Token cards выполняют все операции защиты информации автономно, а не на ПК, безопасность которого не всегда гарантирована. Автономность подразумевает, что криптографический материал (ключи и алгоритмы шифрования) остается в карте-идентификаторе постоянно и ни при каких обстоятельствах не копируется на сам компьютер и не проходит по незащищенным линиям, где он может попасть "в руки" злоумышленников.

Одновременно идентификаторы на картах РС Card облегчают жизнь персональному компьютеру, освобождая его от выполнения операций, связанных с защитой информации, и давая ему возможность направлять все свои ресурсы на решение других, более насущных задач, например на выполнение приложений.

Карты-идентификаторы обладают значительной вычислительной мощью. Центральный процессор идентификатора - это обычно 32-разрядный RISC-процессор, "в помощь" которому предназначены две подсистемы памяти, программируемая флэш-память (PROM) и статическая оперативная память (SRAM), которые связываются с компьютером по 16-ти или 32-разрядной шине CardBus. Для сравнения: в обычных смарт-картах, как правило, используются 8-разрядные процессоры, а их память ограниченного объема и последовательный интерфейс ввода/вывода позволяют им выполнять только самые простые программы аутентификации и идентификации.

Важно и то, что карты-идентификаторы обеспечивают более высокий уровень защищенности.

Смарт-картам для генерирования ключей и для шифрования/дешифрования сообщений требуется пользовательский компьютер, что увеличивает нагрузку на ПК и замедляет его функционирование. Алгоритмы, каталоги адресов и сертификаты открытого ключа также хранятся в компьютере, где они потенциально весьма уязвимы - перед отказами аппаратуры, вирусами, хакерами, которые могут поставить под угрозу безопасность самой машины.

Сферы применения

Высокопроизводительные карты-идентификаторы, эквивалентные 200-мегагерцевым процессорам Pentium, лучше всего использовать в тех случаях, когда передается большой объем информации - многомегабайтные сообщения или документы, характерные для юридических и инженерных приложений или приложений управления финансовой деятельностью. Они хороши для серверных систем, в которых генерируются сертификаты или выполняется много сеансов обработки зашифрованных данных.

Менее мощные идентификаторы - аналогичные процессорам Intel 486/100 МГц - лучше подходят для приложений, в которых сообщения передаются реже или они короче (электронная почта, транзакции купли-продажи и дискретные запросы к базе данных).

Процессор, расположенный на плате идентификатора, генерирует пары открытых и закрытых ключей, выполняет операции шифрования, дешифрования и проверки подлинности, а также ставит цифровую подпись. Процессору помогает энергонезависимая оперативная флэш-память PROM емкостью от 8 до 16 Мбайт, в которой хранится криптографическая информация идентификатора.

Вторая подсистема памяти (обычно статическая оперативная память емкостью 256 Кбайт) не является энергонезависимой, поэтому вся хранимая в ней информация стирается, когда пользователь выходит из сеанса работы с системой или делает перерыв, а также в том случае, когда карта-идентификатор вынимается из компьютера или завершается транзакция.

Противоугонные средства

Карты-идентификаторы выпускаются в "противоугонном" корпусе, который нельзя вскрыть, не повредив сам корпус и его компоненты. К тому же вся информация, постоянно хранимая в идентификаторе, находится в зашифрованном виде, поэтому, если злоумышленник доберется до "начинки" идентификатора, информация останется в безопасности.

Пользователь может вынуть карту-идентификатор из одного компьютера, унести с собой и использовать на любой другой машине. Карта-идентификатор предусматривает ввод пользователем своего личного идентификационного номера (PIN-кода), поэтому в случае утраты или кражи идентификатора использовать его будет невозможно. Он запрограммирован на отключение после ограниченного числа попыток ввода неверного пароля.

Карты-идентификаторы, соответствующие широко распространенным стандартам шифрования, таким как PKCS11 компании RSA Data Security, могут работать как с программными средствами шифрования (наподобие тех, которые применяются в браузерах), так и с устройствами защиты информации, скажем с идентификаторами иных типов, смарт-картами, смарт-дискетами и другими устройствами, выполненными в виде РС Card, в среде любой операционной системы.

Функции карт-идентификаторов, в которых шифрование осуществляется на аппаратном уровне - генерация защитного ключа в самой карте, хранение ключа, криптографическая обработка, интегрированные стандарты и средства физической защиты, - делают их жизнеспособной альтернативой средствам защиты на основе смарт-карт.

Защита электронной почты средствами шифрования с открытым ключом, авторизация на основе сертификатов, обеспечение безопасности частных виртуальных сетей и выполнение электронных транзакций по Internet - все эти задачи карты-идентификаторы выполняют с более высокой скоростью, обеспечивая более высокий уровень безопасности.


Стивен Бейкер - президент компании Chrysalis-ITS, которая выпускает средства криптографической защиты. Ему можно написать по адресу: sbaker@chrysalis-its.com.