Цифровий страж Key_P1: історія створення та перші результати

Останнім часом регулярно з'являються повідомлення про втрату інформації.
У даній статті хотілося поділитися досвідом створення пристрою у сфері інформаційної безпеки.
1. Історія створення
В кінці 2013 року в компанії Мультиклет з'явилися ідеї про рух вперед і виробництві не тільки вітчизняних процесорів, але і серійних пристроїв. Розглядалися ідеї створення плати прискорювача з величезною продуктивністю для звичайних ПК і пристрої для захисту інформації. Оскільки компанія приватна і великого фінансування для прискорювача в той момент залучити не вдалося було вирішено почати з виробництва пристрої для захисту інформації.
Ідея про створення пристрою для захисту інформації зародилася після тесту алгоритму ГОСТ89 на процесорі Multiclet P1. Виявилося, що алгоритм шифрування досить добре распараллеливается і підходить для мультиклітинної архітектури, користувач хабра rnouse виявив прискорення шифрування на мультиклітинної архітектурі по порівняння з процесорами в рутокенах в 4 -5 разів.


Рис 1. Перше зображення корпусу

Постановка завдання

Попередніми міркуваннями, покладеними в основу технічного завдання були наступні:
-недоліки програмних засобів, які полягають у меншій захищеності в порівнянні з апаратними засобами;
-у шифрувальних флешок недоліком є обмежений функціонал.
Тому було вирішено зробити пристрій яке б містило гнучкість і багатофункціональність програмних засобів і відповідь на нові загрози (наприклад BadUSB) і можливість створення корпоративних ієрархічних систем інформаційної безпеки. Як завжди хотілося «все в одному».
На початку 2014 року був зроблений великий макет для розробки пристрою з налагоджувальних плат.
В цей же час коригувалося технічне завдання на пристрій. Перший ескіз корпусу представлений на рис. 1.

Був розроблений приблизний графік робіт з закінченням розробки в серпні. Завдання, які могли протікати одночасно, були распараллелены залежно від ресурсів. Потім ми приступили до розробки плати прототипу і програмного забезпечення. У цей же час треба було прийняти в команду фахівців з інформаційної безпеки.

Наступним етапом була спроба запуску проекту на kickstarter, але потрібні кошти зібрати не вдалося. Можливо, причиною була відсутність підготовки ЗМІ перед початком проекту і початок періоду санкцій. Багато фахівців з краудфандінгу також відзначали, що проект занадто складний для цього сайту.

До квітня у нас вже були на руках плати пристрою з налагоджувальною частиною (див мал. 2). Зробити коректну розведення плати і визначитися з компонентами вдалося з другої спроби.

Рис 2. Налагоджувальна плата пристрою

Приблизно в цей же час були отримані перші прототипи корпусу, виготовлені на 3D принтері, див. рис 3. Напис було зроблено у вигляді наклейки, яка обертала весь корпус, видрукуваний на принтері.

Рис 3. Прототипи корпусу

Деякі моменти розробки

І після цього був дан старт розробці прес форм для виготовлення корпусів з пластмаси на одному з підприємств Єкатеринбурга. Як виявилося, процес виготовлення форм для корпусу і ковпачка досить тривалий і вимагає корекцій, незважаючи на те, що на 3D принтері проблем з виготовленням корпусу не було. В результаті корпусу були отримані на два місяці пізніше. І щоб результат був, як у фірми Apple, потрібно використовувати гарячу виливок замість холодної.

Для розробки пристроїв, що мають функції шифрування підприємство повинно мати ліцензію ФСБ. Досить швидко за 2 місяці, включаючи роботу з виконання ліцензійних вимог, дана ліцензія була отримана.
Крім того, для того, щоб користувачі могли зрозуміти, що вони встановлюють ПО, яке випущене нами був отриманий сертифікат для підпису додатків. Як виявилося дешевше всього отримати цей сертифікат тут codesigning.ksoftware.net/

Зазначимо, що для розробки ПЗ, що працює з пристроєм Key_P1, для організації підтримки ОС Windows і Linux, а також Mac після низки дискусій була обрана система Qt.

Протягом всього етапу розробки вносилися корективи в ТЗ, оскільки тільки після реалізації деяких функцій приходить розуміння того, як зробити це зручно і який функціонал буде потрібно. В результаті був визначений курс на дві версії пристрою: бізнес і професійну.
Професійна версія відрізняється від бізнес версії відповідністю класу захищеності КС3 з сертифікатом ФСБ (ряд додаткових умов, в т. ч. захищений від розтину корпус).
Бізнес версія вже випускається серійно, професійна версія знаходиться на етапі розробки. З основного функціоналу пристрою двох версій будуть ідентичні.

Коли ми починали розробку пристрою, то навіть не припускали, що витоку інформації відбуваються настільки часто і можуть завдати багатомільйонний шкоду і російським компаніям.
Останнім часом з'явився ряд аналітичних матеріалів, присвячених цьому питанню.

Аналітика і витоку інформації за листопадБільше 90% компаній стикаються з великими витоками даних, що призводять до серйозних фінансових проблем аж до банкрутства — такі висновки Zecurion Analytics зробив на підставі опитування, проведеного серед компаній, що використовують системи захисту інформації від витоків.
Аналітики Zecurion провели понад 100 інтерв'ю з топ-менеджерами компаній і фахівцями з кібербезпеки і вивчили реальні випадки виявлення навмисних і випадкових витоків корпоративної інформації. З'ясувалося, що лише 8% організацій не страждають від витоків даних, а у 30% компаній великого та середнього бізнесу фіксують в середньому по дві спроби викрасти місяць цінну інформацію, втрата якої позначається на фінансовій стабільності компанії. Це підтверджує і максимальний розмір збитку в $30 млн, який зазнала російська компанія від витоку конфіденційних даних.


Одні з найвідоміших витоків даних за останні пару місяців:
1) В результаті хакерської атаки були скомпрометовані дані співробітників, керівництва і клієнтів Поштової служби США (USPS). В руках зловмисників, можливо, виявилися 800 тис. записів, включаючи імена, адреси і номери соціального страхування американців, повідомляє The Wall Street Journal.
2) Імена, адреси, номери телефонів, адреси електронної пошти близько 83 млн власників домогосподарств і підприємств були вкрадені через систему JPMorgan Chase, повідомляють Ведомости з посиланням на Reuters. У банку немає інформації про те, що хакери отримали доступ до номерів рахунків, паролів, дат народження і SSN.
3) Найбільша в світі компанія з продажу будматеріалів і ремонтних пристосувань Home Depot заявила, що 53 мільйони адрес електронної пошти клієнтів мережі магазинів були скомпрометовані. За попередніми підрахунками, збитки Home Depot внаслідок злому склали $56 млн, повідомляє портал securitylab.ru з посиланням на звіт компанії.



Робота над помилками

Основними проблемами, з якими довелося зіткнутися на етапі бета-тестування (хоча і проводили альфа-тестування на десятках комп'ютерів), та які усунуті на момент написання даної статті були:
— помилка «можливо, відкрита дверцята», яка виникла при визначенні пристрою
— неможливість розшифрувати файли корпоративними ключами
— помилка роботи по каналу scsi при роботі нашого драйвера
— було вирішено встановлювати імена відкритих і закритих розділів на накопичувачах, внаслідок проблем з їх сприйняттям користувачами
— усунуто проблеми індикації блокування пін кодів, після 10 спроб

Також було помічено, що після кількох відчинень/закривань прозорої кришки, що захищає USB-роз'єм Key_P1, вона стала закриватися без помітного раніше клацання, що говорить про швидке зношення фіксуючих виступів на корпусі. Разом з тим, кришка досить щільно підігнана до корпусу, що в результаті не дозволяє їй довільно відпадати від корпусу, навіть при значному стиранні фіксуючих виступів.
Відсоток браку на першій партії пристроїв склав близько 10%. Такий відсоток виходить на основі допустимого шлюбу імпортної бази елементів, деформацією ніжок елементів, шлюбу друкованих плат. Але в подальших партіях після усунення виявлених зауважень, відсоток браку повинен зменшитися.

Пристрій для захисту інформації, яка випустила компанія Мультиклет набуло назву Key_P1 MultiСlet (допустиме назва Ключ_П1). Основні принципи, які закладалися в пристрій:
— доброзичливий віконний інтерфейс
— безпека даних
— орієнтація на індивідуальних і корпоративних користувачів
— мобільність

В цілому це пристрій для захисту інформації на ПК і накопичувачах, розроблене на базі мультиклеточного процесора і виконано у вигляді портативного гаджета з трьома роз'ємами: USB — розетка і вилка, а також роз'єм для SD карт. Пристрій, що вийшло зображено на рис. 4.

Рис 4. Результат робіт

Короткий порівняння програмних і апаратних рішень

Відмінність апаратних пристроїв захисту інформації від програмних, таких як (Верба OW 6.1, Ліссі CSP 2.0, Бикрипт 4.0, Крипто Про 3.6) полягає у збереженні ключів на самому пристрої, відсутність необхідності установки ПО. Відмінність же безпосередньо самого пристрою Key_P1 від таких апаратних пристроїв як Samurai, Шипка, DataShur полягає в тому, що даний пристрій не має вбудованої пам'яті для зберігання інформації (тільки пам'ять для шифрувальних ключів, прошивки і т. п.), і призначений для роботи з необмеженою кількістю накопичувачів. А також має шифрування на накопичувачах по секторах 1024 ключами. Таким чином, Key_P1 має широкий функціонал програмних і підвищений захист апаратних засобів.

2. Як працює Key_P1

Для роботи з пристроєм Key_P1 Multiclet необхідно завантажити додаток Key_P1 Manager. Програма Key_P1 Manager підтримує весь функціонал пристрою, забезпечує ініціалізацію пристрою, ініціалізацію накопичувачів, формує корпоративні ключі та ін
Відмінні особливості програми:
1) Програма не вимагає установки на операційну систему
2) Для підтримки кроссплатформної роботи рекомендується зберегти відкритий розділ накопичувача версію програми для ОС Windows і Linux
3) Програма, як і пристрій Key_P1 Multiclet, не прив'язується до конкретного ПК або накопичувача, що дозволяє забезпечити роботу пристрою на різних ПК і забезпечити підтримку необмеженої кількості накопичувачів
4) Програма має простий і зручний інтерфейс, а також забезпечує розмежування прав доступу до функціоналу пристрою (по ПІН-коду для користувача і адміністратора, який може бути від 4-х до 16-ти символів)

Для початку роботи з пристроєм в повному обсязі необхідно виконати наступні кроки:
1) Встановити внутрішню прошивку пристрою
2) Провести ініціалізацію пристрою (установка 1024 ключів, PIN адміністратора
PIN користувача, тривожного PIN коду, імені пристрою)
3) Провести ініціалізацію накопичувачів (розбиття на два розділу (відкритий і закритий), установка міток розділів)


Рис 5. Основне вікно програми Key_P1 Manager

3. Функціонал пристрою

1) Захист ПК від шпигунських пристроїв
Key_P1 дозволяє роботу тільки звичайних накопичувачів інформації, робота «пристроїв-шпигунів» (подаються одночасно клавіатурою і накопичувачем та інших) буде заблокована. Пристрій Key_P1 захищено від проблеми «BadUSB». Контроль підключених пристроїв здійснюється на апаратному рівні. ПК просто не побачить шкідливе пристрій, підключений до Key_P1.
2) Шифрування інформації
Шифрування інформації можливе на накопичувачах і ПК. Шифрування здійснюється за алгоритмом ГОСТ 28147-89 з шириною ключа 256 біт.
Шифрування файлів на пристрої Key_P1 здійснюється наступними способами:

1) автоматично при копіюванні файлів на закритий розділ инициализированного накопичувача: в цьому випадку файли на диску будуть зашифровані на
накопичувачі по групам секторів за допомогою декількох ключів з 1024 створених
при ініціалізації пристрою.
Для підключення закритого розділу використовується ПІН-код користувача.
2) вибором методу шифрування в пункті «Шифрування файлів»: в цьому випадку шифрування файлів може здійснюватися одним з 3-х способів:
— випадковим ключем (декількома ключами з 1024-х, заданих при ініціалізації, частини одного файлу можуть бути зашифровані 1024-ма ключами)
— синхронізованим ключем (з допомогою обраного синхронізованого ключа)
— корпоративним ключем (одним з декількох ключів призначених для шифрування файлів обраної корпоративної групи)

Рис 6. Шифрування файлів
Вікно для розшифрування виглядає аналогічно вікну, представленому на рис. 6.

3) Сейф для паролів
Пристрій дозволяє зберігати паролі і логіни на внутрішню захищену пам'ять пристрою Key_P1. Надалі користувач може, клікнувши мишкою, скопіювати логін в буфер обміну операційної системи і вставити в потрібне поле для введення логіна. Аналогічну операцію можна виконати для пароля. Цим ми забезпечуємо зручне використання і зберігання своїх паролів, а також захищаємося від кейлогерів на ПК.

Рис 7. Сховище персональних даних

4) Лог дій і часу
Докладний описЖурнал подій відображає час підключення і відключення пристрою Key_P1 і недоступний для коригування. Таким чином, нерегламентовані відключення пристрою дадуть інформацію службі безпеки про можливу несанкціонованого витоку інсайдерської.
В подальшому планується також відображати основні дії користувача.

5) Режим «тільки читання»
Докладний описМожливість запису інформації з комп'ютерів на знімні накопичувачі, підключені до Key_P1, може бути заблокована з ПІН коду адміністратора. Для цього встановлюється режим «тільки читання» для того, щоб Key_P1 заблокував будь-яку несанкціоновану запис конфіденційних даних, вірусів або інших програм на накопичувач на апаратному рівні.

6) Три типи ключів шифрування
А) Випадковий
Докладний описСтворення: Формується в процесі ініціалізації пристрою.
Кількість: 1024 штуки (фіксованому)
Застосування: для шифрування інформації на закритому розділі накопичувачів і для шифрування звичайної інформації.

Рис 8. Формування випадкових ключів

Б) Синхронний
Докладний описСтворення: Перед тим як приступити до створення синхронних ключів, абонентам, які планують пересилати шифровану інформацію, необхідно обмінятися між собою
наступними даними: № алгоритму (перший, другий чи третій) і початкове значення
(кодове слово або фраза) для того, щоб були сформовані однакові ключі у
всіх абонентів.
Кількість: 104 штуки
Застосування: для шифрування інформації між користувачами, коли потрібно швидко зробити обмін конфіденційною інформацією (наприклад, у відрядженні).

Рис 9. Формування синхронних ключів

В) Корпоративний
Докладний описСтворення: Key_P1 передбачено розмежування прав доступу до зашифрованих файлів. Служба безпеки підприємства буде мати можливість створювати різні розмежування прав по відділам. При цьому керівник буде мати доступ до всіх файлів. Співробітники компанії можуть кодувати файли для своїх колег з допомогою програми Key_P1 Manager при наявності відповідного рівня доступу.
Кількість: 512 штук
Застосування: для шифрування інформації між користувачами всередині компанії.

Рис 10. Формування корпоративних ключів

Для шифрування даними типами ключів використовується одне і теж вікно — «Шифрування файлів, см рис. 6

7) Швидке криптопреобразование
Пристрій Key_P1 дозволяє провести швидке шифрування або розшифрування інформації. Таким чином, користувачі можуть легко і швидко обмінюватися зашифрованими текстовими повідомленнями, які пересилаються за допомогою електронної пошти, різних систем обміну повідомленнями (наприклад, skype), соціальних мереж і т. д.

Рис 11. Вихідне повідомлення

Рис 12. Результат шифрування

4. Технічні характеристики
Призначення: пристрій призначений для шифрування невеликих обсягів конфіденційної інформації.
Швидкість роботи: з відкритим розділом накопичувача — до 3,2 Мбіт/с, з закритим розділом накопичувача до 1,2 Мбіт/с.
Підтримувані типи портів USB: 1.1, 2.0, 3.0
Підтримувані ОС: windows xp, Windows 7, Windows 8, Linux 2.6.х, Linux 3.х
Підтримувані типи накопичувачів: USB, SD, microSD, miniSD, MMC

5. Поточний стан
Налагоджено виробництво пристроїв Key_P1 (бізнес версії) в місті Єкатеринбург.
Пристрій запатентовано, виконано на базі мультиклеточного процесора Multiclet P1.
У пристрої є іноземні компоненти, проте розробка, основний процесор, виготовлення, включаючи корпусу, напайку, тестування — російське в обсязі 80% вартості, що і дозволило зробити напис «Made in Russia». В даний момент ведуться роботи по виведенню в серію професійної версії пристрою та отриманню дозвільної документації на експорт, т. к. до пристрою проявляють інтерес закордонні компанії.

6. Подальший розвиток
Пристрій Key_P1 має можливість оновлення прошивки (з перевіркою ЕЦП перед стартом).
Тому на оновлення прошивки і ЗА складено пристойний список, основні пункти якого:
1) Підтримка Mac OS
2) Меню «Налаштування», параметри яких зберігаються на Key_P1
3) Можливість завдання особистих ключів для шифрування
4) Підтримка функціоналу ЕЦП
5) Завдання критеріїв встановлення ПІН коду користувача
6) Генерація пароля для сховища аутентифікаційних даних
7) Настройка списку довірених пристроїв і дозвіл роботи з ними, а також їх моніторинг
8) Система сервер-клієнт для віддаленого контролю за пристроями
9) Захищений браузер
У перспективі можливо впровадження Key_P1 в поштовий клієнт Mozilla Thunderbird, правда є ряд питань, які треба вирішити. А також потенційно здійсненним є створення власного месенджера або робота з вже існуючими, такими як qip, icq.
Представляє інтерес і випуск пристрою для впровадження в системні блоки, з підключенням безпосередньо до материнської плати і захистом усіх периферійних USB-портів. Такий пристрій може бути засноване на вітчизняному процесорі Multiclet R1, що підвищить продуктивність в десятки разів. Key_P1 в цьому випадку зможе захистити від проблем, описаних у статті про безпеку 4G USB модему habrahabr.ru/company/pt/blog/243697/#first_unread. Хоча і сучасний варіант Key_P1 після випуску спеціального оновлення зможе захистити ПК від шкідливих пристроїв.
Крім того, важливою особливістю пристрою є його проста інтеграція в програмні системи забезпечення безпеки, оскільки пристрій не вимагає установки ПЗ і драйверів для ОС.
Пристрій для ідентифікації в ОС використовує стандартні драйвери системи.

Одна з причин чому ми тут

Ми уважно розглядаємо корисні поради та коментарі користувачів, а також аналізуємо відгуки клієнтів. Саме на основі цієї інформації і буде зроблений вибір найближчих оновлень пристрої та напрямів його розвитку. Ми націлені на те, щоб зробити якісний і затребуваний пристрій для захисту інформації з широким спектром застосування.

У 1988 році американська Асоціація комп'ютерного обладнання оголосила 30 листопада (день першої зафіксованої епідемії «черв'яка» Морріса) Міжнародним днем захисту інформації (Computer Security Day). Метою Дня є нагадування користувачам про необхідність захисту їх комп'ютерів і всієї збереженої на них інформації.

Вітаємо всіх фахівців, що стоять на сторожі інформаційної безпеки!

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.