лекция №4 (1088426), страница 3
Текст из файла (страница 3)
Универсальные платежные системы:
Обеспечивают совершение автономных транзакций, ведение нескольких электронных бумажников на одной карте в различных платежных системах: региональная / национальная система (банки, пенсионные фонды и т.д.), коммунальная система (город, р-н, др.), торговая система (супермаркеты, бензозаправки, дистрибуция, проч. ), корпоративная (з/плата, соц.пакет, …).
Интегрированные корпоративные системы:
Использование сотрудниками единой смарт-карты в качестве: пропуска в здание и в помещения, пароля для доступа к различным информационным ресурсам, надежного хранилища цифровых удостоверений для защищенной работы, электронного бумажника (начисление з/платы, расчет за питание и т.д.). При этом, смарт-карта - ключевой компонент системы, включающей устройства для чтения (записи) смарт-карт, коммуникационную инфраструктуру, серверы обработки информации со смарт-карт, специальные программные приложения.
Системы на основе электронных идентификаторов (ИЭ)
ИЭ состоят из микросхемы и литиевой батарейки, размещенных в цилиндрическом корпусе (капсуле). Половинки капсулы изолированы друг от друга и выполняют роль противоположных контактов. Для работы микросхемы не требуется внешний источник питания (рис. 25).
Рис. 25. Внешний вид электронного идентификатора
Для считывания данных из ИЭ используется контактное устройство, которое представляет собой механический узел, форма которого выполнена так, чтобы он точно сопрягался с круглым корпусом ИЭ. Малые размеры контактного устройства позволяют встраивать его практически в любой компонент ПК.
В структуре iButton можно выделить следующие основные части: постоянное запоминающее устройство (ПЗУ), энергонезависимое (nonvolatile — NV) ОЗУ, сверхоперативное запоминающее устройство (scratchpad memory — SM), часы реального времени, а также элемент питания — встроенную миниатюрную литиевую батарейку.
В ПЗУ идентификаторов хранится 64-разрядный код — он состоит из 8-разрядного кода типа идентификатора, 48-разрядного уникального серийного номера и 8-разрядной контрольной суммы.
Чтобы предотвратить разрушение информации, в структуре iButton предусмотрена дополнительная буферная память, которая выполняет функцию блокнотной области. Эта память защищает прибор от случайной записи новых данных на место имеющихся или от записи не по тому адресу. Все поступающие в прибор данные первоначально записываются в блокнотную память. Затем они читаются из нее в считывающее устройство, где сравниваются с данными, которые необходимо было записать. После верификации выполняется операция копирования содержимого блокнотной памяти в основную.
Некоторые модели ИЭ имеют ОЗУ с защитой доступа, механизм доступа к которой реализован с помощью двух ключей: открытого, хранящегося в поле идентификатора, и закрытого, записанного в поле пароля. Открытый ключ записывается и считывается, закрытый - только устанавливается и не может быть прочитан. Закрытый ключ обеспечивает санкционированный доступ к памяти и защищен от случайного изменения с помощью открытого ключа. При любом обращении к памяти сначала передается закрытый ключ данной страницы. В том случае, если он совпадает с ключом, предварительно записанным в поле пароля, память будет доступна как по записи, так и по чтению. При несовпадении кодов данные в память не записываются.
Обмен информацией идентификатором и компьютером происходит в соответствии с протоколом 1-Wire с помощью разнообразных считывающих устройств (адаптеров последовательного, параллельного и USB-портов, контактных устройств Touch Probe). Для записи и считывания данных из идентификатора нужно, чтобы корпус iButton соприкоснулся со считывающим устройством. Время контакта — не более 5 мс, гарантированное количество контактов составляет несколько миллионов. Интерфейс 1-Wire обеспечивает обмен информацией на скоростях 16 кбит/с или 142 кбит/с (ускоренный режим).
К достоинствам УВИП на базе электронных ключей iButton относятся:
-надежность, долговечность (время хранения информации в памяти идентификатора составляет не менее 10 лет);
-высокая степень механической и электромагнитной защищенности;
-малые размеры;
-относительно невысокая стоимость.
-
Недостатком этого устройства является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.
Системы с использованием электронных ключей.
Устройства ввода идентификационных признаков на базе USB-ключей относятся к классу электронных контактных устройств. В составе УВИП данного типа отсутствуют дорогостоящие аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля (рис. 26).
Основными компонентами USB-ключей являются встроенные процессор и память. Процессор выполняет функции криптографического преобразования информации и USB-контроллера. Память предназначается для безопасного хранения ключей шифрования, цифровых сертификатов и любой другой важной информации. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.
Рис. 26. Внешний вид USB-ключа
Данные СЗИ не требуют подключения к ПК специальных считывающих устройств (контроллеров), т.к. электронные ключи изготавливаются для стандартных портов (LPT, COM, USB).
Первые электронные ключи, подключаемые к параллельному порту ПК, появились достаточно давно. Защищенная программа по мере выполнения запрашивала ключи, хранимые в памяти аппаратной «заглушки», и только при получении заданных значений продолжала работать. На уровне отладчика хакеры исследовали протокол обмена программы и «заглушки», находили в памяти компьютера образы ключей и создавали программный эмулятор электронного ключа. Стали появляться так называемые «крэки», эмулирующие работу ключа определенной программы, и даже универсальные эмуляторы ключей определенной марки. Поэтому разработчики ключей стали усложнять технологию работы этих устройств, чтобы максимально затруднить задачу хакерам и сделать написание эмулятора коммерчески невыгодным делом по сравнению с покупкой легальной копии.
Для борьбы с эмуляцией электронных ключей их разработчики в основном используют следующие методы:
-«Плавающие» протоколы обмена, когда данные, передаваемые между ключом и программой, засоряются информационным «мусором», который не воспринимается программой, но сильно усложняет задачу написания эмулятора. Причем с течением времени характер передаваемого «мусора» хаотически меняется.
-Аппаратная реализация сложных алгоритмов преобразования данных. Многие современные ключи содержат в своем составе микропроцессор, способный обрабатывать большой объем информации за один сеанс. При этом электронные ключи разных пользователей должны содержать разные аппаратные алгоритмы, чтобы хакер не смог написать универсальный эмулятор для ключей данной марки.
-Большой объем памяти электронного ключа, позволяющий хранить в ней не только ключи, но и значительные фрагменты самой программы или данных, используемых ей.
-Шифрование данных в памяти электронного ключа, чтобы исключить возможность использования аппаратных средств копирования микросхем памяти, аппаратные запреты на чтение программным способом участков памяти, где хранятся дескрипторы аппаратных алгоритмов, и ряд других ухищрений.
Все современные электронные ключи имеют очень малый ток потребления, благодаря чему являются «прозрачными» для подключаемых к тому же порту принтера, сканера и других устройств, в том числе и аналогичные ключи, т. е. ключи можно каскадировать по нескольку штук.
Примеры ЭК, присутствующих на рынке:
ЭК MPKEY.
Эти ключи примечательны тем, что только в них аппаратно реализован алгоритм шифрования, сертифицированный ФАПСИ (алгоритм ГОСТ 28147-89). Длина ключа составляет 256 бит, что обеспечивает довольно высокую криптостойкость. Ключи MPKEY Memo имеют 42 байта индивидуальных данных клиента, доступных для чтения, и 16 байт энергонезависимой памяти для чтения/записи. Ключи предназначены для защиты приложений в DOS, Windows 9x/NT/2000.
ЭК HASP (Hardware Against Software Piracy).
HASP - это аппаратно-программная система для защиты программ и данных от нелегального использования и пиратского тиражирования. Она включает в себя:
-электронный ключ HASP;
-специальное программное обеспечение, обеспечивающее защиту программных модулей и “привязку” к электронному ключу.
В ключе используются:
-мощный “заказной” ASIC-чип с возможностью генерации уникальной серии кодов y=f(x);
-до 496 байт EEPROM-памяти, доступной на чтение-запись;
-кодированный, динамически меняющийся (“плавающий”) протокол обмена ключа с портом;
-неизменяемый уникальный код разработчика и серийный номер ключа.
Ключ прозрачен для принтеров и других устройств.
Ключ HASP является одним из самых надежных средств защиты программного обеспечения из представленных на рынке. Надежность ключей HASP составляет 99.86%.
ЭК Aladdin Hardlock.
Ключи Hardlock позволяют защищать приложения и связанные с ними файлы данных методом «прозрачного» шифрования. Ключи поддерживают блочное симметричное и несимметричное шифрование. Симметричное шифрование производится блоками по 64 бита, причем для каждого нового блока генерируется новый сеансовый ключ длиной 48 бит.
Основа ключа Hardlock — специализированная микросхема ASIC со встроенной ЭСППЗУ-памятью. Микросхема программируется только с помощью специальной платы Crypto Programmer Card, что обеспечивает безопасное хранение ключевой информации. Каждый экземпляр этой платы уникален и позволяет задавать до 43 680 вариантов работы алгоритма шифрования.
4-й учебный вопрос СКД на основе считывания биометрических признаков - ? мин
Данный класс СКД основан на методах идентификации личности пользователя, связанных с анализом его уникальных физиологических параметров и особенностей поведения.
Основные условия эффективности СКД на основе биометрической УВИП:
-все пользователи предоставляют характеристики, которые идентифицирует биометрическая система (изображение радужной оболочки, отпечатки пальцев…);
-каждая биометрическая подпись отличается от всех остальных в контролируемой группе пользователей;
-биометрические подписи не меняются после отбора;
-система устойчива к контрмерам.
Существует два вида биометрических СКД: идентификационные и верификационные.
В идентификационных системах для анализа предоставляется биометрическая подпись неизвестного человека. Система сравнивает новую биометрическую подпись с информацией, хранящейся в базе данных биометрических подписей известных лиц. После сравнения система сообщает (или оценивает) личность неизвестного человека на основе информации из своей базы данных. К системам, которые используют идентификацию, относятся системы, применяемые полицией для идентификации людей по отпечаткам пальцев и фотографиям.
В верификационных системах пользователь предоставляет биометрическую подпись и утверждает, что эта биометрическая подпись принадлежит конкретному человеку. Алгоритм или принимает, или опровергает это утверждение. С другой стороны, алгоритм может возвращать индекс уверенности в правильности отождествления. К приложениям верификации относятся приложения, которые проверяют подлинность личности во время транзакций или для управляемого доступа к компьютерам, а также для управления защитой зданий. Параметры эффективности верификационных приложений существенно отличаются от параметров идентификационных систем. Основной параметр – это способность системы идентифицировать владельца биометрической подписи. Эффективность верификационной системы традиционно характеризуется двумя параметрами ошибки: уровнем ошибочных отказов (false-reject rate) и уровнем ошибочных подтверждений (false-alarm rate). Эти параметры ошибки связаны - каждому уровню ошибочных отказов соответствует уровень ошибочных подтверждений. Ошибочный отказ возникает тогда, когда система не подтверждает личность легитимного пользователя, ошибочное подтверждение происходит в случае подтверждения личности нелигитимного пользователя.
Системы идентификации по глазам.
Существует два класса СКД по глазам:
-использующие рисунок радужной оболочки глаза;
-использующие рисунок кровеносных сосудов сетчатки глаза.
Поскольку вероятность повторения данных параметров равна 10-78, эти системы являются наиболее надежными среди всех биометрических систем. Такие средства применяются, например, в США в зонах военных и оборонных объектов.
Устройство EyeDentify’s ICAM 2001 использует камеру с сенсорами, которые с короткого расстояния (менее 3 см) измеряют свойства сетчатки глаза. Пользователю достаточно взглянуть одним глазом в отверстие камеры ICAM 2001, и система принимает решение о праве доступа. Основные характеристики:
-время регистрации (enrolment) — менее 1 мин;
-время распознавания при сравнении с базой эталонов в 1 500 человек — менее 5 с;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
