Меню
Обратите внимание!
Самое незащищенное звено информационного взаимодействия — человек, и именно для него предназначено новое изделие ОКБ САПР — персональное средство защиты информации Шипка-1.5. Это USB-устройство, в котором аппаратно реализованы:
 все стандартные российские криптографические алгоритмы:
o шифрование (ГОСТ 28147-89),
o вычисление хэш-функции (ГОСТ Р 34.11-94),
o вычисление и проверка ЭЦП (ГОСТ Р 34.10-94; ГОСТ Р 34.10-2001),
o вычисление ЗКА.
 ряд зарубежных алгоритмов:
o шифрование RC2, RC4 и RC5,, DES, 3DES, RSA,
o хэш-функции MD5 и SHA-1,
o ЭЦП (RSA, DSA).
 два изолированных энергонезависимых блока памяти:
o для хранения критичной ключевой информации — память объемом 4 Кбайт, размещенная непосредственно в вычислителе,
o для хранения разнообразной ключевой информации, паролей, сертификатов и т.п. — память объемом до 2 Мбайт, часть которой может быть выделена для организации защищенного диска небольшого объема.
 аппаратный генератор случайных чисел.
Криптопровайдер ОКБ САПР для устройства ШИПКА-1.5 подписан цифровой подписью Microsoft.

ШИПКА-1.5
Эти ресурсы позволяют решать с помощью устройства Шипка-1.5 самые разные задачи защиты информации как персонального, так и корпоративного уровня. Это, например:
 шифрование и/или подпись файлов;
 автоматическое заполнение веб-форм и хранение необходимых для этого данных, в том числе паролей;
 аппаратная идентификация и аутентификация пользователя на ПК и ноутбуках, а также в терминальных решениях типа «тонкий клиент»;
 защищенное хранилище ключей шифрования и подписи и аппаратный датчик случайных чисел;
 авторизация при входе в домен Windows;
 шифрование и подпись сообщений электронной почты с использованием различных стандартов;
 защита информационных технологий с помощью защитных кодов аутентификации.
Аппаратная реализация вычислений — без привлечения ресурсов компьютера — это важное отличие устройства Шипка-1.5 от других известных решений на базе USB-ключей, которые фактически представляют собой только энергонезависимую память и адаптер USB-интерфейса, а весь критичный уровень вычислений реализован программно. В Шипке-1.5 программно реализуются только не влияющие на безопасность транспортные процедуры и процедуры согласования форматов данных, все остальные функции выполняются аппаратно.
Кроме того, устройство Шипка-1.5 является полностью программируемым. Это дает возможность легко расширять его функциональность под конкретные требования заказчика.
Сегодня Шипка-1.5 является первым и пока единственным аппаратным персональным средством защиты информации в России.
В отличии от некоторых других разработок, USB-устройства ОКБ САПР являются легальными, что обеспечивается членством ОКБ САПР в USB-ассоциации. Идентификатор USB-устройств разработки ОКБ САПР: 17E4. Являясь USB-устройством, ШИПКА-1.5 не требует использования Card-reader’ов — довольно дорогих устройств, необходимых для работы со смарт-картами, а это значит, что использование ШИПКА-1.5 в качестве смарт-карты не только удобнее, но и экономичнее.
ПСКЗИ ШИПКА-1.5 может использоваться как хранилище ключей, сгенерированных ПК «Атликс клиент» (КриптоПро) для УЦ системы «Стандарт УЦ»
«Стандарт УЦ» - это типовой доверенный программный комплекс, выполняющий целевые функции удостоверяющего центра (См. Федеральный закон «Об электронной цифровой подписи»). Он предназначен для выполнения задач по созданию, проверке и управлению сертификатами открытых ключей и соответствует классу защиты на уровне достаточном для использования в сетях общего пользования.
Серитификат открытых ключей, или «цифровой сертификат» - это подписанная электронной цифровой подписью Удостоверяющего центра пара «персональные данные пользователя+его открытый ключ».
Подпись УЦ гарантирует:
 Соотнесенность сведениий, содержащихся в сертификате, с пользователем;
 Целостность этих сведений (попытка вмешательства в структуру или данные сертификата нарушают его целостность, соответственно, если подтверждена целостность, то изменений каких-либо данных в сертификате, в том числе и подмены открытого ключа - не было).
Цифровые сертификаты широко используются в системе управления открытыми ключами (Public-Key Infrastructure, PKI), так как позволяют пользователям обмениваться открытыми ключами уже непосредственно друг с другом, фактически без участия третьей стороны. Применение цифровых сертификатов в системе PKI позволяет упростить процесс работы с ключевой информацией. При обмене зашифрованными данными сессионный ключ просто зашифровывается на открытом ключе получателя сообщения и подписывается на закрытом ключе отправителя.
Взаимодействие пользователя с УЦ обеспечивается с помощью программного комплекса «Атликс клиент», который, в частности, генерирует ключевую пару (закрытый и открытый ключ) и записывает ее на ключевой носитель. В качестве такого носителя может использоваться ПСКЗИ ШИПКА.
В обновленном программном обеспечении (ПО) ПСКЗИ ШИПКА предусмотрена возможность работы с самоподписанными сертификатами

Система работы с сертификатами, подписанными удостоверяющим центром, удобна для корпоративных пользователей, потому что центр сертификации несет ответственность за аутентичность своих конечных пользователей, обеспечивая при обмене деловой информацией уверенность как в источнике, так и в получателе.
Однако для пользователей, которые хотят вести защищенный обмен данными друг с другом в личных целях, генерация и использование сертификатов, выписанных УЦ, может вызвать ряд неудобств.
Во-первых, услуги удостоверяющего центра являются платными. Во-вторых, необходимо доверие к самому УЦ, как к независимой и беспристрастной части системы PKI. В-третьих, в случае сбоя программного обеспечения УЦ или его некорректной работы обмен данными между пользователями может быть нарушен.
В этом случае гораздо удобнее использовать самоподписанные сертификаты. При этом производится самовыдача сертификата, то есть сертификат формируется самим пользователем и подписывается на своем собственном закрытом ключе, что позволяет решить все вышеперечисленные проблемы: создание сертификата не требует финансовых затрат и исключает участие удостоверяющего центра в дальнейшей работе пользователей.

Но из-за отсутствия третьей стороны необходимо обеспечить особые условия хранения и передачи такого сертификата. Генерация самоподписанного сертификата с помощью программного обеспечения ПСКЗИ ШИПКА позволяет не только ключевую пару, но и сам сертификат сохранить непосредственно на устройстве.
При этом пользователи смогут обменяться своими сертификатами, даже не передавая их по сети, а восстановив контекст сертификата с устройства на машине другого пользователя.
Специальное программное обеспечение ПСКЗИ ШИПКА позволяет создавать самоподписанные сертификаты как через интерфейс криптопровайдера, так и через интерфейс Cryptoki, определенный стандартом PKCS #11.
При этом секретный ключ ключевой пары генерируется непосредственно в ПСКЗИ ШИПКА, где и хранится в защищенной памяти устройства.
Генерация сертификатов возможна с использованием следующих алгоритмов подписи:
 PKCS #1 v1.5 RSA с функцией хеширования MD5;
 PKCS #1 v1.5 RSA с функцией хеширования SHA-1;
 ГОСТ Р 34.10-94 с функцией хеширования ГОСТ Р 34.11-94;
 ГОСТ Р 34.10-2001 с функцией хеширования ГОСТ Р 34.11-94.
В ПО ПСКЗИ ШИПКА реализована поддержка rfc 4357 как через интерфейс CSP, так и через PKCS#11
Те разработчики, которые понимают, что возможность интеграции СКЗИ в настоящее время совершенно необходима как пользователям, так и производителям, придерживаются стандартов работы с криптографическими алгоритмами.
В январе 2006 года IETF (Internet Engineering Task Force) был принят стандарт RFC 4357 «Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms», разработанный специалистами компании Крипто-Про.
Этот стандарт описывает параметры, необходимые для работы с российскими криптографическими алгоритмами ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001.
В обновленном ПО ПСКЗИ ШИПКА работа с криптографическими алгоритмами как через интерфейс CSP, так и через PKCS#11 реализована с поддержкой стандарта rfc 4357.
Эти интерфейсы по-разному используются разработчиками при создании новых приложений - как из-за сложившихся областей применения (приложения, разработанные Microsoft используют CSP (в частности, шифрование сообщений в почтовой программе Outlook-express происходит через CSP, а в почтовой программе The BAT! - с помощью PGP через PKCS#11)), так и из-за различающейся функциональности. Поэтому возможность стандартизованной работы с помощью обоих api существенно расширяет сферу применения ПСКЗИ ШИПКА.
Все описанные возможности актуальны и для ПО ПСКЗИ ШИПКА-1.6.
Подробная информация о ПСКЗИ Шипка-1.5 представлена здесь.
Сравнительные характеристики версий ПСКЗИ ШИПКА
Элемент архитектуры ШИПКА-1.5 ШИПКА-1.6 ШИПКА-1.7
тактовая частота процессора 16 МГц 16 МГц 16 МГц
тактов на команду 1-2 (большинство - 1) 1-2 (большинство - 1) 1-2 (большинство - 1)
частота исполнения команд 14 МГц 14 МГц 14 МГц
Память программ 128 КБайт 128 КБайт 128 КБайт
Оперативная память 4 КБайта 4 КБайта 4 КБайта
Встроенная защищенная энергонезависимая память EEPROM 4 КБайт EEPROM 4 КБайт EEPROM 4 КБайт
Средства повышения производительности криптографических преобразований Аппаратный умножитель Аппаратный криптографический сопроцессор Аппаратный криптографический сопроцессор
Поддержка файловой системы По стандарту ISO/IEC 7816
ПО микроконтроллера По стандарту ISO/IEC 7816
ПО микроконтроллера По стандарту ISO/IEC 7816
ПО микроконтроллера
Внешняя память Типа Data Flash 512 Кбайт (по заказу - до 8 Мбайт) Типа Data Flash 2 Мбайт (по заказу - до 8 Мбайт) 1. Типа Data Flash 2 Мбайт (по заказу - до 8 Мбайт)
2. Типа NAND-flash - до 1Гб (шифрованный диск (шифрование по ГОСТ 28147-89)
Аппаратный датчик случайных чисел Одноплечевой датчик Версия ШИПКА-1.6 - одноплечевой датчик, версия ШИПКА-1.6+ — двуплечевой Двуплечевой датчик
Контроллер USB-интерфейса Full-speed
Скорость обмена для однонаправленных функций - 150 Кбайт/с, для двунаправленных - 75 Кбайт/с Full-speed
Скорость обмена для однонаправленных функций - 150 Кбайт/с, для двунаправленных - 75 Кбайт/с High-speed
Скорость обмена для однонаправленных функций - около 3 Мбайт/с, для двунаправленных - около 1,5 Мбайт/с
Аппаратная реализация криптографических алгоритмов ГОСТ 28147-89
ГОСТ Р 34.11-94
ГОСТ Р 34.10-94
1/4.5 с - 512 бит,
3.9/16.9 - 1024 бит
ГОСТ Р 34.10-2001
4.7/15 с
RSA, DSA, DES, TripleDES, MD5, SHA-1, RC2, RC4, RC5, Конфигурации сопроцессора:
— ЭЦП + шифрование ГОСТ + хэш ГОСТ;
— ЭЦП + шифрование DES/TripleDES + хэш SHA-1;
— ЭЦП + шифрование RC2 + хэш MD5;
— ЭЦП + шифрование AES + хэш SHA-1;
Скорости:
ЭЦП по ГОСТ Р 34.10-2001:
— выработка ключа - 30 мс,
— вычисление ЭЦП - 40 мс,
— проверка ЭЦП - 70 мс.
Вычисление хеш-функций - 150 Кбайт/с, шифрование - 75 Кбайт/с. При наличии шифрованного диска - только
— ЭЦП + шифрование ГОСТ + хэш ГОСТ;
Если диск не ставить - то доступны так же
— ЭЦП + шифрование DES/TripleDES + хэш SHA-1;
— ЭЦП + шифрование RC2 + хэш MD5;
— ЭЦП + шифрование AES + хэш SHA-1;
Скорости:
ЭЦП по ГОСТ Р 34.10-2001:
— выработка ключа - 30 мс,
— вычисление ЭЦП - 40 мс,
— проверка ЭЦП - 70 мс.
Вычисление хеш-функции - около 3 Мбайт/с,
шифрование - около 1,5 Мбайт/с.
Обмен данными с собственной внешней памятью С помощью аппаратного контроллера SPI-интерфейса.
Предельная скорость 1 Мбайт/с, реальная - 500 Кбайт/с без накладных расходов С помощью аппаратного контроллера SPI-интерфейса.
Предельная скорость 1 Мбайт/с, реальная - 500 Кбайт/с без накладных расходов С помощью аппаратного контроллера SPI-интерфейса.
Предельная скорость 1 Мбайт/с, реальная - 500 Кбайт/с без накладных расходов
Возможность обновления firmware без дополнительного оборудования у пользователя Есть Есть, включая динамическое перепрограммирование криптографического сопроцессора Есть, включая динамическое перепрограммирование криптографического сопроцессора

Где купить?

Заказать обратный звонок
Спасибо за заявку!
В ближайшее время наш менеджер свяжется с вами.
Заказать услуги
Спасибо за заявку!
В ближайшее время наш менеджер свяжется с вами.