DZWON

Są tacy, którzy czytają tę wiadomość przed tobą.
Subskrybuj, aby otrzymywać najnowsze artykuły.
E-mail
Nazwa
Nazwisko
Jak chciałbyś przeczytać The Bell?
Bez spamu

Jak chronić klucz publiczny przed podmianą?

dzielić
dzielić
Ćwierkać
Tak jak
Tak jak

Szybki rozwój Technologie informacyjne wiąże się z wykorzystaniem dużej ilości informacji z różnych dziedzin ludzkiej działalności.

Pomimo udoskonalania metod ochrony informacji, cyberprzestępcy nieustannie wymyślają nowe sposoby zdobywania informacji nieautoryzowany dostęp do danych innych osób.

Aby zminimalizować prawdopodobieństwo ich zagrożenia i chronić poufne dane, szeroko stosowana jest sprzętowa ochrona informacji.

Przewiduje wykorzystanie różnego rodzaju urządzeń sprzętowych i urządzeń, które będą blokować nieautoryzowany dostęp cyberintruzom.

Ochrona oprogramowania

Ważnym aspektem bezpieczeństwa informacji jest zestaw procedur zapewniających ochronę oprogramowanie używane przez konkretną firmę, przedsiębiorstwo lub użytkownika prywatnego.

Ochrona oprogramowania przewiduje wykluczenie jego nielegalnego użytkowania, modyfikacji kodu źródłowego, tworzenia kopii, nielegalnej dystrybucji.

Aby chronić oprogramowanie przed tymi zagrożeniami, szeroko stosowane są takie narzędzia, jak elektroniczne klucze dostępu i karty inteligentne.

Klucze elektroniczne

Klucz elektroniczny to specjalne urządzenie, które zawiera dane licencyjne, które umożliwia pełne korzystanie z oprogramowania.

Bez otrzymania tych danych program nie będzie działał lub będzie działał z ograniczoną funkcjonalnością.

Klucz elektroniczny przeznaczony jest do podłączenia do jednego z interfejsów komputerowych, przez który odczytywane są wymagane informacje.

Wśród kluczy elektronicznych, które zapewniają sprzętowe metody ochrony informacji, wykorzystywane są urządzenia:

  1. odczytać informacje o rekordzie, aby odblokować program;
  2. z algorytmami kryptograficznymi do szyfrowania/deszyfrowania licencjonowanych danych;
  3. oparty na mikroprocesorze zdolnym do przetwarzania specjalnych algorytmów programistycznych, które blokują działanie oprogramowania.

Główne zalety kluczy elektronicznych to:

  • możliwość korzystania na dowolnym komputerze z odpowiednim interfejsem;
  • za pomocą tych kluczy można wykonać przekształcenia kryptograficzne;
  • za pomocą kluczy można wykonać dowolny kod zbudowany przez programistę.

Karty inteligentne

Sprzęt ten to specjalne klucze elektroniczne, które niezawodnie chronią oprogramowanie przed piractwem i niewłaściwym użyciem.

Są wykonane w postaci urządzeń, które mają wbudowany układ scalony, który może implementować dowolny kod informacyjny i przechowywać dowolne informacje.

Aby przechowywać te dane i różne kody, karta inteligentna ma pamięć nieulotną.

Do tej pory ochronę informacji o oprogramowaniu i sprzęcie można przeprowadzać za pomocą kontaktowych kart inteligentnych z jednym z obsługiwanych system komputerowy interfejsów lub za pomocą urządzeń zbliżeniowych, z których odczyt danych odbywa się za pomocą specjalnego czytnika.

Kluczowe zalety kart inteligentnych to:

  1. wyższy system ochrony danych przed nadużyciem;
  2. możliwość przetwarzania informacji za pomocą wbudowanego chipa i przechowywania ich w pamięci nieulotnej;
  3. obsługa różnych interfejsów i bezstykowej formy odczytu/zapisu danych;
  4. długi okres eksploatacji.

Środki ochronne dla pojedynczego komputera

Aby skutecznie realizować globalne zadanie ochrony oprogramowania używanego przez firmy, ważne jest stosowanie narzędzi do ochrony informacji programowych i sprzętowych. pojedyncze komputery pracownicy.

Do realizacji tego zadania szeroko stosowane są sprzętowe karty szyfrujące i narzędzia do niszczenia nośników.

Sprzętowe karty szyfrujące

Ten rodzaj sprzętu zabezpieczającego informacje jest urządzenia specjalne, które są instalowane na komputerze w celu ochrony przetwarzanych na nim informacji.

Moduły te umożliwiają szyfrowanie danych, które są zapisywane na dysku komputera lub przesyłane do jego portów i dysków w celu późniejszego nagrywania na nośniki zewnętrzne.

Urządzenia charakteryzują się wysoką skutecznością szyfrowania informacji, ale nie posiadają wbudowanej ochrony przed zakłóceniami elektromagnetycznymi.

Oprócz standardowe funkcje szyfrowanie, te urządzenia mogą posiadać:

  • wbudowany generator liczb losowych służący do generowania kluczy kryptograficznych;
  • wbudowany zaufany algorytm ładowania, który pozwala kontrolować procedurę logowania do komputera;
  • kontrolowanie integralności plików używanych przez system operacyjny w celu uniemożliwienia ich modyfikacji przez intruzów.

Narzędzia do niszczenia nośników

To kolejna bardzo skuteczna sprzętowa metoda ochrony informacji, zapobiegająca dostaniu się ich w ręce intruzów.

Mechanizm działania tych narzędzi polega na natychmiastowym zniszczeniu danych przechowywanych na dysku twardym lub dysku SSD w momencie próby ich kradzieży.

Wbudowany moduł do awaryjnego niszczenia plików i informacji z dysków pamięci

Pliki określonego typu lub wszystkie informacje przechowywane na komputerze osobistym, laptopie, dysku flash lub serwerze mogą zostać zniszczone.

Niszczarki mogą być realizowane w postaci pendrive'ów służących do usuwania dokumentów z komputera PC, urządzeń wbudowanych lub zewnętrznych do niszczenia informacji na dyskach twardych / półprzewodnikowych komputera, systemów wolnostojących zainstalowanych w centrach danych i serwerowniach.

Jedyną wadą tych systemów jest to, że dane są całkowicie i nieodwołalnie niszczone.

Dlatego, aby sama firma nie pozostała bez ważnych danych, przy korzystaniu z eksterminatorów konieczne jest zapewnienie systemów Zarezerwuj kopię i archiwizacja danych.

Wniosek

Powyżej rozważono, jakie metody sprzętowe istnieją w celu ochrony informacji przed nieautoryzowanym dostępem, modyfikacją i niewłaściwym wykorzystaniem.

Aby zagwarantować maksymalną ochronę danych, ważne jest stosowanie zestawu środków, które będą chronić informacje na każdym poziomie. środowisko informacyjne, zaczynając od komputera osobistego pracownika, a kończąc na centralnym serwerze firmy.

W prawidłowym zbudowaniu systemu ochrony i wyborze najlepszych opcji ochrony sprzętu pomogą wykwalifikowani pracownicy odpowiednich firm specjalizujących się we wdrażaniu i instalacji narzędzi ochrony środowiska informacyjnego.

Wideo: „Film informacyjny”: Ochrona informacji

Popularność rozwiązań opartych na PKI stale rośnie - coraz więcej witryn przechodzi na HTTPS, przedsiębiorstwa wdrażają certyfikaty cyfrowe do uwierzytelniania użytkowników i komputerów, S/MIME sprawdza się w szyfrowaniu E-mail oraz jako sposób na sprawdzenie źródła wiadomości w celu przeciwdziałania phishingowi. Jednak szyfrowanie i uwierzytelnianie w tych aplikacjach jest prawie bez znaczenia bez odpowiedniego zarządzania kluczami.

Za każdym razem, gdy wydajesz certyfikat cyfrowy z urzędu certyfikacji (CA) lub certyfikat z podpisem własnym, musisz wygenerować parę kluczy prywatny/publiczny. Zgodnie z najlepszymi praktykami Twoje klucze prywatne powinny być chronione i być… tajne! Jeśli ktoś je otrzyma, może, w zależności od typu certyfikatu, utworzyć witryny phishingowe z certyfikatem Twojej organizacji na pasku adresu, uwierzytelnić się za pomocą sieci korporacyjne podszywanie się pod Ciebie, podpisywanie aplikacji lub dokumentów w Twoim imieniu lub czytanie zaszyfrowanych wiadomości e-mail.

W wielu przypadkach tajne klucze są tożsamościami osobistymi pracowników (a zatem są częścią danych osobowych organizacji), więc ich ochrona jest równoznaczna z ochroną odcisków palców podczas korzystania z poświadczeń biometrycznych. Nie pozwoliłbyś hakerowi zdobyć twojego odcisku palca, prawda? To samo dotyczy kluczy prywatnych.

W tym artykule omówimy opcje ochrony i przechowywania kluczy prywatnych. Jak widać, opcje te mogą się nieznacznie różnić w zależności od typu certyfikatu (certyfikatów) i sposobu ich używania (na przykład zalecenia dotyczące certyfikatów SSL/TLS różnią się od zaleceń dotyczących certyfikatów użytkownika końcowego).

Magazyny certyfikatów/kluczy w systemie operacyjnym i przeglądarkach

Przykłady: magazyn certyfikatów Windows, pęk kluczy Mac OS

Niektóre systemy operacyjne i przeglądarki mają magazyny certyfikatów lub kluczy. Są to bazy danych oprogramowania, które przechowują parę kluczy prywatny/publiczny lokalnie na komputerze jako część certyfikatu. To przechowywanie kluczy jest dość popularne: wiele aplikacji automatycznie wyszukuje tutaj klucze i nie trzeba za każdym razem ręcznie określać pliku certyfikatu, więc jest to dość wygodna opcja.

Kolejną zaletą tej opcji jest to, że jest dość łatwa w konfiguracji. Możesz włączyć/wyłączyć eksport klucza prywatnego, włącz go niezawodna ochrona(wprowadzając hasło za każdym razem, gdy używany jest certyfikat) i można go wykonać w kopii zapasowej, jeśli klucz prywatny zostanie wyeksportowany. Ponadto, gdy roaming profilu jest włączony w systemie Windows, certyfikat jest powiązany z profilem i staje się dostępny po zalogowaniu się do innego komputera za pomocą tego profilu.

Decydując się na tę opcję, należy wziąć pod uwagę kilka aspektów. Po pierwsze, nawet jeśli oznaczysz klucz prywatny jako nieeksportowalny, niektóre narzędzia mogą ominąć tę ochronę (to znaczy, że nie ma gwarancji, że nie będzie można go wyeksportować). Również, jeśli ktoś pracował pod twoim rachunek i nie masz włączonej silnej ochrony klucza prywatnego (hasło podczas korzystania z certyfikatu), wtedy mogą użyć Twojego certyfikatu. Wreszcie, jeśli twój klucz prywatny jest oznaczony jako możliwy do wyeksportowania, każdy na twoim komputerze będzie mógł go wyeksportować. Nawet jeśli masz włączoną ochronę klucza prywatnego, eksport nie wymaga podania hasła.

Ostatnia rzecz: Chrome i IE korzystają z magazynu certyfikatów Windows, podczas gdy Firefox ma własny magazyn certyfikatów (przez Mozillę). Oznacza to, że jeśli zaimportujesz certyfikat do sklepu Windows, Chrome i IE automatycznie go znajdą, ale Firefox nie.

Typowe aplikacje:

  • Aplikacje podpisu cyfrowego (na przykład Adobe Acrobat, Microsoft Outlook a pakiet Office uzyska dostęp do [niestandardowego] magazynu certyfikatów systemu Windows).
  • Serwer Microsoft IIS szuka również certyfikatów SSL w magazynie certyfikatów systemu Windows [udostępnianego komputerowi].
  • Uwierzytelnianie klienta (użytkownika lub komputera), w zależności od ustawień, najczęściej odnosi się do magazynu certyfikatów Windows.
  • Podpisywanie kodu w systemie Windows (aplikacje i sterowniki).

Pliki .pfx i .jks (magazyny kluczy)

Pliki PKCS#12 (.pfx lub .p12) i .jks* (generowane przez Java Keytool) zawierają Twoje prywatne i klucz publiczny oraz. W przeciwieństwie do lokalnej pamięci masowej dla systemów operacyjnych i przeglądarek, pliki te mogą znajdować się niemal wszędzie, w tym na zdalnych serwerach, i są zawsze chronione hasłem (to znaczy, że musisz wprowadzać hasło za każdym razem, gdy używasz klucza prywatnego). Kolejna atrakcyjna funkcja: ponieważ są to tylko pliki, łatwo jest rozesłać kopie do wielu osób, które muszą korzystać z certyfikatu.

Jeśli zdecydujesz się przechowywać plik na zdalnym serwerze, powinieneś zachować szczególną ostrożność, aby ograniczyć do niego dostęp. Jeśli ktoś uzyska dostęp, może użyć Twojego certyfikatu. Podobnie należy zachować szczególną ostrożność, aby łatwo kopiować i rozpowszechniać te pliki. Chociaż jest to dla Ciebie duże ułatwienie, napastnik może również łatwo wykonać kopię, jeśli uzyska dostęp do Twojego magazynu kluczy. Hasło klucza prywatnego jest nadal wymagane do efektywnego wykorzystania skopiowanego pliku. To kolejny powód do użycia silne hasła 15 lub więcej znaków zawierających wielkie litery, cyfry i znaki specjalne. W przypadku tej opcji przechowywania należy wziąć pod uwagę jeszcze jedną rzecz: na użytkowniku końcowym spoczywa większa odpowiedzialność za to, gdzie znajduje się plik i czy jest on prawidłowo przechowywany.

Jeśli nie możesz korzystać ze sprzętu kryptograficznego lub pamięci masowej Klawisze Windows(opisane powyżej), ale nadal chcesz zwiększyć bezpieczeństwo (zamiast umieszczać plik kluczy na swoim komputerze), możesz zapisać ten plik na dysku flash, który będzie w bezpiecznym miejscu. Oczywiście traci się tutaj pewną wygodę, więc jeśli musisz często używać podpisu, będziesz chciał przechowywać plik lokalnie, aby mieć do niego łatwy dostęp.

Typowe aplikacje:

  • Podpisywanie Kod systemu Windows lub Java.
  • FDA ESG i IRS IDES używają .pfx do bezpiecznej komunikacji z agencjami rządowymi USA.
  • Niektóre serwery WWW (takie jak Apache Tomcat lub Jboss).
*Uwaga: Java została ostatnio przeniesiona z JKS do PKCS#12 jako domyślny typ magazynu kluczy.

Tokeny kryptograficzne i karty inteligentne


Jak wspomniano powyżej, możesz zwiększyć bezpieczeństwo, przechowując klucz prywatny na osobnym sprzęcie. Istnieje jednak duża różnica między używaniem tokenów kryptograficznych lub kart inteligentnych a standardowymi dyskami flash. W przypadku sprzętu kryptograficznego klucz jest generowany na samym sprzęcie i nie jest eksportowany. Klucz prywatny nigdy nie opuszcza urządzenia, co bardzo utrudnia osobie trzeciej uzyskanie dostępu i naruszenie bezpieczeństwa.

Uwaga: Jeśli chcesz dodatkowo zabezpieczyć klucz prywatny, który został już wcześniej wygenerowany (tj. nie na samym tokenie), możesz zaimportować plik .pfx do tokena, a następnie usunąć oryginalny .pfx.

W przypadku tokena za każdym razem, gdy korzystasz z certyfikatu, musisz podać hasło. Oznacza to, że nawet jeśli ktoś otrzyma Twój token, nadal będzie potrzebował hasła. Przechowywanie klucza w tokenie oznacza, że ​​możesz bezpiecznie używać tego samego certyfikatu na wielu komputerach bez konieczności wykonywania wielu kopii i przechodzenia przez proces eksportu/importu. Sprzęt kryptograficzny jest zgodny z FIPS, co jest wymagane przez niektóre przepisy branżowe i rządowe.

Oczywiście, jeśli zdecydujesz się na tę opcję, musisz wziąć pod uwagę kilka innych kwestii. Oprócz dodatkowej złożoności zarządzania tokenami ta opcja może nie działać w przypadku automatycznych kompilacji ze względu na konieczność wprowadzania hasła za każdym razem, gdy używany jest certyfikat. Również nie ma sposobu na stworzenie utworzyć kopię zapasową certyfikat, ponieważ klucz prywatny nie jest eksportowany (wada) dodatkowe zabezpieczenie). Wreszcie, w niektórych scenariuszach ta opcja przechowywania jest po prostu niemożliwa. Na przykład, jeśli wyspecjalizowane urządzenia nie obsługują tokenów ani kart inteligentnych. Lub w sytuacjach, gdy pracownicy nie mają fizycznego dostępu do komputera, ale pracują ze zdalnych terminali.

Typowe aplikacje:

Ogólnie rzecz biorąc, wszystkie przypadki użycia wymienione dla przechowywania systemu operacyjnego/przeglądarki (podpisywanie dokumentów i kodu, uwierzytelnianie klienta, Windows IIS) obsługują tokeny kryptograficzne lub karty inteligentne — jeśli istnieją odpowiednie sterowniki. Jednak nie zawsze jest to praktyczne (na przykład w przypadku serwerów internetowych lub systemy zautomatyzowane zestawy do podpisywania kodu, które będą wymagały wprowadzania hasła za każdym razem, gdy podpisujesz).

Zgodność z przepisami jest jednym z głównych powodów korzystania z tokenów kryptograficznych.

  • Wymagane do podpisywania kodu z rozszerzoną walidacją (EV) zgodnie z zaleceniami forum CA/Browser.
  • Zalecany do standardowego podpisywania kodu zgodnie z minimalnymi wymaganiami Rady Bezpieczeństwa CA. Urzędy certyfikacji są zobowiązane do zalecania sprzętu kryptograficznego jako podstawowej opcji wystawiania certyfikatów. Jeśli sprzęt kryptograficzny nie zostanie wydany, klient musi podpisać umowę, która będzie przechowywać klucz prywatny na jakimś wymiennym sprzęcie (który jest usuwany po podpisaniu).
  • Wymagane do podpisywania cyfrowego i uzyskania statusu zaufanego w Programy Adobe, zgodnie z listą zaufania zatwierdzoną przez firmę Adobe (AATL) .
  • Przepisy branżowe, takie jak FDA CFR 21 Part 11 i wymagania dotyczące podpisu cyfrowego w poszczególnych krajach, często mówią o tajnym kluczu, który jest w wyłącznym posiadaniu właściciela. Pamięć masowa na sprzęcie kryptograficznym spełnia te wymagania.

Sprzętowe moduły kryptograficzne (HSM)


HSM to kolejny rozwiązanie sprzętowe do przechowywania kluczy, zwłaszcza jeśli nie chcesz polegać na pojedynczych tokenach lub wydaje się to zbyt uciążliwe. Podczas gdy tokeny są bardziej skoncentrowane na wprowadzaniu ręcznym lub pojedynczych aplikacjach (na przykład podpisywanie niewielkiej liczby dokumentów lub kodu, uwierzytelnianie w sieci VPN lub innych sieciach), HSM zapewniają interfejsy API, obsługują zautomatyzowane przepływy pracy i zautomatyzowane składanie. Są również zgodne z FIPS i ogólnie zapewniają wyższą ocenę niż tokeny.

Tradycyjnie moduły HSM są lokalnymi urządzeniami fizycznymi, które wymagają wykwalifikowanych zasobów do zarządzania i egzekwowania podstawowych wymagań i umów SLA. Utrzymanie HSM może być kosztowne i wymagające dużej ilości zasobów, co w przeszłości utrudniało stosowanie tej technologii. Na szczęście w ostatnie lata Pojawiły się oparte na chmurze moduły HSM, które zapewniają wiele korzyści z lokalnych modułów HSM bez konieczności konserwacji lokalnej.

Przykładem jest dobrze znana usługa Key Vault w chmurze Microsoft Azure, która przechowuje klucze kryptograficzne w HSM w chmurze firmy Microsoft. Jeśli masz małą organizację, której nie stać na zakup własnego HSM i zarządzanie nim, jest to świetne rozwiązanie, które integruje się z publicznymi urzędami certyfikacji, w tym GlobalSign .

Jeśli zastanawiasz się nad podpisywaniem dokumentów, niedawno uruchomiliśmy nową usługę podpisu cyfrowego, która również wykorzystuje magazyn w chmurze HSM dla kluczy prywatnych. Warto zauważyć, że nowa usługa obsługuje indywidualne podpisy wszystkich pracowników. W przeszłości większość podpisujących rozwiązań HSM obsługiwała tylko identyfikatory działu lub organizacji (np. księgowość, marketing, finanse), a nie osoby (np. John Doe). W związku z tym, aby działać na poziomie poszczególnych pracowników, organizacje musiały wdrożyć infrastrukturę tokenów, co, jak wspomnieliśmy powyżej, może być uciążliwe. Z tym nowa usługa podpisy cyfrowe poszczególnych pracowników są wdrażane bez konieczności samodzielnego zarządzania HSM (i bez ryzyka utraty tokenów przez pracowników).

Typowe aplikacje:

  • Podpisywanie dokumentów lub kodu dużą liczbą.
  • SSL (w zależności od konfiguracji serwera).
  • Infrastruktura CA do obsługi własnego CA (root CA, podrzędny CA, serwer znaczników czasu RFC 3161) w trybie offline lub online (root CA zwykle działa w trybie offline).

Przyszłe metody przechowywania kluczy

Dokonaliśmy przeglądu głównych opcji, które były używane od wielu lat. Ale wydaje się, że nic na świecie bezpieczeństwo informacji, w tym przechowywanie kluczy, nie jest odporny na wpływ IoT, dlatego opracowywane są nowe opcje.

Ponieważ coraz więcej urządzeń łączy się z siecią, co wymaga uwierzytelniania i bezpiecznej komunikacji, wielu programistów i producentów zwraca się ku rozwiązaniom opartym na PKI. To z kolei prowadzi do nowych rozważań, wymagań i technologii ochrony kluczy prywatnych. Poniżej dwa trendy, które widzimy w tym obszarze.

Moduł zaufanej platformy (TPM)

Moduły TPM nie są same w sobie nowe, ale coraz częściej są wykorzystywane do ochrony kluczy prywatnych. Moduł TPM może służyć do przechowywania (lub migracji) klucza głównego i ochrony dodatkowych kluczy generowanych przez aplikację. Klucze aplikacji nie mogą być używane bez modułu TPM, co czyni je bardzo przydatną metodą uwierzytelniania dla punktów końcowych, takich jak laptopy, serwery i producenci urządzeń IoT. Chociaż wiele laptopów jest już wyposażonych w moduł TPM, technologia ta nie jest jeszcze powszechnie stosowana w sektorze korporacyjnym. Jednak w świecie IoT są one często używane do bezpiecznej identyfikacji urządzeń jako sprzętowego źródła zaufania.

IoT stworzył problem polegający na tym, że wiele anonimowo komunikujących się urządzeń ułatwia hakerom przechwytywanie wiadomości lub podszywanie się pod urządzenia. Moduł TPM wdrażany jest już na etapie produkcji w celu ochrony klucza kryptograficznego, a tym samym niezawodnej identyfikacji urządzenia.

Podczas produkcji generowana jest para kluczy prywatnych i publicznych. Klucz publiczny jest wysyłany do urzędu certyfikacji w celu podpisania i wydania certyfikatu cyfrowego. Klucz prywatny nigdy nie opuszcza urządzenia. Jest przechowywany na chipie i nie może być eksportowany/kopiowany/niszczony. Teraz certyfikat jest paszportem urządzenia, a chroniony klucz prywatny stanowi sprzętowe źródło zaufania.

Fizycznie nieklonowalne funkcje (PUF)

Technologia Physically Uncloneable Functions (PUF) to zmiana paradygmatu w ochronie klawiszy. Zamiast przechowywać klucze (z potencjalnym atakiem fizycznym), są one generowane z unikalnych właściwości fizycznych pamięć statyczna SRAM jest specyficzny dla układu i istnieje tylko po włączeniu. Oznacza to, że zamiast bezpiecznie przechowywać klucz prywatny, ten sam klucz jest wielokrotnie przywracany na żądanie (aż do awarii urządzenia). Gwarantuje się, że ten klucz będzie wyjątkowy, ponieważ generacja wykorzystuje nieodłączne niekontrolowane zaburzenie struktury krzemowej chipa.

Technologia PUF w połączeniu z Trusted Execution Environment (TEE) to atrakcyjne rozwiązanie, gdy wymagana jest niedroga, łatwa w integracji i bardzo bezpieczna ochrona klucza. PUF wraz z PKI stanowią kompletne rozwiązanie do identyfikacji.

Nasz partner Intrinsic ID opracował system przygotowywania kluczy oparty na SRAM PUF, który tworzy unikalne, odporne na manipulacje i kopie identyfikatory urządzeń na poziomie sprzętowym. Korzystając z naszych usług certyfikatów, tłumaczymy te identyfikatory na tożsamości cyfrowe, dodając możliwości PKI. W ten sposób do każdego urządzenia przypisywana jest unikatowa, chroniona przez klonowanie para kluczy, która nie jest przechowywana na urządzeniu, gdy jest ono wyłączone, ale urządzenie jest w stanie odtworzyć ten klucz na żądanie. Chroni to przed atakiem na wyłączone urządzenie.

Andriej Bespalko

Firma "Aktywna"

Ten przegląd poświęcony jest zagadnieniom ochrony oprogramowania przed piractwem, a dokładniej kluczami elektronicznymi - jednym z najczęstszych obecnie sposobów ochrony oprogramowania.

Klucze sprzętowe to właściwie jedyne rozwiązanie do ochrony oprogramowania, które zapewnia akceptowalny poziom ochrony, a jednocześnie zapewnia najmniej niedogodności dla użytkowników końcowych.

Metody ochrony aplikacji

Wśród oferowanych rozwiązań do ochrony replikowanego oprogramowania można wyróżnić kilka głównych grup.

Korzystanie z dyskietek z kluczami i specjalnie powlekanych płyt CD, haseł i numerów rejestracyjnych

Te metody ochrony nie wymagają dużych nakładów finansowych na wdrożenie, ale mają niską odporność na włamania. W związku z tym stosowanie takiej ochrony jest uzasadnione tylko w przypadku oprogramowania o niższej kategoria cenowa. W przypadku takich programów ważna jest popularność i duże nakłady (czasem ze względu na pirackie kopie). Zastosowanie bardziej niezawodnego, ale i drogiego systemu ochrony w tym przypadku nie będzie miało sensu (będzie nawet miało negatywny wpływ).

Wiązanie z unikalnymi cechami komputera

Odporność na włamanie tego sposobu zabezpieczenia jest znacznie wyższa niż poprzednich, przy niskich kosztach realizacji. Jednak ze względu na specyfikę implementacji mechanizmu ochrony jest on najbardziej niewygodny dla użytkowników końcowych i powoduje liczne reklamacje. Przecież tak zabezpieczonego programu nie można przenieść na inny komputer, pojawiają się trudności z aktualizacjami itp. Stosowanie takiej ochrony jest wskazane w przypadkach, gdy producent ma pewność, że nie odstraszy klientów.

Ostatnim zastosowaniem tej metody jest wbudowana ochrona przed kopiowaniem nowych produktów oprogramowania firmy Microsoft.

Ochrona oprogramowania i sprzętu za pomocą kluczy elektronicznych

Dziś jest to najbardziej niezawodna i wygodna metoda ochrony replikowanego oprogramowania ze średniej i najwyższej kategorii cenowej. Jest wysoce odporny na włamania i nie ogranicza korzystania z legalnej kopii programu. Zastosowanie tej metody jest ekonomicznie uzasadnione w przypadku programów kosztujących powyżej 80-100 USD, ponieważ użycie nawet najtańszych kluczy sprzętowych zwiększa koszt oprogramowania o 10-15 USD. Dlatego każdy kluczowy producent stara się opracowywać nowe, tańsze modele, aby chronić tanie produkty o dużej cyrkulacji bez uszczerbku dla ich skuteczności.

Klucze elektroniczne chronią przede wszystkim tzw. oprogramowanie „biznesowe”: programy księgowo-magazynowe, prawne i systemy korporacyjne, kosztorysy budowlane, CAD, katalogi elektroniczne, oprogramowanie analityczne, programy środowiskowe i medyczne itp. Koszty rozwoju takich programów są wysokie, a ich koszt jest odpowiednio wysoki, więc szkody spowodowane piractwem będą znaczne. Tutaj klucze elektroniczne są optymalną ochroną.

Jak widać, przy wyborze środka ochrony deweloper musi kierować się zasadą opłacalności ekonomicznej. Ochrona powinna spełniać swój główny cel - znacznie ograniczyć, a najlepiej zatrzymać, straty spowodowane piractwem, jednocześnie nie zwiększając znacząco kosztów programu, co może negatywnie wpłynąć na sprzedaż. Producent jest również zobowiązany do uwzględnienia interesów użytkowników. Idealnie ochrona nie powinna powodować żadnych niedogodności.

Co to jest klucz elektroniczny

Klucz elektroniczny zapobiega nielegalnemu używaniu (wyzyskiwaniu) programu. Często mówi się, że klucz chroni przed kopiowaniem, ale to nie do końca prawda. Chroniony program można skopiować, ale kopia bez klucza nie zadziała. To. kopiowanie po prostu nie ma sensu.

Rzeczywisty klucz elektroniczny to małe urządzenie, który łączy się z jednym z portów komputera, zwykle LPT lub USB. Klucz składa się1 z płytki z mikroukładami (elementy pomocnicze, mikrokontroler i pamięć) zamkniętej w plastikowej obudowie. Mikrokontroler zawiera tak zwaną „matematykę” - zestaw poleceń realizujących określoną funkcję lub funkcje, które służą do generowania bloków informacji o wymianie kluczy i chronionego programu. W przeciwnym razie bloki te nazywane są „pytaniami i odpowiedziami”. Pamięć klucza elektronicznego zawiera informacje o jego charakterystyce, a także dane użytkownika.

Czym są klucze elektroniczne

Klucze elektroniczne są niezwykle zróżnicowane pod względem konstrukcji (wewnętrznej i zewnętrznej), przeznaczenia, wygląd zewnętrzny itp. Można je również klasyfikować według kompatybilności ze środowiskami programowymi i typami komputerów, według sposobu połączenia i stopnia złożoności (funkcjonalności) itp. Jednak opowieść o wszystkich typach kluczy zajęłaby dużo czasu, więc powinieneś skupić się na najczęściej stosowanych rozwiązaniach.

Klucze elektroniczne są więc najczęściej używane do ochrony lokalnych i sieć Windows i aplikacje DOS. Większość kluczy to urządzenia dla portów równoległych i USB. Są jednak klucze do portu COM lub wykonane w formie karty PCMCIA.

Złożone (wielofunkcyjne) klucze są używane do ochrony drogiego oprogramowania, prostsze klucze są używane do ochrony tańszych programów.

W zależności od urządzenia klucze elektroniczne dzielą się na

  • Klawisze, które nie mają wbudowanej pamięci. Takie klucze nie zapewniają odpowiedniego stopnia bezpieczeństwa aplikacji. W końcu tylko obecność pamięci oprócz logicznego bloku klucza pozwala zbudować system ochrony o dowolnej złożoności. Pamięć klucza może przechowywać informacje niezbędne do działania programu, listy haseł (zasadniczo do identyfikacji można użyć klucza elektronicznego) itp. Pojemność pamięci większości nowoczesnych kluczy sięga zwykle kilkuset bajtów. Stosowanie kluczy sprzętowych bez wbudowanej pamięci może być uzasadnione jedynie ochroną tanich programów o dużym natężeniu.
  • Klucze zawierające tylko pamięć. Ta klasa kluczy jest przestarzała. Takie klucze nie są już wydawane, ale dość duża ich liczba jest nadal utrzymywana przez użytkowników końcowych oprogramowania.
  • Klucze na niestandardowym układzie ASIC. Dziś jest to najczęstsza klasa kluczy. Ich funkcjonalność zależy od konkretnego typu układu ASIC. Wadą takich kluczy jest niejako „kompletność” projektu. Zakres ich właściwości jest ograniczony przez ramy określone podczas tworzenia mikroukładu. Wszystkie klucze tego samego modelu działają według tego samego algorytmu lub algorytmów (tzn. zawierają funkcje tego samego typu). Ta cecha może niekorzystnie wpłynąć na stopień odporności systemu ochrony. W końcu często powtarzany model ochrony ułatwia crackerowi.
  • klucze mikroprocesorowe. Ten typ kluczy, w przeciwieństwie do poprzedniego, ma znacznie bardziej elastyczne urządzenie. W kontrolerze klucza mikroprocesorowego można „flashować” program, który implementuje funkcje, które są różne dla każdego klienta. W zasadzie każdy klucz mikroprocesorowy można łatwo zaprogramować tak, aby działał zgodnie z własnym, unikalnym algorytmem.

Klucz elektroniczny to sprzętowa część ochrony. Część oprogramowania kompiluje specjalne oprogramowanie do pracy z kluczami. Zawiera narzędzia do programowania kluczy, narzędzia do instalacji ochrony i diagnostyki, kluczowe sterowniki itp.

Ochrona aplikacji za pomocą klucza

Instalacja

Aby zainstalować system bezpieczeństwa, wykonaj następujące czynności:

  • zaprogramować klucz elektroniczny w odpowiedni sposób, tj. wprowadzić do jego pamięci informacje, dzięki którym chroniony program zidentyfikuje klucz
  • "powiąż" program z kluczem, ustawiając automatyczną ochronę i / lub ochronę za pomocą Funkcje API

Programowanie kluczy elektronicznych

Do programowania pamięci klucza używa się głównie specjalnych narzędzi4, za pomocą których odczytywana i nadpisywana jest zawartość pól pamięci, same pola są edytowane, zmieniane lub usuwane, a klucz jest programowany zdalnie. Narzędzia programistyczne są również używane do debugowania schematu ochrony. Za ich pomocą sprawdzają poprawność wykonania funkcji API, tworzą tablice pytań i odpowiedzi klucza itp.

Metody ochrony

Istnieją systemy ochrony, które są instalowane na wykonywalnych modułach programu (zabezpieczenie dołączone lub automatyczne) oraz systemy ochrony wbudowane w kod źródłowy programu (ochrona za pomocą funkcji API).

Automatyczna ochrona

Plik wykonywalny programu jest przetwarzany przez odpowiednie narzędzie zawarte w pakiecie oprogramowania do pracy z kluczami sprzętowymi. Zwykle, tą drogą ochrona jest prawie całkowicie zautomatyzowana, proces instalacji trwa zaledwie kilka minut i nie wymaga specjalnej wiedzy. Następnie program okazuje się „dostrojony” do klucza elektronicznego o określonych parametrach.

Narzędzia automatycznej ochrony zwykle mają wiele funkcji serwisowych, które pozwalają wybrać różne tryby „powiązania” programu z kluczem i zaimplementować dodatkowe funkcje. Na przykład takie jak ochrona przed wirusami, ograniczenie czasu działania i liczby uruchomień programu itp.

Należy jednak pamiętać, że ta metoda nie może zapewnić wystarczającej niezawodności. Ponieważ moduł automatycznej ochrony jest dołączony do gotowego programu, jest prawdopodobne, że doświadczony haker będzie w stanie znaleźć „punkt połączenia” i „odpiąć” taką ochronę. Dobra użyteczność automatyczna ochrona powinna mieć opcje utrudniające debugowanie i deasemblację chronionego programu.

Ochrona za pomocą funkcji API

Ta metoda ochrony opiera się na wykorzystaniu funkcji API5 zgromadzonych w modułach obiektowych. Funkcje API pozwalają na wykonywanie dowolnych operacji na kluczu (wyszukiwanie klucza o określonej charakterystyce, odczytywanie i zapisywanie danych, liczenie sumy kontrolne, transformacja informacji itp.). Pozwala to na tworzenie niestandardowych schematów ochrony odpowiednich na każdą okazję. Generalnie można powiedzieć, że możliwości ochrony API są ograniczone jedynie bogactwem wyobraźni dewelopera.

Biblioteki funkcji specjalnych API i przykłady ich użycia, napisane w języku różne języki programowanie, musi być zawarte w pakiecie oprogramowania do pracy z kluczami.

Aby zainstalować ochronę, musisz napisać wywołania niezbędnych funkcji API, wstawić je do kodu źródłowego programu i skompilować je za pomocą modułów obiektowych. W rezultacie ochrona zostanie osadzona głęboko w ciele programu. Wykorzystanie funkcji API zapewnia znacznie wyższy stopień bezpieczeństwa niż ochrona automatyczna.

Niemal jedyną „wadą” tej metody ochrony, według niektórych producentów oprogramowania, jest dodatkowy koszt szkolenia personelu do pracy z funkcjami API. Jednak bez użycia API nie można liczyć na akceptowalną odporność systemu ochrony. Dlatego, aby ułatwić życie programistom, producenci systemów ochrony pracują nad programami, które upraszczają instalację ochrony API.

Praca

Ogólnie rzecz biorąc, dzieło ochrony można przedstawić w następujący sposób:

·
  • Po uruchomieniu i podczas pracy chroniony program przesyła informacje do klucza sprzętowego, tzw. „pytanie”.
  • Klucz elektroniczny przetwarza je i zwraca z powrotem - "odpowiedzi".
  • Program identyfikuje klucz na podstawie zwróconych danych. Jeśli ma prawidłowe parametry, program kontynuuje działanie. Jeśli kluczowe parametry nie pasują lub nie jest podłączony, program przerywa pracę lub przechodzi w tryb demo.

Ochrona przed hakowaniem

Konfrontacja między twórcami systemów bezpieczeństwa a crackerami (hakerami lub crackerami) to wyścig zbrojeń. Ciągłe doskonalenie środków i metod hakowania zmusza twórców zabezpieczeń do ciągłego aktualizowania lub wymyślania nowych środków i metod ochrony, aby być o krok do przodu. W końcu schemat, który obowiązywał wczoraj, dziś może być nieodpowiedni.

Wykonanie sprzętowej kopii klucza

Metoda ta polega na odczytaniu zawartości chipu pamięci klucza przez specjalne oprogramowanie i sprzęt. Następnie dane są przesyłane do chipa innego klucza („pusty”). Metoda ta jest dość pracochłonna i może być stosowana, jeśli pamięć klucza nie jest zabezpieczona przed odczytem informacji (co było typowe dla kluczy zawierających tylko pamięć). Ponadto stworzenie sprzętowej kopii klucza nie rozwiązuje problemu replikacji programu, ponieważ nadal pozostaje on „podłączony”, a jedynie do innego klucza.

Z tych powodów produkcja sprzętowych kopii kluczy nie jest powszechnie stosowana.

Wykonanie emulatora (kopii oprogramowania) klucza

Najczęstsze i skuteczna metoda hacking, który polega na stworzeniu modułu oprogramowania (w postaci sterownika, biblioteki lub programu rezydentnego) odtwarzającego (emulującego) działanie klucza elektronicznego. Dzięki temu chroniony program nie potrzebuje już klucza.

Emulatory mogą odtwarzać działanie klawiszy określonego modelu, klawiszy dostarczonych z jakimś programem lub jednego konkretnego klawisza.

Według organizacji można je podzielić na emulatory struktury i emulatory odpowiedzi. Te pierwsze szczegółowo odtwarzają strukturę klucza (zazwyczaj są to uniwersalne emulatory), drugie działają na podstawie tabeli pytań i odpowiedzi dla konkretnego klucza.

W najprostszym przypadku, aby stworzyć emulator, haker musi znaleźć wszystkie możliwe poprawne pytania do klucza i dopasować do nich odpowiedzi, czyli uzyskać wszystkie informacje wymieniane między kluczem a programem.

Nowoczesne klawisze posiadają cały zestaw narzędzi, które uniemożliwiają emulację. Przede wszystkim są to różne opcje komplikowania protokołu wymiany kluczy i chronionego programu, a także kodowania przesyłanych danych.

Stosowane są następujące główne typy bezpiecznych protokołów wymiany lub ich kombinacje:

·
  • protokół pływający – wraz z danymi rzeczywistymi przesyłane są „śmieci”, a z biegiem czasu kolejność naprzemienna oraz charakter danych rzeczywistych i niepotrzebnych zmienia się chaotycznie
  • protokół szyfrowany - wszystkie przesyłane dane są szyfrowane
  • z automatyczną weryfikacją - każdej operacji zapisu do pamięci klucza towarzyszy: automatyczne sprawdzenie dane do adekwatności

Dodatkową komplikację protokołu wymiany uzyskuje się poprzez zwiększenie ilości przesyłanych informacji oraz liczby pytań do klucza. Nowoczesne klucze mają wystarczająco dużo pamięci, aby obsłużyć duże ilości danych. Na przykład klucz z pamięcią 256 bajtów może przetwarzać do 200 bajtów informacji w jednej sesji. Stworzenie tabeli pytań do takiego klucza wydaje się dziś bardzo pracochłonnym zadaniem.

Komora automatycznego modułu ochronnego

Jak wspomniano wcześniej, automatyczna ochrona nie ma wystarczającego stopnia odporności, ponieważ nie tworzy jednej całości z chronionym programem. W rezultacie „ochronę koperty” można przy pewnym wysiłku usunąć. Hakerzy wykorzystują w tym celu szereg narzędzi: specjalne programy do automatycznego łamania, debugery i deasemblery. Jednym ze sposobów obejścia ochrony jest określenie punktu, w którym kończy się „obwiednia” ochrony, a kontrola jest przekazywana do chronionego programu. Następnie przymusowo zapisz program w niezabezpieczonej formie.

Jednak w arsenale producentów systemów ochrony istnieje kilka sztuczek, które pozwalają maksymalnie utrudnić proces usuwania ochrony. Dobre narzędzie automatycznej ochrony z pewnością będzie zawierało opcje, które zapewniają

·
  • przeciwdziałanie automatycznym programom hakerskim,
  • przeciwdziałanie debuggerom i deasemblerom (blokowanie standardowych narzędzi debugowania, dynamiczne kodowanie modułu zabezpieczającego, obliczanie sum kontrolnych sekcji kodu programu, technologia „crazy code” itp.),
  • kodowanie chronionego korpusu i nakładek programu za pomocą algorytmów (funkcji) konwersji.

Usuwanie wywołań funkcji API

Aby usunąć wywołania funkcji API z kodu źródłowego programu, hakerzy używają debugerów i deasemblerów, aby znaleźć miejsce pochodzenia wywołań lub punkty wejścia funkcji i odpowiednio załatać kod. Jednak przy odpowiedniej organizacji ochrony API metoda ta staje się bardzo pracochłonna. Ponadto cracker nigdy nie może być całkowicie pewien, że poprawnie i całkowicie usunął ochronę, a program będzie działał bezawaryjnie.

Istnieje kilka skutecznych sposobów przeciwdziałania próbom usunięcia lub obejścia wywołań API:

·
  • użycie „szalony kod”: podczas tworzenia funkcji API ich polecenia są mieszane z „śmieciami” - niepotrzebnymi poleceniami, tj. kod jest bardzo głośny, co utrudnia badanie logiki funkcji
  • używanie wielu punktów wejścia API: przy dobrej ochronie API każda funkcja ma swój własny punkt wejścia. Aby całkowicie zneutralizować ochronę, atakujący musi znaleźć wszystkie punkty

Hart

Ochrona oprogramowania i sprzętu zapewnia osobie, która ją wdraża, wystarczająco dużą swobodę działania. Nawet przy automatycznej ochronie możesz wybierać spośród dostępnych opcji i odpowiednio definiować właściwości chronionego programu. A korzystając z funkcji API, możesz wdrożyć dowolny, nawet najbardziej wyrafinowany model ochrony. To. Nie ma jednego i szczegółowego schematu ochrony budynku. Istnieje jednak wiele sposobów na zwiększenie wytrzymałości twojej obrony (poniżej wymieniono tylko kilka).

Łączenie ochrony automatycznej i API

Jak wspomniano powyżej, każdy z tych rodzajów ochrony ma swoją własną wąskie miejsca. Ale razem doskonale się uzupełniają i stanowią barierę nie do pokonania nawet dla doświadczonego włamywacza. Jednocześnie automatyczna ochrona pełni rolę pewnego rodzaju powłoki, zewnętrznej granicy, a ochrona API jest rdzeniem.

Ochrona API

Zaleca się korzystanie z kilku funkcji w ochronie API. Ich wywołania muszą być rozproszone w kodzie aplikacji i mieszać zmienne funkcji ze zmiennymi aplikacji. W ten sposób ochrona API jest głęboko zakorzeniona w programie, a cracker będzie musiał ciężko pracować, aby określić i wybrać wszystkie funkcje ochrony.

Użycie algorytmów (lub funkcji) do transformacji danych jest obowiązkowe. Zakodowanie informacji sprawia, że ​​usuwanie wywołań funkcji API nie ma sensu, ponieważ dane nie zostaną zdekodowane.

Skutecznym sposobem na skomplikowanie logiki bezpieczeństwa jest opóźnienie reakcji programu na kody powrotu funkcji API. W takim przypadku program decyduje o dalszej pracy po pewnym czasie od otrzymania kodów zwrotnych. Co zmusza crackera do śledzenia złożonych relacji przyczynowo-skutkowych i badania zbyt dużych fragmentów kodu w debugerze.

Automatyczna ochrona

Przy automatycznej ochronie konieczne jest włączenie opcji ochrony przed narzędziami do debugowania i demontażu, opcji kodowania i sprawdzania kluczy w czasie. Przydatne jest również korzystanie z ochrony antywirusowej. Jednocześnie sprawdzane jest CRC sekcji kodu, co oznacza, że ​​plik jest również chroniony przed modyfikacją.

Aktualizacja ochrony

Po wdrożeniu systemu ochrony ważne jest, aby nie zapomnieć o terminowej aktualizacji oprogramowania do pracy z kluczami. Każde nowe wydanie oznacza naprawione błędy, zamknięte „dziury” i nowe funkcje bezpieczeństwa. Niezbędne jest również stałe monitorowanie sytuacji na rynku systemów zabezpieczeń oraz, w razie potrzeby, terminowa zmiana systemu zabezpieczeń na bardziej zaawansowany i niezawodny.

Możliwości klucza elektronicznego

Oczywiście przede wszystkim klucz jest przeznaczony do ochrony programów. Jednak potencjał nowoczesnej ochrony oprogramowania i sprzętu jest tak duży, że pozwala na wykorzystanie kluczy elektronicznych do realizacji strategii marketingowej i optymalizacji sprzedaży. Oto kilka opcji takiego „niewłaściwego” użycia.

Prezentacje

Korzystając z kluczy sprzętowych, możesz łatwo tworzyć wersje demonstracyjne oprogramowania bez konieczności pisania wersja demo programy. Możesz swobodnie rozpowszechniać kopie, blokując lub ograniczając niektóre funkcje programu, które są aktywowane tylko za pomocą klucza sprzętowego. Lub udostępnij klientom w pełni funkcjonalny program w wersji próbnej („próbnej”), ograniczając liczbę uruchomień. A po dokonaniu płatności wydłuż okres korzystania z programu lub całkowicie usuń ograniczenie.

Wynajem i leasing

Jeśli program jest drogi, często wygodnie i opłaca się sprzedać go w częściach lub wynająć. W tym przypadku klucze również będą bardzo przydatne. Jak to się stało? Klient otrzymuje pełną, ograniczoną w czasie kopię roboczą programu. Po dokonaniu przez klienta kolejnej wpłaty, okres użytkowania programu wydłuża się poprzez zdalne przeprogramowanie pamięci klucza.

Sprzedaż programu w częściach

Jeśli program składa się z kilku komponentów (na przykład zestawu tłumaczy elektronicznych - angielsko-rosyjskiego, francusko-rosyjskiego itp.), to możesz dołączyć wszystkie moduły do ​​pakietu dystrybucyjnego, ale aktywować tylko te, za które zapłaciłeś. W razie potrzeby klient zawsze może zapłacić za interesujący go komponent programu, który zostanie aktywowany za pomocą programowania kluczyka zdalnego.

Aktualizacja chronionej aplikacji

Wydany przez producenta Nowa wersja programy. Teraz staje przed problemem aktualizacji programu dla zarejestrowanych użytkowników. Programowanie kluczyka zdalnego sprawia, że ​​procedura ta jest szybka i łatwa. Gdy pojawi się nowa wersja programu, użytkownicy poprzednich wersji nie muszą wydawać ani sprzedawać nowy klucz. Wystarczy przeprogramować sekcję pamięci istniejącego klucza i wysłać nową wersję do klienta (bezpłatnie lub za niewielką dopłatą - w zależności od polityki marketingowej firmy).

Licencjonowanie w sieciach lokalnych

Licencjonowanie w tym przypadku oznacza kontrolę nad liczbą kopii używanego programu. Producenci oprogramowania sieciowego doskonale zdają sobie sprawę z sytuacji, w której kupowany jest jeden licencjonowany program, a dziesiątki jego kopii pracują w sieci LAN. W tych warunkach klucz sprzętowy staje się skutecznym sposobem zapobiegania uruchamianiu „nadmiernych” kopii programu.

Jak przebiega licencjonowanie? Załóżmy, że użytkownik zamierza zainstalować w sieci jakiś program (księgowość, magazyn itp.). Przy zakupie określa liczbę egzemplarzy programu, których potrzebuje i otrzymuje odpowiednią licencję. Producent przekazuje klientowi zestaw dystrybucyjny oraz odpowiednio zaprogramowany klucz. Teraz użytkownik będzie mógł pracować tylko z taką liczbą egzemplarzy, za jaką zapłacił. W razie potrzeby zawsze może dokupić brakujące egzemplarze, a producent przeprogramuje mu elektroniczny klucz bez wychodzenia z biura.

Łatwo zauważyć, że nowoczesny system zabezpieczeń programowych i sprzętowych zapewnia wiele funkcji usługowych, które pozwalają na zorganizowanie skutecznej polityki marketingowej i oczywiście uzyskanie dodatkowych (i bardzo wymiernych) korzyści.

Przyszłość klucza elektronicznego

Dopóki oprogramowanie jest rozwijane i sprzedawane, a piractwo komputerowe stanowi problem, ochrona oprogramowania pozostanie istotna. Trudno powiedzieć, co dokładnie będzie za dziesięć lat. Ale już teraz można zauważyć pewne trendy, które stają się oczywiste.

Klucze USB zyskują na popularności i będą stopniowo zastępować klucze do portów równoległych. W kluczach zostaną zaimplementowane bardziej złożone i stabilne algorytmy, a ilość pamięci wzrośnie.

Coraz częściej możliwości kluczy elektronicznych będą wykorzystywane do kształtowania strategii marketingowej producentów oprogramowania, do promocji produktów oprogramowania.

„Kuzyni” kluczy elektronicznych – identyfikatory elektroniczne, czyli tokeny, zaczynają być powszechnie wykorzystywane do uwierzytelniania użytkowników komputerów. Takie urządzenia przypominają wyglądem klucze sprzętowe do portu USB, ale różnią się dużą ilością pamięci, a także obecnością algorytmów szyfrowania. Tokeny połączone z programy specjalne służą do autoryzacji użytkowników podczas dostępu do dowolnych zasobów informacyjnych (logowanie do sieci lokalnej, dostęp do stron internetowych itp.), do ochrony korespondencji elektronicznej (szyfrowanie i podpis cyfrowy wiadomości) itp.

artykuł „Klucze elektroniczne do ochrony programu” Możesz dyskutować dalej

- (szafa antywandalowa) (inż. Szafa ochronna) szafa telekomunikacyjna do umieszczenia i ochrony sprzętu telekomunikacyjnego (serwery, routery, switche, modemy, centrale telefoniczne, optyczne elementy cross-connect ... ... Wikipedia

Klucz elektroniczny- Termin ten ma inne znaczenia, patrz Klucz elektroniczny (znaczenia). Klucz elektroniczny (również klucz sprzętowy, czasami dongle z angielskiego. klucz) sprzęt komputerowy przeznaczony do ochrony oprogramowania (oprogramowania) i danych przed ... ... Wikipedia

PGP- Pretty Good Privacy Autor: Philip Zimmermann Deweloper Philip Zimmermann Napisany w wielu językach Operacyjny System Linux, Mac OS X, Windows Pierwsze wydanie 1991 Witryna ... Wikipedia

Szyfr Vernama- (inna nazwa: Schemat jednorazowych padów) w kryptografii, symetryczny system szyfrowania wynaleziony w 1917 roku przez pracowników AT T, majora Josepha Mauborna i Gilberta Vernama. Szyfr Vernama ... ... Wikipedia

Klucz sprzętowy- Klucz elektroniczny (również klucz sprzętowy, czasami klucz sprzętowy z angielskiego klucza sprzętowego) to narzędzie sprzętowe przeznaczone do ochrony oprogramowania (oprogramowania) i danych przed kopiowaniem, nielegalnym użyciem i nieautoryzowanym rozpowszechnianiem ... ... Wikipedia

Algorytm Diffiego- Algorytm Diffie Hellman (eng. Diffie Hellman, DH) algorytm, który pozwala dwóm stronom uzyskać wspólny tajny klucz za pomocą niechronionego przed nasłuchem, ale chronionego przed podmianą kanału komunikacyjnego. Ten klucz może być użyty... Wikipedia

Niezniszczalny szyfr- (szyfr Vernama) - w kryptografii cała klasa systemów o absolutnej sile kryptograficznej, potocznie zwana "jednorazowymi padami/wkładkami".. Spis treści 1 Historia powstania 2 Opis... Wikipedia

Algorytm Diffiego-Hellmana- (eng. Diffie Hellman, DH) algorytm, który pozwala dwóm stronom uzyskać wspólny tajny klucz za pomocą niechronionego przed nasłuchem, ale zabezpieczonego przed podmianą kanału komunikacyjnego. Ten klucz może służyć do szyfrowania dalszej wymiany z ... ... Wikipedia

WPA- a WPA2 (Wi Fi Protected Access) to zaktualizowany program certyfikacji urządzeń komunikacja bezprzewodowa. Technologia WPA zastąpiła technologię bezpieczeństwa sieci bezprzewodowe WEP. Zaletami WPA są zwiększone bezpieczeństwo danych ... Wikipedia

Jednorazowy notatnik

klawiatura szyfrująca- Szyfr Vernama (inna nazwa: angielski schemat jednorazowych padów) w kryptografii, symetryczny system szyfrowania wynaleziony w 1917 roku przez pracowników AT T, majora Josepha Mauborna i Gilberta Vernama. Szyfr Vernama to ... ... Wikipedia

Jak chronić klucz publiczny przed podmianą?

W środowisku kryptosystemu klucza publicznego nie trzeba chronić kluczy publicznych przed złamaniem. Wręcz przeciwnie, znacznie lepiej jest, gdy są szeroko rozpowszechnione. Ale bardzo ważne jest, aby chronić je przed fałszerstwem, aby zawsze mieć pewność, że określony klucz publiczny naprawdę należy do osoby, której imię i nazwisko jest wskazane w szczegółach certyfikatu. To jest najbardziej słabość kryptosystemy klucza publicznego i to jest ich główna luka. Najpierw wyobraźmy sobie potencjalny incydent, a potem zastanówmy się, jak temu zapobiec.

Załóżmy, że musisz wysłać tajną wiadomość do Alicji. Pobierasz jego certyfikat i klucz publiczny z serwera depozytowego, a następnie szyfrujesz list tym kluczem i wysyłasz go e-mailem.

Na nieszczęście dla ciebie i Alice, napastnik Mallory'ego wygenerował własną parę kluczy z tożsamością Alice w certyfikacie (imię i nazwisko, adres e-mail), włamał się na serwer i po cichu zastąpił prawdziwy klucz publiczny Alice swoim fałszywym. Niczego nie podejrzewając, użyłeś fałszywego klucza Mallory zamiast klucza publicznego Alice, ponieważ wszystko wyglądało całkiem wiarygodnie, ponieważ informacje identyfikacyjne Alice znajdowały się na fałszywym kluczu. Teraz Mallory może przechwycić i odszyfrować wiadomość przeznaczoną dla Alice, ponieważ ma odpowiedni klucz prywatny. Może nawet ponownie zaszyfrować list prawdziwym kluczem Alice i wysłać go do miejsca przeznaczenia, aby nikt nie zauważył niczego podejrzanego. Co więcej, może użyć własnego klucza prywatnego do składania podpisów, które rzekomo należą do Alicji, ponieważ każdy użyje swojego fikcyjnego klucza publicznego do ich weryfikacji.

Jedynym sposobem na uniknięcie tego rodzaju problemów jest unikanie oszustw przy użyciu kluczy publicznych. Nie jest to trudne, jeśli otrzymałeś klucz publiczny Alicji bezpośrednio od niej osobiście, ale może być dość problematyczne, jeśli jest ona oddalona o tysiące mil lub po prostu ten moment niedostępne.

Prawdopodobnie możesz zdobyć klucz Alicji od swojego wspólnego przyjaciela Davida, który ma oryginalną kopię jej klucza publicznego. David może podpisać klucz publiczny Alicji swoim własnym kluczem prywatnym, ręcząc w ten sposób za jego ważność.

Tak więc David poświadczy certyfikat klucza, co wskaże, że klucz Alicji nie został naruszony. Jednak weryfikacja podpisu osoby podpisującej na certyfikacie wymaga posiadania oryginalnej kopii klucza publicznego Davida. Jest prawdopodobne, że David będzie w stanie dostarczyć Alice również bezpieczną kopię twojego klucza. W ten sposób stanie się zaufanym pośrednikiem-gwarantem między tobą a Alicją.

Ten podpisany certyfikat klucza publicznego Alicji może zostać przesłany przez Alicję lub Davida na serwer depozytowy, aby można go było pobrać w dowolnym momencie. Po pobraniu certyfikatu weryfikujesz podpis kluczem publicznym Davida i masz pewność, że jest to w rzeczywistości autentyczny klucz publiczny Alicji. Żaden oszust nie może cię oszukać, podając swój fałszywy klucz jako Alice, ponieważ nikt nie może sfałszować podpisu Davida, który poświadcza ten klucz.

Znana i szanowana osoba może nawet specjalizować się w pośrednictwie i reprezentowaniu różnych użytkowników poprzez podpisywanie ich certyfikatów klucza publicznego. Tę zaufaną osobę można nazwać urzędem certyfikacji. Certyfikat cyfrowy każdy klucz publiczny zawierający podpis tego urzędu certyfikacji może być a priori uważany za autentyczny i faktycznie posiadany przez użytkownika, którego tożsamość jest określona w informacjach o certyfikacie. Każdy użytkownik, który chce uczestniczyć w takiej sieci zaufania, będzie potrzebował jedynie ważnej kopii klucza publicznego urzędu certyfikacji, aby zweryfikować podpisy. W niektórych przypadkach urząd certyfikacji może również działać jako serwer depozytowy, umożliwiając użytkownikom sieci żądanie od niego kluczy publicznych; ale nie ma potrzeby, aby serwer powierniczy notarialnie poświadczał klucze.

Zaufany scentralizowany urząd certyfikacji jest szczególnie odpowiedni w dużych instytucjach korporacyjnych i rządowych z jednym systemem zarządzania. Niektóre organizacje używają hierarchii CA.

W bardziej zdecentralizowanym środowisku możliwość działania wszystkich użytkowników w roli przedstawicieli i zaufanych gwarantów ich przyjaciół i współpracowników byłaby lepsza niż scentralizowane źródło certyfikacji kluczy.

Jedną z atrakcyjnych cech PGP jest to, że jest on wdrażany równie skutecznie w scentralizowanym środowisku z urzędem certyfikacji, jak i w bardziej zdecentralizowanym, w którym użytkownicy niezależnie wymieniają swoje klucze osobiste.

Zestaw środków zabezpieczających klucze publiczne przed fałszerstwem to najtrudniejszy problem praktycznych implementacji kryptosystemów kluczy publicznych. Jest to „pięta achillesowa” całej kryptografii asymetrycznej, a przede wszystkim mechanizmy PGP są związane z rozwiązaniem tego głównego problemu.

Nie używaj czyjegoś klucza publicznego, dopóki nie masz całkowitej pewności, że nie jest to fałszywy, ale prawdziwy klucz osoby, której tożsamość jest wskazana w informacjach o certyfikacie. Możesz być pewien autentyczności klucza, jeśli otrzymałeś go bezpośrednio od właściciela na osobistym spotkaniu lub jeśli jego certyfikat jest podpisany przez zaufaną osobę, pod warunkiem posiadania wiarygodnej kopii klucza gwaranta. Ponadto szczegóły certyfikatu muszą odzwierciedlać zarówno imię, jak i nazwisko użytkownika, a nie tylko imię użytkownika.

Bez względu na to, jak masz doświadczenie, pamiętaj, aby podjąć środki ostrożności i nie polegać na autentyczności klucza publicznego pobranego z serwera depozytowego lub strony internetowej, chyba że jest on certyfikowany przez zaufaną osobę. Taki niecertyfikowany klucz publiczny mógłby zostać sfałszowany lub zastąpiony przez kogokolwiek, a może nawet Administrator systemu serwer lub strona internetowa.

Jeśli zostaniesz poproszony o podpisanie czyjegoś klucza, najpierw upewnij się, że rzeczywiście należy on do osoby wymienionej w tożsamości certyfikatu, ponieważ podpis na certyfikacie klucza publicznego jest twoją gwarancją, że jest on autentyczny i należy do tej osoby. Każdy, kto Ci ufa, zaakceptuje ten klucz publiczny jako godny zaufania, ponieważ nosi Twój podpis poświadczający. Nie polegaj na domysłach i opiniach innych osób: podpisuj klucz publiczny tylko wtedy, gdy jesteś osobiście i bezpośrednio przekonany, że należy on do zadeklarowanego właściciela. Lepiej jest podpisać tylko te klucze, które zostały bezpośrednio uzyskane od ich prawdziwych właścicieli.

Aby podpisać certyfikat klucza, musisz być znacznie bardziej pewny jego autentyczności niż go podpisywać. użytek własny do szyfrowania wiadomości. Do uwierzytelnienia klucza wyłącznie do użytku osobistego wystarczy podpis zaufanego gwaranta. Aby jednak samodzielnie podpisać klucz, potrzebne jest własne niezależne natychmiastowe przekonanie, kto tak naprawdę jest właścicielem tego klucza. Być może powinieneś zadzwonić do właściciela (upewnij się, że rozmawiasz z właściwą osobą) i poprosić go o odczytanie odcisków palców klucza, aby upewnić się, że posiadany klucz jest dokładną kopią oryginału.

Pamiętaj: Twój podpis na certyfikacie klucza nie gwarantuje zaufania właściciel; gwarantuje tylko niezawodność (autentyczność) tego klucz publiczny. Nie ryzykujesz swojej reputacji podpisując klucz socjopaty, jeśli jesteś całkowicie przekonany, że klucz naprawdę należy do niego. Inni ludzie uwierzą, że klucz jest autentyczny, ponieważ jest podpisany przez ciebie (zakładając, że ci ufają), ale nie przez osobę, która jest jego właścicielem. Zaufanie do integralności klucza i zaufanie do jego właściciela to nie to samo.

Przydatne jest przechowywanie klucza publicznego wraz z zestawem podpisów uwierzytelniających od wielu sponsorów, w nadziei, że większość ludzi zaufa podpisowi certyfikacyjnemu przynajmniej jednego z nich. Klucz z kompletem podpisów możesz umieścić w różnych depozytariuszach. Jeśli podpisujesz klucz publiczny innej osoby, zwróć jego kopię ze swoim podpisem właścicielowi; dzięki temu będziesz mógł występować jako jego przedstawiciel.

Upewnij się, że nikt nie może zmienić twojego własnego pliku kluczy publicznych. Weryfikacja podpisów na certyfikacie nowego klucza zależy całkowicie od integralności zaufanych kluczy publicznych znajdujących się już w pęku kluczy. Utrzymuj więzadło pod fizyczną kontrolą; pożądane jest przechowywanie go, a także klucza prywatnego, na własnym komputerze osobistym, a nie w systemie dla wielu użytkowników z bezpłatnym dostępem lub na komputerze serwisowym; jest to konieczne, aby chronić pakiet przed fałszerstwem, a nie przed kompromisami. Utrzymuj aktualną, autorytatywną kopię zapasową pęku kluczy publicznych/prywatnych na nośniku zewnętrznym chronionym przed zapisem, takim jak płyta CD.

Ponieważ twój własny klucz publiczny jest ostatnim źródłem bezpośredniego lub pośredniego uwierzytelniania dla wszystkich innych kluczy w pierścieniu, to właśnie klucz jest najważniejszy dla ochrony przed fałszerstwem. Będzie lepiej, jeśli wykonasz jego kopię zapasową i umieścisz ją na niezawodnym nośniku.

PGP w swojej logice zakłada, że ​​przechowujesz swoje klucze, sam PGP i system jako całość w całkowitym fizycznym bezpieczeństwie. Jeśli atakujący uzyska dostęp do komputera, to teoretycznie może zmienić program, czyniąc wszystkie jego mechanizmy wykrywania nieprawidłowych kluczy nieskutecznymi.

Nieco bardziej skomplikowanym sposobem ochrony całej paczki kluczy publicznych przed fałszerstwem jest podpisanie pliku kluczem prywatnym. Możesz to zrobić, tworząc zdejmowany podpis(odłączony podpis) i regularnie go sprawdzać.

Z książki Applied Free Software and Systems in School autor Ostavnov Maxim

Z książki Wolne oprogramowanie i systemy w szkole autor Ostavnov Maxim

Rozdział 4. „Otwarte biuro” Chociaż programy „biurowe” wraz z rozprzestrzenianiem się sieci i programów komunikacyjnych przestały być głównym zastosowaniem komputerów osobistych, nadal są dość popularne, a w programach nauczania otrzymują znaczące (być może nawet

Z Przewodnika użytkownika Fedory 8 autor

6.1.1. Otwarte biuro: co to jest? Nie jest tajemnicą, że główne apartament biurowy na świecie jest MS Office. Tak, nie wszystkie istniejące komputery działają pod Kontrola systemu Windows, ale nikt nie będzie twierdził, że większość komputerów biurowych i domowych * używa dokładnie

Z książki Internet Intelligence [Przewodnik po działaniach] autor Juszczuk Jewgienij Leonidowicz

Jak chronić komputer przed włamaniami? środki techniczne Muszę powiedzieć, że sami hakerzy przyznają, że hakowanie środkami technicznymi jest często trudne. Wynika to z faktu, że producenci oprogramowania i sprzętu stale monitorują

autor Raymond Eric Steven

Z książki Computerra Digital Magazine nr 86 autor Magazyn Computerra

Z książki The Art of Unix Programming autor Raymond Eric Steven

DLP: jak chronić tajemnice przed wyciekiem Viktor Ivanovsky Opublikowano 15 września 2011 r. „Wikipedia” przedstawia nam cztery opcje deszyfrowania, z których dwie – Digital Light Processing i Disneyland Paris – odrzucamy ze względu na elementarną logikę, a dwie pozostałe - Zapobieganie utracie danych i

Z książki PGP: Encoding and Encrypting Public Key Information. autor Levin Maxim

16.7.1. Co to jest oprogramowanie typu open source Licencja może ograniczać lub warunkować dowolne z następujących praw: prawo do kopiowania i powielania, prawo do użytkowania, prawo do modyfikacji na użytek własny oraz prawo do powielania

Z książki komputer domowy autor Kravtsov Roman

19.1. Unix i Open Source Rozwój Open Source wykorzystuje fakt, że wymyślanie i naprawianie błędów, w przeciwieństwie do np. implementacji określonego algorytmu, jest zadaniem, które można podzielić na kilka równoległych

Z książki Linux oczami hakera autor Flenov Michaił Jewgienijewicz

Jak chronić tajne klucze przed ujawnieniem. Ostrożnie chroń swój klucz prywatny i hasło. Naprawdę dokładny. Jeśli zdarzy się, że Twój klucz prywatny zostanie naruszony, natychmiast powiadom o tym wszystkie zainteresowane strony, zanim Twój

Z książki Computerra Digital Magazine nr 217 autor Magazyn Computerra

Jak chronić swój komputer w Internecie Zawsze wydawało mi się prawie niewiarygodne, że ktoś mógł włamać się do mojego komputera, gdy byłem w Internecie! Po pierwsze, kto tego potrzebuje, a po drugie, aby to zrobić, musisz mieć dość wysokie kwalifikacje. I po trzecie,

Z książki Anonimowość i bezpieczeństwo w Internecie. Od „czajnika” do użytkownika autor Kolisnichenko Denis Nikołajewicz

1.3. Open source – czy to bezpieczne? Istnieje opinia, że ​​programy open source kod źródłowy bardziej niezawodne i bezpieczniejsze niż komercyjne.Zwolennicy tego stwierdzenia uważają, że wiele osób bada taki system różne sposoby i tym samym ujawnić wszystkie możliwe

Z książki Komputer biurowy dla kobiet autor Pasternak Evgeniya

Jak chronić przeglądarkę przed niechcianymi zmianami w ustawieniach Oleg Nechay Opublikowano 21 marca 2014 r. Utrata zwykłych ustawień przeglądarki jest tak prosta, jak łuskanie gruszek: wystarczy wejść na jakąś niehonorową stronę lub pobrać Darmowa aplikacja,

Z książki Notatnik [tajemnice efektywnego wykorzystania] autor Władimir Ptaszyński

Rozdział 9 dobre hasło. Jak chronić swoją stronę sieć społeczna przed kradzieżą? 9.1. Wybór dobrego hasła Wielu użytkowników używa haseł takich jak 1, 1234, qwerty, a potem zastanawia się, dlaczego ich skrzynka pocztowa lub strona w sieci społecznościowej zostały zhakowane. Odpowiedź jest prosta - dla niej

Z książki autora

Chroń Ta funkcja jest przeznaczona dla tych, którzy nie chcą, aby ich tekst był zmieniany. Jeśli klikniesz przycisk Chroń dokument i wybierzesz polecenie Ogranicz formatowanie i edycję, pojawi się dodatkowy panel (rys. 1.115).Jak widać na rysunku, możesz

Z książki autora

Jak chronić laptopa Laptop to produkt trwały. Niemniej jednak istnieje wiele sytuacji w świecie zewnętrznym, które mogą zniszczyć laptopa.Może wydawać się to dziwne, ale większość laptopów umiera w bardzo trywialnych okolicznościach. Nic

dzielić
dzielić
Ćwierkać
Tak jak
Tak jak

Przeczytaj także

DZWON

Są tacy, którzy czytają tę wiadomość przed tobą.
Subskrybuj, aby otrzymywać najnowsze artykuły.
E-mail
Nazwa
Nazwisko
Jak chciałbyś przeczytać The Bell?
Bez spamu