… А как же создать и, что еще важнее, сохранить персональную информационную среду, если компьютер предназначен для всей семьи?
Видимо, столкнувшись с перечисленными выше проблемами и необходимостью запоминания сложного для подбора пароля, специалисты ОКБ САПР (производитель средств защиты информации) разработали персональное устройство ШИПКА (Шифрование —Идентификация -– Подпись — Коды Аутентификации). Их замысел состоял в том, чтобы создать миниатюрный USB-аппарат, обеспечивающий его владельца полным набором функций для защиты информации при работе на любом компьютере. Обязательным условием его функционирования, конечно же, является то, что никакие ключи шифрования, коды аутентификации и другая ключевая информация ни в коем случае не должны выходить за пределы устройства и «светиться» в компьютере, иначе шпионская программа или хитроумный хакер обязательно их отловят. Естественно, что вся обработка информации должна выполняться внутри устройства.
Хотя ШИПКА и не больше обычной USB-«флэшки», но содержит процессор, реализующий криптоалгоритмы и специальные программы, память, аппаратный датчик случайных чисел и USB-контроллер. Устройства версии 1.6 и выше имеют также специализированный криптопроцессор, позволяющий существенно ускорить процесс шифрования и выработки/проверки подписи. По сути это устройство представляет собой самостоятельный компьютер, предназначенный для криптографической защиты информации, и совмещает аппаратно реализованные криптографические функции с другими дополнительными свойствами.
Основное назначение устройства — шифрование и подпись файлов и сообщений электронной почты электронной цифровой подписью (ЭЦП). Все реализовано довольно просто, правда, чтобы задействовать эти функции, требуется установить собственное ПО. Кстати, работать с ним сумеет человек с любым уровнем подготовки. Применять его допустимо с любым компьютером, а отправить подписанное ЭЦП письмо удастся не только с работы или из дома, но и будучи, например, в гостях. Следует заметить, что зашифровать или подписать ЭЦП сообщение электронной почты (а также выработать необходимые для этого ключи и сертификаты) можно и штатными средствами, встроенными в почтовые программы.
Теперь давайте проанализируем, что и кем подтверждается, если письмо подписывается собственными средствами операционной системы на ключах, сгенерированных этой же системой и хранящихся в ней же, а подлинность подписи подтверждается с помощью сертификата, выданного той же ОС и хранящегося там же. Таким образом, подтвердить мы можем только то, что письмо было отправлено с данного компьютера и с использованием данной учетной записи. Ключи и сертификат при таком положении вещей никакого отношения к вам лично не имеют. Получается, что эти ключи и сертификат «для всей семьи».
Имеют ли такие манипуляции какой-либо смысл? Всякий, кто сел в ваше отсутствие за ваш компьютер, может не только отправить от вашего лица подписанное вашей ЭЦП письмо, но и прочитать вашу собственную зашифрованную корреспонденцию, которую вы не удалили из «Отправленных», а также зашифрованные письма, находящиеся во «Входящих». Причем вы не сможете воспользоваться своими сертификатами в почтовой программе на другом компьютере, даже если применяете в ней ту же учетную запись, не предприняв дополнительные меры, которые наряду с усложнением жизни повлекут за собой еще и снижение защищенности (например, скопируете ключи и сертификат на дискету, а ее украдут).
Как показала практика, при работе с этим устройством дела обстоят несколько иначе. С его помощью вы сумеете генерировать ключи, которые будут храниться во внутренней памяти, а не в памяти ПК, получать сертификаты УЦ или выписывать себе самоподписанные сертификаты, сохраняя их там же. Благодаря этому вы будете использовать свою информацию на разных компьютерах. В ваше отсутствие никто другой не сможет отправить подписанное якобы вами письмо или прочитать зашифрованное, где бы оно ни находилось, в «Отправленных» или во «Входящих».
Поддерживается работа в почтовых программах Outlook, OutlookExpress и The Bat! (как с использованием настроек CSP — интерфейса для работы с криптографией Microsoft, так и с промощью программы PGP, применяющей интерфейс PKCS#11).
Процедура шифрования происходит довольно просто. Достаточно вставить устройство, нажать кнопку шифрования в программном интерфейсе, и любой пользователь компьютера будет видеть лишь набор значков (даже если зашифрован вовсе не текст, а, например, фотография) до тех пор, пока не расшифрует. Сделать это можно либо с помощью самого устройства, либо посредством ключа шифрования, который вы в зашифрованном виде передали адресату. При генерации ключей можно давать им описания на русском языке, что поможет не запутаться, на каком ключе вы шифруете для того или иного человека, а на каком — от него. Даже когда вы случайно оставили «флэшку» рядом с компьютером, то любопытствующие все равно не сумеют воспользоваться ее возможностями, не зная ПИН-кода. Собственно говоря, ПИН-код и есть та единственная информация, которую владелец должен помнить.
Если использование ЭЦП или шифрование пока еще не воспринимается как каждодневная потребность, то с авторизацией на веб-ресурсах каждый активный пользователь Интернета сталкивается постоянно. Поиск нужных паролей иногда превращается в сущий кошмар. Для этого предусмотрена функция автоматического заполнения веб-форм при аутентификации пользователя («Помощник авторизации»). Работает она следующим образом. Когда вы заходите на веб-страницу и вводите данные авторизации, например логин и пароль, то программа спрашивает, следует ли сохранить их в памяти устройства. Если вы соглашаетесь, то в следующий раз при входе на эту страницу вам будет предложено подставить логин и пароль в автоматическом режиме без вашего участия, что довольно удобно. Впрочем, подобная функция реализована не только в этом аппарате, но и еще в нескольких устройствах, представленнных на рынке. Есть что сравнивать и есть из чего выбирать. Дело в том, что хотя и существует множество различных механизмов авторизации, ни одно из предлагаемых решений не покрывает их полностью. Так, ШИПКА успешно справляется с задачей на уровне веб-приложений, но не умеет этого делать на уровне веб-сервера. По заверению разработчиков, сейчас идет работа над новой версией «Помощника авторизации», которая значительно расширит охват различных механизмов авторизации.
В качестве недостатков устройства следует отметить отсутствие драйвера для Windows Vista. Как уверяет производитель, данный драйвер находится на стадии тестирования. Кроме того, на сайте ОКБ САПР отсутствует ПО, которое можно было бы скачать, когда потерян установочный диск. Еще удобнее была бы установка ПО непосредственно с самого устройства, если бы оно могло первоначально включаться как обычная USB-«флэшка». Касательно этого были даны следующие разъяснения: в версии 1.5 для такого варианта не хватает памяти, а для версии 1.7, где памяти существенно больше, подобное решение уже прорабатывается.
Цена ШИПКИ версии 1.5 составляет 1650 руб., а версии 1.6 —2900 руб. Конечно, она довольно высокая, но безопасность всегда обходится недешево, а здесь в придачу к ней предоставляется еще и масса удобств при организации персональной информационной среды.
ПСЗИ ШИПКА
Миниатюрное USB-устройство для организации персональной защищенной информационной среды при работе на любом компьютере в любом месте.
Оценка: 85 баллов.
Цена: 1650 руб. (версия 1.5).
Разработчик: ОКБ САПР, www.shipka.ru