Основные результаты разработки российских интеллектуальных карт и перспективы их применения в системах и средствах защиты информацииОсновные результаты разработки
За время, прошедшее после конференции «Интеллектуальные карты России-98", достигнуты положительные результаты. Завершена разработка первого отечественного защищенного кристалла микроконтроллера для российской интеллектуальной карты (РИК), созданы все необходимые инструментальные программно-аппаратные средства для разработчиков систем на РИК, планомерно ведется работа по организации в России производства таких карт. Готовится постановление Правительства Российской Федерации о мерах по упорядочению использования интеллектуальных карт в автоматизированных системах. На очереди вопрос по развитию инфраструктуры и техничских средств для российских систем с использованием интеллектуальных карт различного применения, предусматривающих достижение высокой совместимости с системами и средствами крупнейших мировых производителей Опыт разработки российской интеллектуальной карты (РИК-1) и общая нормативная документация Необходимость развития систем с использованием современных информационных технологий на основе микропроцессорных пластиковых карт на сегодня ни у кого не вызывает сомнений. В течение ряда лет специалистами ФАПСИ проводились работы с целым рядом западных фирм-производителей микропроцессоров и карт, такими как Gemplus Card International, Siemens AG, Motorola, Giesecke& Devrient, по возможности создания российского варианта интеллектуальных карт с использованием зарубежных кристаллов с отечественными криптографическими алгоритмами. Следует отметить, что иностранные фирмы-производители кристаллов и карт, детально публикуя перечень потребительских характеристик, тем не менее специальные характеристики относят к конфиденциальной информации. И хотя часть из них может быть предоставлена партнеру на условиях заключения договора о неразглашении (например, некоторые параметры алгоритмической и физической защищенности), все-таки существенная часть специальных характеристик, как правило, не разглашается, делая практически невозможным обоснование надежности защиты карт и их сертификации по требованиям ФАПСИ. Таким образом, государственная политика в сфере информатизации потребовала создания и организации серийного выпуска российских интеллектуальных карт, обеспеченных надежной защитой и криптографической компонентой на основе отечественных стандартов. Возникла необходимость в создании карты, которую можно было бы применять в прикладных системах различного уровня, начиная от локальных и кончая общенациональными системами. В рамках трехстороннего договора между предприятиями «Ангстрем», НТЦ «Атлас», компанией «Юнион Кард» и при научно-техническом сопровождении со стороны ФАПСИ завершена разработка отечественного микроконтроллера и подготовка к серийному производству карты на его основе. В настоящее время данная карта уже применяется в нескольких опытных районах платежной системы «Юнион Кард». Созданная РИК обладает достаточными для большинства применений техническими и специальными характеристиками. Она построена на базе оригинального процессорного ядра RISC-архитектуры, производительность которого позволяет достичь скорости шифрования до 5 килобайт в секунду при реализации алгоритма шифрования ГОСТ 28147-89 в защищенном исполнении. Микроконтроллер содержит 2 килобайта энергонезависимой памяти (EEPROM), 8 килобайт постоянной памяти программ (ROM) и 256 байт оперативной памяти (RAM). Создание защищенного кристалла и система информационной безопасности операционной системы РИК Система информационной безопасности РИК основывается на системе физической безопасности кристалла микроконтроллера и дополняется программно-алгоритмическими мерами защиты, реализованными в составе криптографического модуля и операционной системы. Средствами операционной системы РИК реализуются алгоритмические меры защиты, такие как тестовые проверки при включении питания карты, криптографическая защита данных, контроль их целостности и др. Криптографическая компонента операционной системы помимо ГОСТ 28147-89 включает также алгоритмы DES и TripleDES. В карте имеется встроенный программно-аппаратный датчик случайных чисел, обеспечивающий поддержку со стороны РИК надежных криптографических протоколов взаимной аутентификации и выработку разовых сеансовых ключей шифрования данных для взаимодействия с терминальным оборудованием. Система безопасности РИК полностью согласуется с разработанной ФАПСИ в 1998 году «Концепцией обеспечения информационной безопасности платежной системы на основе интеллектуальных карт»(см. № 7 (19) журнала «Системы безопасности, связи и телекоммуникаций»). Развитие отечественного производства РИК: проблемы и перспективы Широкомасштабное проникновение в банковскую сферу России зарубежных карточных технологий приводит к оттоку средств коммерческих банков-эмитентов в зарубежные расчетные банки и процессинговые компании. Для нормального развития отечественных технологий в данной сфере крайне необходима организация серийного производства российских интеллектуальных карт различного применения. В настоящее время на базе НТЦ «Атлас» в Федеральном агентстве завершена подготовка к производству интеллектуальных пластиковых карт, использующих разработанный в России микроконтроллер. Специалистами НТЦ совместно с представителями ряда зарубежных фирм, имеющих опыт производства карт, разработан технологический процесс изготовления РИК, смонтирована производственная линия, подготовлен операторский и обслуживающий состав. Области применения РИК в системах и средствах защиты информации По своим функциональным возможностям и уровню защиты от несанкционированного доступа к хранимой информации РИК в целом не уступает своим зарубежным аналогам. Технические характеристики российской карты обуславливают весьма широкий спектр областей ее возможного использования. Кратко рассмотрим перспективы применения РИК в системах для решения задач по защите информации. Интеграция РИК в качестве носителя идентификационной информации в средства разграничения доступа к ресурсам информационных систем в дополнение или вместо пароля, вводимого с клавиатуры терминала, позволит существенно повысить уровень защиты ресурсов, так как в отличие от пароля хранящаяся в РИК информация надежно защищена от несанкционированного доступа при случайных или злоумышленных действиях персоны, использующей РИК. При этом программно-аппаратные средства РИК гарантируют передачу идентификационной информации из РИК в терминал (режим off-line) или на удаленный сервер системы (режим on-line) только в случае положительного результата их взаимной аутентификации в соответствии с поддерживаемыми операционной системой РИК надежными криптографическими протоколами. Применение персональных карточек для доступа к ресурсам позволяет осуществлять динамический контроль за работой пользователя и в случае его отсутствия или перерыва в работе (т.е. когда карточка вынимается пользователем из приемного устройства) блокировать доступ. Для внедрения РИК в действующие, разрабатываемые и перспективные средства разграничения доступа необходимо решить ряд технических вопросов, разработать типовые и конкретные решения для устройств сопряжения аппаратуры и РИК. Применение микропроцессорных карт позволяет в числе других обеспечить следующие существенные возможности: - взаимную достоверную аутентификацию (опознавание) пользователя карточки и контрольного устройства (электронного замка, пропускного терминала или турникета и т.п.); Реализация указанных возможностей путем применения других средств контроля (не интеллектуальных карт) требует наличия существенно более дорогих и сложных электронных устройств и линий связи. Использование РИК в качестве носителя ключевой информации связано с развитием сетевых и телекоммуникационных технологий. В настоящее время в системах передачи данных наблюдается тенденция к переходу на принцип абонентского засекречивания или «точка-точка», при котором шифратор и ключевые носители находятся непосредственно в распоряжении абонента. В этих условиях существенно расширяется круг людей, допущенных к ключевым документам, и использование незащищенных ключевых носителей типа магнитных дисков или карт с магнитной полосой может привести к компрометации конфиденциальной информации за счет утраты таких ключей или их незаконного копирования. Одним из решений проблемы является применение алгоритмически и физически защищенных от НСД ключевых носителей. Проведенные специалистами ФАПСИ исследования показали, что разработанные и интегрированные в программно-аппаратную среду РИК меры защиты, а также специальные свойства кристалла позволят обеспечить надежную защиту ключевых носителей на базе РИК. Электронные документы на основе РИК Использование новых документов-пропусков, созданных на основе пластиковых карт со встроенным микроконтроллером, позволяет применить современные информационные, криптографические технологии, обеспечивающие высокий уровень защиты от подделки таких пропусков и дополнительные охранные функции, в частности, создание зон различного уровня доступа и мониторинга находящихся в них лиц. На карту полиграфически наносятся реквизиты владельца пропуска, права доступа, его фотография. В память карты также заносятся реквизиты, права доступа и цифровая фотография, подписанные электронной цифровой подписью. Требования в части информационной безопасности РИК, используемых в качестве электронных документов, аналогичны применению РИК в качестве платежного средства. При этом в ходе разработки конкретных систем, использующих электронные документы, должны быть предприняты организационные меры безопасности, аналогичные тем, что применяются в платежных системах. Перспективные области применения РИК Одним из перспективных решений в области электронных документов являются электронные паспорта предприятий - специальные смарт-карты, позволяющие идентифицировать организацию по присвоенному ей цифровому коду. Это существенно упростит взаимодействие официальных представителей предприятия или организации с административными, финансовыми и налоговыми органами, таможней и т.п. В электронный паспорт предприятия заносится адрес, наименование, имена руководителей, банковские реквизиты и другая необходимая информация. Использование РИК может сократить ненужное дублирование фискальной информации в различных органах и ограничить доступ к ней лиц, не имеющих права на получение данных сведений. Вопросы интеграции РИК как идентификационных носителей в средства разграничения доступа к ресурсам важнейших информационных систем являются динамично развивающейся областью приложений. В рамках некоторых опытно-конструкторских разработок с 2000 года для принятия решения о доступе к вычислительным ресурсам предполагается использовать дополнительные биометрические признаки пользователя, в частности отпечатки пальцев. Подписанные электронной цифровой подписью образцы этих признаков предполагается хранить в памяти пользовательской РИК. Планы и перспективы совершенствования РИК Перспективы развития РИК связаны в настоящее время в значительной степени с ходом процессов совершенствования технологии микроэлектронного производства на предприятии «Ангстрем». В частности, в настоящее время прорабатываются вопросы внедрения нового технологического процесса с улучшенными до 0,5 микрона технологическими нормами. Особое место в перспективе развития РИК занимают работы по введению в микроконтроллер РИК программно-аппаратных средств, позволяющих эффективно реализовывать асимметричные криптографические алгоритмы, в частности стандарт электронной цифровой подписи ГОСТ Р-34.10. Использование таких микроконтроллеров может быть одним из технических решений проблемы создания персональных носителей для системы цифровых сертификатов на базе отечественной криптографии, позволит повысить уровень безопасности информационного обмена по сети INTERNET и предложить надежные решения в области электронной коммерции. Разумное сочетание симметричной и открытой криптографии пo разработке конкретных систем защиты на базе РИК позволит обеспечить криптографически стойкую и эффективную в администрировании систему безопасности. В первую очередь это повысит специальные и эксплуатационные свойства систем разграничения доступа и платежных систем - позволит существенно передвинуть центр тяжести защиты электронных платежей с физической защиты модуля безопасности к его криптографической защите. Как ожидается, при условии внедрения планируемой технологии 0,5 мкм, удастся совместить криптографический сопроцессор для модульной арифметики на одном кристалле с уже разработанным микроконтроллером для РИК. Заключение и выводы. Основные задачи на 2000 год 1. Российская интеллектуальная карта (РИК), разработанная при научно-техническом сопровождении ФАПСИ в рамках трехстороннего договора между предприятиями «Ангстрем», «Юнион Кард» и НТЦ «Атлас» подготовлена к серийному производству. Созданы необходимые инструментальные программно-аппаратные средства для разработчиков систем с использованием РИК. |