21.03.2001 17:42:58Как встроить криптопроцессор (аналог MPKEY)? Ответов: 1
Александр Крутин
Как встроить аппаратурное устройство, внутри которого мог бы быть полностью реализован и критпоалгоритм и секретные ключи?

Мы частично используем в своих приложениях такое недорогое аппаратное устройство, аналогичное микропроцессорному ключу MPKEY.
В этом случае, секретные ключи и алгоритмы ни в каком виде не доступны – исключаются любые способы программных закладок, слабости защиты самой OC, некорректного почтового агента или иные способы копирования секретных ключей…
PS. Сертифицирован продукт, а ОС Windows…
 
Ответы:
22.03.2001 17:29:40Serge3
Ответ начну с конца.

Сертифицировано СКЗИ "КриптоПро CSP" работающее на аппарато-программной платформе Intel-Windows по классу СКЗИ КС1 (КС2 в процессе). Это означает, что все компоненты удовлетворяют этому классу при выполнении требований на эксплуатацию (включая ОС Windows).

Что касается секретных ключей, то для их защиты в "КриптоПро CSP" предусмотрен ряд мер: их хранение в сервисе "Хранение ключей", защищённое хранение в ОЗУ (только части ключей появляются в незащищённом виде на регистрах ЦП) и др. Эти меры могут позволить поднять класс СКЗИ до КВ2 под управлением Windows NT/2000 (в достаточно разумной классификации нарушителей ФАПСИ, это круче чем ключи на смарт-картах).

Вот для того, что бы достичь класса КА1 потребуется, либо использовать исследованную на недокументированные возможности ОС, либо использовать аппаратное решение, но оно должно обеспечивать (внутри себя) ряд важных функций: аудит использования ключей, разграничение доступа к операциям над ними и т.п. Мы прорабатываем вопрос разработки и использования аппаратного СКЗИ выполняющего эти функции.

Так же мы готовы сотрудничать по встраиванию средств хранения и использования ключей типа jButton и прочее. Конечно для NT/2000 такие носители не позволят поднять класс по причине не возможности реализации в них полнофункциональной СКЗИ, но для 9х/МЕ позволит добраться до КВ1/КВ2.

Пока рассматриваем jButton в качестве варианта, это позволит защитиь ключи от приложений, конечно защиты от навязывание подписи на смертный приговор самому себе это не даст. Но секретный ключ никто не узнает, что будет греть перед смертью:)

Резюме: Для того, что бы встроить криптопроцессор (аналог MPKEY), надо позвонить нам 289-43-67. Договоримся.

Успехов.

Леонтьев С.Е.