Безпека будь-якого криптографічного засобу визначається не тільки надійністю криптоалгоритмів що застосовуються, а й закладеними можливостями організаційної та технічного захисту ключового матеріалу. Основним недоліком будь-якого виключно програмного криптографічного засобу є слабкий захист секретних ключів, що розміщуються, як правило, в файлах на змінних носіях. У подібних реалізаціях єдиним способом захисту секретних ключів від несанкціонованого доступу (НСД) є застосування пароля, на основі якого виконується шифрування ключової інформації. Однак, на практиці, пароль до файлу може бути підібраний за цілком прийнятний час, шляхом застосування методу «грубої сили», в поєднанні із «словниковою атакою». Файл, захищений паролем, уразливий в силу трьох причин:
Для надійного захисту секретних ключів від НСД застосовують апаратні ключові носії, захищені паролем або ПІН-кодом. Такі носії, як мінімум, обмежують кількість спроб введення пароля для доступу до ключа, а якщо ключовий носій є «активним» (АКН), то він також забезпечує приховування ключа протягом усього його терміну використання (ключ застосовується тільки всередині носія і за його межі не виходить).
Якщо ключовий носій використовується для захисту від НСД (наприклад, шифрування файлів або дискових сховищ), то в разі його втрати або виходу з ладу, захищені за допомогою відповідного ключа дані стануть недоступними, що рівноцінно їх знищенню. Тому, в подібних програмах, обов'язково повинні створюватися резервні копії секретних ключів доступу, або повинен бути передбачений багатокористувацький режим доступу до даних з використанням різних носіїв. Враховуючи, що ідеологія АКН передбачає неможливість «отримання» значення ключа з носія, завдання резервування ключових даних з АКН є нетривіальною.
Компанія «Мікрокріпт Текнолоджіс» пропонує програмно-апаратний комплекс GOST Key Keeper на базі активних ключових носіїв, який дозволяє ефективно вирішити обидві зазначені проблеми: безпечне зберігання та застосування ключів, а також можливість їх резервування. Використовувані АКН підтримують вітчизняні стандарти криптографічного захисту: ГОСТ 28147-89 та ДСТУ 4145-2002.
Програмно-апаратний комплекс GOST Key Keeper складається з уніфікованого програмного забезпечення для ПК, кількох АКН у вигляді смарт-карт та відповідного зчитувача смарт-карт. Крім того, АКН даного комплексу інтегровані з ПЗ захищеного віртуального диску «Secure Virtual Drive».
Програмне забезпечення комплексу включає:
Апаратне забезпечення в комплектації «USB-брелок»:
Апаратне забезпечення в комплектації «смарт-карта»:
Всі АКН, використовувані у складі одного комплексу, ідентичні за своїм типом. Кількість АКН не обмежена і визначається кількістю користувачів в системі, що захищається, а також вимогами резервування. Кожен АКН комплексу, за замовчуванням, містить три додатки:
Додаток "Storage Keys" призначено для формування, зберігання та застосування секретних ключів симетричного алгоритму шифрування ГОСТ 28147-89. У стандартній поставці, додаток підтримує до 5-ти «довготривалих» ключів довжиною по 512 біт (таблиці підстановки або S-блоків), з кожним з яких може бути асоційоване до 4-х «сеансових» ключів довжиною по 256 біт. Таким чином, додаток підтримує до 20 ключів ГОСТ 28147-89, які можуть диверсифікуватися для різних додатків.
Установка ключів цього додатка повинна здійснюватися на захищеній від НСД робочої станції.
Функціональні характеристики додатку "Storage Keys":
Додаток "Transport Keys" призначено для захисту комунікацій від загроз конфіденційності, автентичності та причетності. Додаток забезпечує формування, зберігання та застосування особистих ключів цифрового підпису та «спрямованого» шифрування, а також пари секретних ключів («Preshared Secret») для симетричного алгоритму шифрування ГОСТ 28147-89. Ключі з групи «Preshared Secret» можуть бути встановлені тільки у момент ініціалізації програми. Вони можуть використовуватися провайдерами послуг для аутентифікації клієнтів / абонентів, забезпечення додаткового рівня конфіденційності та захисту від клонування носіїв.
У стандартній комплектації, на АКН розміщується два примірники цього додатка, що дозволяє забезпечити захищене взаємодію з двома абсолютно незалежними провайдерами послуг. Кожен екземпляр захищений самостійною системою PIN-/PUK-кодов, також незалежною від програми "Storage Keys", що дозволяє практикувати навіть багатокористувацький режим використання АКН.
Конфігурація додатку "Transport Keys":
Конфігурація додатків АКН може бути змінена на вимогу замовника, крім того, в комплексі одночасно можуть використовуватися різнотипні АКН: як картки формату SIM, так і повнорозмірні картки з відповідними контактними зчитувачами.