криптографические алгоритмы- алгоритм криптографического преобразования ГОСТ 28147-89- алгоритм выработки и проверки электронной цифровой подписи ЭЦП, ГОСТ РК Р 34.310-2004- протокол формирования общего ключа ПФОК согласно проекту РД РБ Банковские технологии. Протоколы формирования общего ключа. Параметры криптографических алгоритмов импортируются при первой генерации ключей и хранятся с соответствующими криптоярами. Генерация ключей для каждого криптоядра производится независимо. Если при генерации ключей параметры соответствующего криптоядра явно не заданы, то используются ранее импортированные параметры. Ключи криптографических алгоритмов и протоколов формируются для каждого криптоядра,при этом используются данные от микроконтроллера,где,в свою очередь,реализованы генератор случайных чисел. При каждом обращении к буферу (раздел оперативной памяти микроконтроллера) генератор 5 автоматически вырабатывает очередные 128 байт выходной последовательности. Полученные при помощи генератора 5 случайные числа используются при формировании случайных данных для криптографических преобразований,синхропосылок, а также собственно ключей криптоядер с учетом заданных для конкретного криптоядра параметров. При генерации нового ключа ранее сгенерированный для данного криптоядра ключ уничтожается (запись нового ключа осуществляется на место старого). Открытые ключи вырабатываются на основе личных ключей в соответствии с алгоритмами электронной цифровой подписи(ЭЦП) и протокола формирования общего ключа ПФОК. Используют предлагаемое устройство следующим образом. Устройство подключают к портуперсонального компьютера . Персональный компьютеропределяет микро-4. Через функцию Мой компьютер можно войти на появившейся съемный диск и запустить . установочный файл. Далее в появившемся окне выбирают путь, где будет размещаться программа. После успешной инсталляции в правом нижнем углу на экране монитора появится иконка программы синий значок буквы . Правой кнопкой мыши кликнуть на иконку. Появится всплывающее меню,выбрать функцию ГОСТа Генерация ключа. При появлении окна Генерации ключа, вписать в окошки пароль , который прилагается на съемном диске в отдельном файле Пароль. После успешной генерации,провести операцию Генерация ключа,с указанием соответствующего пароля. Таким же образом провести операцию Шифрование Генерация 4 ключа. В этом случае пароль не требуется. Войти в основное меню и выбрать функцию Личные данные. В появившемся окне ввести информацию Пользователя устройства (ФИО, Должность,Адрес, телефон и т. д.). Выбрать в основном меню функцию Экспорт личных данных. Экспортировать свои данные в выбранную папку,например в папку Личные данные. Этот файл Пользователь должен отправить/передать всем своим адресатам, с которыми будет осуществлять переписку шифрованными данными. Выбрать в основном меню функцию Адресная книга. В появившемся окне выбрать иконку Экспорт (ввода) файла Личных данных и указать путь к файлу, где у Пользователя записаны файлы с Личными данными Адресатов, которые передали/переслали Пользователю эти файлы. После указания операции в появляющемся окне следует указывать пароль Активация устройства. Этот пароль в устройстве или тот, который Пользователь установил при помощи функции Смена пароля. ФОРМУЛА ПОЛЕЗНОЙ МОДЕЛИ 1. Съемное мобильное устройство для криптографической защиты информации,предназначенное для осуществления криптографически защищенного информационного взаимодействия пользователя с информационными и телекоммуникационными сетями и системами,содержащее энергонезависимую память, адаптер интерфейса и процессор, выполненный на многофункциональном микроконтроллере,аппаратно реализующем ряд используемых в мировой практике криптографических алгоритмов,и построен так, чтобы все ключи шифрования использовались только внутри него, отличающееся тем, что в него введены физический датчик случайных чисел для генерации ключей шифрования и электронной цифровой подписи,модуль охраны, выполненный с обеспечением возможности контроля за периметром устройства,флеш-память для хранения сгенерированных ключей в зашифрованном виде и препятствующую выходу ключей за периметр устройства, и память микро -, обеспечивающая создание криптодиска. 2. Съемное мобильное устройство для криптографической защиты информации по п.1,отличающееся тем, что модуль охраны выполнен с обеспечением возможности стирания ключей шифрования и недоступности информации на криптодиске при несанкционированном доступе. 3. Съемное мобильное устройство для криптографической защиты информации по п.1,отличающееся тем, что криптодиск, созданный на основе памяти микро - емкостью до 32 Гб,выполнен с обеспечением возможности в режиме онлайн сохранять информацию пользователя в шифрованном виде. 4. Съемное мобильное устройство для криптографической защиты информации по п.1,отличающееся тем, что оно выполнено с обеспечением возможности в режиме офлайн шифровки файлов любой конфигурации, в том числе, видео, схем, фото, текстовых документов,таблиц, с использованием своей адресной книги подписчиков, и передачи зашифрованных файлов через публичные сети, в том числе через Интернет. 5. Съемное мобильное устройство для криптографической защиты информации по п.1,отличающееся тем, что оно выполнено с обеспечением возможности осуществления постановки и проверки электронной цифровой подписи по нескольким алгоритмам, например,ГОСТуа также проведения шифрования/расшифрования по нескольким алгоритмам, например, ГОСТу, , которые загружают в устройство в виде криптоядер,осуществляющих функционал различных криптографических алгоритмов, при этом в устройстве может быть до 29 криптоядер.