Апаратні засоби

Створення надійної системи криптозахисту практично неможливо без застосування апаратних модулів безпеки або ключових носіїв. Будь-яка система КЗІ передбачає застосування деякої ключової інформації, однак якщо ключ захищений лише паролем і зберігається на файловій системі, то завжди існує загроза успішної реалізації "словникової" або іншої силової атаки на пароль. Тому повністю програмні системи КЗІ не можна вважати достатньо безпечними для захисту дійсно критичною інформації.

Мінімальний рівень захисту від зазначених атак забезпечують полупасивні ключові носії, які апаратно перевіряють пароль та апаратно обмежують кількість невірних спроб автентифікації. Наступний рівень безпеки забезпечують активні ключові носії, які самостійно виконують випадкове формування секретних ключів, а всі обчислення, з їх застосуванням, виконують безпосередньо в пам'яті носія, тобто секретні ключі ніколи не виходять за межі носія. Апаратні модулі безпеки, у доповнення до зазначених функцій, також реалізують деяку специфічну бізнес-логіку обробки запитів безпосередньо у своїй захищеної пам'яті.

Наша команда має багатий досвід розробки та застосування як активних, так і пасивних апаратних ключових носіїв, а також розробки спеціалізованих модулів безпеки. В даному розділі представлено наші розробки в сфері апаратних засобів криптозахисту:

Апаратний модуль безпеки «mcToken»

Апаратний модуль безпеки (HSM) призначений для безпечного формування, зберігання та застосування секретних ключів в системах обслуговування смарт-карт та інших персоніфікованих криптографічних носіїв інформації. Модуль оснащений генератором істинно випадкових чисел на основі фізичного шумового процесу, а також дозволяэ гнучко настроювати логіку роботи з ключами.

Ієрархічна система SAM-модулів «SAM Hierarchy»

Програмно-апаратна система формування та ієрархічного розповсюдження секретних ключів між модулями безпеки (SAM або HSM) різного функціонального призначення. Система може використовуватись для забезпечення безпечної підтримки повного життєвого циклу смарт-карт (або токенів) в масштабних проектах, з багатьма територіально-розподіленими точками обслуговування.

Пристрій мережевої безпеки «IP-Encryptor»

IP-шифратор призначений для захисту мережевої інфраструктури компаній з територіально-розподіленими офісами. Мережевий шифратор має апаратні генератор сеансових ключів і прискорювач алгоритмів шифрування AES-256 та гешування SHA-256. Також забезпечує захист приватних мереж від мережевих атак засобами мережевого екрана та IDS модуля безпеки, підтримує масштабованість мережевих сервісів.

Активний ключовий носій «GOST Key Keeper»

Програмно-апаратне рішення для безпечного формування, резервування і застосування довгострокових ключів алгоритму ГОСТ 28147-89. Він може бути інтегрований, як активний ключовий носій (АКН), в системи: шифрування сховищ даних, захисту комунікацій, динамічної автентифікації та розмежування доступу. АКН що використовується підтримує ЕЦП ДСТУ 4145-2002 та вироблення загального секрету на його базі.

Весь накопичений нами досвід створення апаратних засобів КЗІ може бути застосовано у Вашому проекті!