Программные реализации шифров

Программно-аппаратная реализация

В последнее время стали появляться комбинированные средства шифрования, т.н. программно-аппаратные средства. В этом случае в компьютере используется своеобразный "криптографический сопроцессор" – вычислительное устройство, ориентированное на выполнение криптографических операций (сложении по модулю, сдвиг и т.д.). Меняя программное обеспечение для такого устройства, можно выбрать тот или иной метод шифрования.

Основными функциями, возлагаемыми на аппаратную часть программно – аппаратного комплекса криптографической защиты информации, обычно являются генерация ключевой информации и ее хранение в устройствах, защищенных от несанкционированного доступа со стороны злоумышленника. Кроме того, посредством методик такого типа можно осуществлять аутентификацию пользователей с помощью паролей (статических или динамически изменяемых, которые могут храниться на различных носителях ключевой информации), либо на основе уникальных для каждого пользователя биометрических характеристик. Устройство считывания подобных сведений могут входить в состав программно – аппаратной реализации средств защиты информации.

Криптографический сопроцессор PCIXCC

Опционально поставляемый сопроцессор PCIXCC (PeripheralComponentInterconnectExtendedCryptographicCoprocessor - расширенный криптографический сопроцессор с шиной PCI) обеспечивает высокопроизводительную криптографическую среду с дополнительными функциями. Он, по сути, консолидирует функциональные возможности аппаратных средств CCF (CryptographicCoprocessorFeature) и PCICC (PeripheralComponentInterconnectCryptographicCoprocessor), включаемых в архитектуру z900 (Turbomodel), начиная с 1994 года. CCF обеспечивает шифрование по стандарту DES, выполняет функции формирования цифровой подписи и распределения ключей по алгоритму RSA (Rivest, Shamir, Adleman), которые становятся все более важными для технологий SSL, реализуемых в среде z/OS.

PCICC-плата имеет операционную систему и соответствующую среду программирования для разработки и внедрения новых функций безопасности. Устройство обеспечивает высокую скорость выполнения RSA-алгоритма, в особенности при операциях с частными ключами, которые используются на этапе установления SSL-сессий. Одна плата может выполнить 135 процедур <рукопожатия> в секунду в сравнении с 75 для CCF.

Процедура <рукопожатия> отрабатывается перед непосредственной защитой информационного блока по протоколу начального приветствия (HandshakeProtocol), входящему в состав протокола SSL. Обе рассмотренные возможности в z990 недоступны. Сопроцессор PCIXCC осуществляет только асинхронные функции и предусматривает выполнение пользователем следующих действий:

· шифрование/дешифрация данных с использованием симметричных алгоритмов (DES, Double DES, Triple DES);

· безопасная генерация, инсталляция и распределение ключей при использовании симметричных и асимметричных методов криптографии;

· генерация, верификация и передача кодов PIN;

· обеспечение целостности данных за счет организации цифровой подписи на основе MAC-кодов, алгоритмов хэширования и асимметричного алгоритма RSA.

Генерация ключевой информации

Для входа в систему в режиме усиленной аутентификации с использованием ключей, сгенерированных средствами системы SecretNet 6, пользователю необходимо иметь ключи: открытый ключ, хранящийся в базе данных SecretNet 6, и закрытый ключ, хранящийся в идентификаторе пользователя. Первоначальная генерация и выдача ключей выполняется администратором безопасности при присвоении идентификаторов пользователю или позже — с помощью специальной программы-мастера, процедура работы с которой описана в данном разделе.

Если пользователь имеет выданные ключи, для получения новых необходимо использовать процедуры смены ключей.