| ||||
| ||||
| Здравствуйте!Извините может быть за наивный вопрос.Насколько легко злоумышленник может перехватить секретный ключ пары в процессе передачи его из смарткарты или токена на компьютер или уже в процессе выполнения криптографических функции в Крипто Про CSP? Другими словами, используются ли какие-либо приемы анти-отладки самого кода CSP и защита канала ключевой носитель-CSP ?Если защита секретного ключа пары является очень критичной, то правильно ли я понимаю, что альтернативы вычислению крипто функций в смарткарте нет? | ||||
| Ответы: | ||||
| ||||
| Разумеется, меры для защиты ключей в процессе чтения предпринимаются, например, ключ загружается под маской, а маска отдельно, в разные области памяти. Снятие маски с ключа происходит только на время операции вычисления значения криптопреобразования, требующего этого ключа. Также есть проверка (контроль имитовставки) при доступе к ключу. С точки зрения злоумышленника, довольно тяжело добыть ключ, уже загруженный в CSP. Сравнительно проще узнать (подсмотреть) ПИН-код и использовать ПО для работы со смарткартой для добывания всего контейнера ключа целиком или для вызова криптофункций с использованием вставленной смарткарты. Правда, если злоумышленник знает ПИН, то реализация криптографии в самой карте не спасёт... | ||||
| ||||
| Спасибо за ответ!В нашей системе мы должны исключить возможность любого перехвата пользовательских ключей, так как работа предполагается в окружении, которое трудно проконтролировать.Перехват pin без владения картой мало что дает, а вот перехват или извлечение ключей может позволить злоумышленнику скомпроментировать законного пользователя выдав себя за него.Без смарткарты не обойтись? Если да, подскажите, какие карты кроме РИК уже сейчас поддерживают Российские криптоалгоритмы ? | ||||
| ||||
| Перехват ПИН много что даёт (в предположении, что злоумышленник или его ПО имеет доступ к компьютеру пользователя - иначе не возник бы вопрос о защите ключей при чтении с карты). Так вот. Если настоящий пользователь вставил карту - можно, например, подписать документ ключом с этой карты (пин-то известен)... И, опять же, независимо от CSP. А РИК работает на уровне ниже, чем CSP - не так-то просто будет убедить готовое приложение работать с ним. И, там есть только шифрование - ГОСТ 28147-89. ГОСТовые смарткарты с внутренним CSP только разрабатываются. | ||||
Serg