Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• свободный разъем шины ISA;
• пространство в области адресов BIOS компьютера объемом 16 Кб;
• программное прерывание 4Ch;
• порты ввода/вывода с адресами 338, ЗЗА, ЗЗС, ЗЗЕ, 738, 73А (hex) или 350, 352, 354, 356, 750, 752 (hex).
ПАК «Криптон-4К/16» имеет интерфейс к адаптеру смарт-карт, что позволяет хранить ключи шифрования и электронной подписи на смарт-карте.
Защита локальной рабочей станции_211
Кроме того, у ПАК есть интерфейс к коннектору touch memory, что позволяет хранить ключи шифрования на таблетках touch memory. В стандартный комплект поставки ПАК «Криптон-4К/16» входят:
• устройство криптографической защиты данных «Криптон-4К/1б»;
• базовое ПО шифрования для MS DOS;
• ПО шифрования для Win32 с;
• программа электронной подписи CryptonSign для MS DOS;
• драйверы для работы в ОС Windows 95/NT 4.0.
Базовое ПО функционирует под MS DOS 3.1 и выше, Windows 3.1 -Windows NT. Чтобы работать под Windows 95/NT, необходимо предварительно установить драйверы для Win32 и библиотеку CryptonAPI (входит в комплект поставки драйверов). В Win32 базовое ПО функционирует как DOS-задача.
На основе ПАК «Криптон» в дальнейшем была построена система защиты информации «Криптон-Вето», функционирующая в среде MS DOS. Программно-аппаратная система зашиты информации (СЗИ) от НСД «Криптон-Вето» предназначена для:
• ограничения доступа к персональному компьютеру;
• разграничения доступа пользователей к данным, расположенным на жестком диске компьютера;
• проверки целостности программ, разрешенных к использованию;
• предотвращения запуска неразрешенных программ;
• прозрачного шифрования логических дисков;
• создания и обслуживания ключевых систем шифрования, электронной подписи, СЗИ от НСД;
• шифрования файлов, групп файлов;
• электронной цифровой подписи файлов, групп файлов.
Криптографическое ядро системы составляет ПАК «Криптон-4» (4К/8, 4К/16). Использование ПАК «Криптон» позволяет при включении питания ЛРС и до загрузки ОС передать управление программным средствам ПАК, размещенным в ПЗУ. Они проверяют целостность ПО ЛРС и только при ее соблюдении передают управление ОС. Такой метод запуска обеспечивает защиту ПО ЛРС от любого искажения (несанкционированной модификации, воздействия вирусов, внесения программных закладок и т.д.).
Функциональным ядром системы являются:
• программа Cryp ton Access в части оболочки защиты от НСД и прозрачного шифрования;
• базовое ПО СКЗД в части создания и обслуживания ключевой системы, шифрования и ЭЦП.
212 Компьютерная безопасность и практическое применение криптографии
СЗИ основана на технологиях «прозрачного» шифрования логических дисков, на которые разбивается жесткий диск (последний из логических дисков не шифруется и отводится под СЗИ). Прозрачное шифрование заключается в том, что хранящиеся на диске данные автоматически расшифровываются при обращении к ним пользователя, а при записи па диск зашифровываются. Также предусмотрена мандатная организация доступа к дискам по уровням конфиденциальности. Каждому логическому диску присваивается уровень конфиденциальности, а каждому пользователю -уровень доступа - от 0 до 7. Пользователю доступ к диску разрешается, если уровень конфиденциальности не превышает уровня доступа.
СЗИ предполагает наличие администратора безопасности, который определяет взаимодействие между управляемыми ресурсами: пользователями, программами, логическими дисками, дисководами и последовательными портами.
Для калсдого пользователя администратор определяет идентификатор и пароль, которые необходимо ввести при запуске компьютера, а также право доступа к открытым и шифруемым логическим дискам: а) недоступен (недоступный диск не виден из MS DOS, поэтому системный диск не должен быть заблокирован); б) доступен только для чтения (используется в целях обеспечения целостности и достоверности хранящейся информации) и в) доступен для чтения и записи (не отличается от обычного логического диска.
Администратор определяет перечень разрешенных к запуску на компьютере программ. Они подписываются электронной цифровой подписью администратора и проверяются на целостность при запуске.
СЗИ ведет журнал работы (доступный только администратору), в котором регистрируются следующие события:
• установка системы на компьютере;
• вход пользователя в систему;
• попытка доступа к запрещенному логическому диску;
• зашифрование/расшифрование/перешифровывание диска;
• добавление нового пользователя;
• смена полномочий пользователя;
• удаление пользователя;
• причины останова системы;
• попытка запуска неразрешенной программы;
• нарушение целостности разрешенной программы.
При установке системы на компьютере и при каждом его последующем включении проверяется целостность следующих элементов:
Защита локальной рабочей станции
213
• идентификатора СЗИ;
• ядра комплекса программ CryptonAccess;
• системных областей системного диска;
• таблицы полномочий пользователей.
Система не препятствует шифрованию файлов пользователями, что позволяет защитить их от администратора.
