Засіб криптографічного захисту інформації криптографічний сервіс-провайдер рівня ядра операційної системи windows (“цезаріс-csp”)

Реферат: Засіб криптографічного захисту інформації Криптографічний сервіс-провайдер рівня ядра операційної системи Windows ("ЦЕЗАРІС-CSP") містить блоки управління ідентичністю (ПІНменеджер) та управління контейнерами (Контейнер-менеджер), модуль сервіс-провайдера "ЦЕЗАРІС-CSP" для узгодження зі специфічними вимогами безпеки щодо CSP рівня ядра. UA 70568 U (12) UA 70568 U UA 70568 U 5 10 15 20 25 30 35 40 45 50 55 Корисна модель належить до програмно-апаратних засобів криптографічного захисту інформації (засіб КЗІ) та способів їх використання. Технічний результат полягає в реалізації криптографічного сервіс-провайдера "ЦЕЗАРІС-CSP" рівня ядра операційної системи Windows із застосуванням національних та міждержавних криптографічних алгоритмів (ДСТУ 4145-2002, ГОСТ 34.311-95 та ДСТУ ГОСТ 28147-2009) і підтримкою стандарту PKCS#11 для взаємодії з захищеними носіями та виконання криптографічних операцій: шифрування, формування/перевірки цифрового підпису, контролю цілісності даних, обчислення геш-функції, генерації ключової інформації та інше. PKCS#11 - стандарт криптографії з відкритими ключами (англ. Public Key Cryptography Standards) є стандартом інтерфейсу взаємодії програм з апаратними модулями безпеки HSM (англ. Hardware Security Module), криптографічними СХВтокенами, смарт-картами, файловими токенами та іншими аналогічними криптографічними засобами за допомогою уніфікованого інтерфейсу. Реалізація стандарту PKCS#11 дозволяє забезпечити інтероперабельність криптографічних модулів. Криптографічний сервіс-провайдер рівня ядра операційної системи (ОС) Microsoft Windows "ЦЕЗАРІС-CSP" дозволяє використовувати національні та міждержавні криптографічні алгоритми у ОС Microsoft Windows через стандартизований програмний інтерфейс MS CryptoAPI. Криптографічне програмне забезпечення (ПЗ) з реалізацією будь-яких криптографічних алгоритмів, яке не є ПЗ рівня ядра ОС, функціонує лише у просторі (на рівні) застосувань ОС (application space). Воно не може працювати в просторі ядра ОС. Особливістю простору ядра будь-якої ОС є наявність шару ОС на рівні драйверів системи, де розташовані, наприклад, контролер дисковода, драйвери принтерів тощо, який, по суті, є невидимим для користувача. Для того, щоб дозволити криптографічні операції в прикладних застосуваннях з подібним криптографічним ПЗ (не рівня ядра), необхідно забезпечити фактичну присутність цього ПЗ (взаємодію з ПЗ) в кожному з просторів застосувань. Але такий підхід не забезпечує безпеку криптографічного ПЗ. Важливо зазначити, що реалізація криптографічного ПЗ у формі криптографічного сервіспровайдера рівня ядра дозволяє контролювати на рівні ОС безпеку (цілісність та справжність) криптографічного ПЗ при його використанні і під час його завантаження в ядро ОС шляхом перевірки підпису криптографічного сервіс-провайдера, що зводить до мінімуму можливості несанкціонованого завантаження в ядро та можливості вторгнення несанкціонованих або небажаних програм та пристроїв до криптографічних операцій. На сучасному етапі у відомих засобах КЗІ, у тому числі, і в криптографічних сервіспровайдерах рівня ядра, для виконання криптографічних перетворень застосовують переважно міжнародні криптографічні алгоритми (механізми), такі як DES, 3DES, AES, RSA, ECDSA та інші. Однак актуальною задачею для України є необхідність виробництва засобів КЗІ з реалізацією національних та міждержавних криптографічних алгоритмів у відповідності до діючих стандартів, а саме ДСТУ 4145-2002, ГОСТ 34.311-95 та ДСТУ ГОСТ 28147-2009. При цьому засіб КЗІ набуває нової функціональності та області застосування за рахунок доповнення реалізації національних та міждержавних криптографічних алгоритмів. Застосування корисної моделі для виробництва нового покоління криптографічних засобів КЗІ дозволить забезпечити створення нових засобів КЗІ рівня ядра операційної системи Windows з реалізацією національних та міждержавних криптографічних алгоритмів та використовувати ці засоби КЗІ для різних застосувань і сервісів, а саме: для автентифікації, забезпечення контролю цілісності та конфіденційності інформації шляхом накладання/перевірки електронного цифрового підпису та зашифровування/розшифровування у системах захищеного електронного документообігу, для організації безпечної взаємодії з web-сервісами, серверами електронної пошти, акредитованими центрами сертифікації/ засвідчувальними центрами тощо. Таким чином, зазначені засоби КЗІ рівня ядра операційної системи Windows можуть застосовуватися в Україні, де використовуються як традиційні міжнародні криптографічні алгоритми, так інаціональні та міждержавні криптографічні алгоритми. У викладеній патентній заявці США 0005101 [1] описується система, що має блок перевірки підпису модуля ядра (kernel module signature verification unit) та спосіб його використання. Цей модуль автоматично контролює шлях підпису та отримує інформацію про підпис, яка надається кожним модулем при намаганні завантаження у ядро. Відомості про підпис, що одержують зі шляху модуля ядра, добуваються за допомогою криптографічної інфраструктури ядра (kernel cryptographic framework) для перевірки відомостей про підпис, наданих службою (daemon) криптографічної інфраструктури ядра, коли той же модуль ядра намагається зареєструвати процедури та механізми у криптографічній інфраструктурі ядра. Застосовується лише у Unixсистемах. 1 UA 70568 U 5 10 15 20 25 30 35 40 45 50 55 60 Недоліком є те, що криптографічне програмне забезпечення може працювати лише у просторі (на рівні) застосувань операційної системи Unix і не може функціонувати у просторі ядра операційної системи Windows. У патенті США 6412069 [2] розглядається криптографічна служба у вигляді програмного забезпечення, яке розташовується на жорсткому або гнучкому диску та зв'язано зі стандартною операційною системою комп'ютера. Операційна система має простір застосувань та простір ядра. ПЗ криптографічних служб виконує криптографічні операції у просторі ядра операційної системи. Це ПЗ включає в себе програмний інтерфейс рівня застосувань простору ядра та модуль криптографічних служб, що має бібліотеку криптографічних алгоритмів. Недоліком є те, що ця бібліотека містить лише міжнародні криптографічні алгоритми, тому не може бути застосована для криптографічних перетворень національних та міждержавних криптографічних алгоритмів (наприклад, для ДСТУ 4145-2002). Найбільш близьким за технічною суттю до корисної моделі є патент США 7200756 [3], у якому описується криптографічний сервіс-провайдер (CSP) рівня ядра операційної системи Windows та спосіб його застосування з різними типами портативних пристроїв, таких як смарткарти. Пристрій містить логіку інтерфейсу (interface logic), яка настроюється для роботи як з логікою підтримки криптографії (cryptography support logic), так і з логікою забезпечення криптографії (cryptography providing logic). Пристрій містить модуль базовий CSP, який включає блоки: управління ідентичністю (PIN-manager), управління файлами (File-manager), управління контейнерами (Container-manager), управління криптографічними функціями (Crypto-manager) та управління програмними інтерфейсами (Management API). Блок Management API призначений для забезпечення підтримки нових смарт-карт з базовим CSP та програмним інтерфейсом CryptoAPI Microsoft Windows для зовнішніх програмних застосувань. Логіка інтерфейсу надає принаймні одну функцію управління для логіки забезпечення криптографії. Програмна архітектура базового CSP призначена для виконання тільки міжнародних криптографічних алгоритмів у блоці Crypto-manager, тому це рішення не може бути безпосередньо застосовано для реалізації національних та міждержавних криптографічних алгоритмів, таких як ДСТУ 4145-2002 та інші. Задачею корисної моделі є реалізація національного криптографічного алгоритму України ДСТУ 4145-2002 і інших національних та міждержавних криптографічних алгоритмів, з можливою підтримкою стандарту PKCS#11 як інтерфейсу взаємодії із зовнішніми програмними застосуваннями та різними типами криптографічних пристроїв/носіїв. Це здійснюється шляхом організації у криптографічному сервіс-провайдері "ЦЕЗАРІС-CSP" певної взаємодії між функціональними модулями, що взаємодіють на рівні ядра операційної системи та зв'язані за допомогою розроблених інтерфейсів із зовнішніми програмними застосуваннями та різними типами криптографічних пристроїв/носіїв. Поставлена задача вирішується тим, що у засіб криптографічного захисту інформації Криптографічний сервіс-провайдер рівня ядра операційної системи Windows ("ЦЕЗАРІС-CSP"), який містить блоки управління ідентичністю (PIN-manager) та управління контейнерами (Container-manager), згідно з корисною моделлю, введено модуль сервіс-провайдера "ЦЕЗАРІСCSP" з блоком системних викликів, модулем інтерфейсу PKCS#11 та значно розширено функціональність блока управління криптографічними функціями (Crypto-manager) за рахунок програмної чи апаратної реалізації національних та міждержавних криптографічних алгоритмів. У криптографічному сервіс-провайдері "ЦЕЗАРІС-CSP" використовуються системні виклики для взаємодії з операційною системою Windows, в тому числі, для узгодження із специфічними вимогами безпеки щодо CSP рівня ядра, та за допомогою розроблених стандартизованих інтерфейсів виконується взаємодія із зовнішніми програмними застосуваннями і різними типами криптографічних носіїв та пристроїв. Введення в засіб КЗІ модуля сервіс-провайдера "ЦЕЗАРІС-CSP" з блоком системних викликів та модулем інтерфейсу PKCS#11 вигідно відрізняє запропонований засіб від прототипу, оскільки у прототипі здійснюється реалізація лише міжнародних криптографічних алгоритмів та взаємодія лише з певними типами криптографічних носіїв, таких як смарт-карти. У запропонованому засобі КЗІ в процесі взаємодії функціональних модулів, що працюють на рівні ядра операційної системи Windows, використовуються системні виклики, основні з яких: I_CryptGetDefaultCryptProv, CryptMsgOpenToEncode, CryptMsgControl, CryptMsgUpdate, VirtualProtect та інші. Ці модулі зв'язані за допомогою розроблених інтерфейсів із зовнішніми програмними застосуваннями і різними типами криптографічних пристроїв/носіїв (USBтокенами, смарт-картами, апаратними модулями безпеки HSM, файловими токенами тощо). Пристрій КЗІ забезпечує виконання криптографічних перетворень за національними та міждержавними криптографічними алгоритмами. 2 UA 70568 U 5 10 15 20 25 30 35 На кресленні зображено структурну блок-схему засобу криптографічного захисту Інформації Криптографічний сервіс-провайдер рівня ядра операційної системи Windows ("ЦЕЗАРІС-CSP"). Засіб криптографічного захисту інформації Криптографічний сервіс-провайдер ("ЦЕЗАРІСCSP") містить модуль сервіс-провайдера "ЦЕЗАРІС-CSP", у складі якого є: менеджер CSP (МКСП), ПІН-менеджер (англ. Pin-Manager) (ПМ), Контейнер-менеджер (англ. ContainerManager) (KM), Крипто-менеджер (англ. Crypto-Manager) (KPM), блок генератора випадкових чисел RNG (англ. random number generator) (ГВЧ), блок геш-функцій (Г), блок шифрування (Ш), блок алгоритмів цифрового підпису (АЦП) та інших алгоритмів, блок системних викликів (БСВ) та модуль інтерфейсу PKCS#11. Цей модуль інтерфейсу може бути реалізовано відповідно до стандарту PKCS#11 чи у інший спосіб. Засіб КЗІ працює наступним чином. Блок зовнішніх застосувань (ЗЗ) через стандартний програмний інтерфейс модуля CryptoAPI операційної системи Microsoft Windows передає запит на обробку даних у пристрої КЗІ до менеджера CSP, що виконує розпізнавання запиту операцій з даними за певним криптографічним алгоритмом (механізмом). Блок ПМ застосовується у процесі автентифікації користувачів для забезпечення доступу до криптографічних алгоритмів, носіїв та пристроїв, що використовуються при виконанні криптографічних перетворень. Блок KM призначений забезпечити доступ до вмісту контейнерів, які можуть містити один або більше об'єктів. Модуль КРМ має відповідні блоки криптографічних функцій та алгоритмів: блок генератора випадкових чисел ГВЧ, блок геш-функцій Г, блок шифрування Ш, блок алгоритмів цифрового підпису АЦП та інших алгоритмів. Криптографічні функції та алгоритми модулю КРМ можуть бути реалізовані також у (в межах) криптографічних пристроїв - в апаратних модулях безпеки HSM, USB-токенах, смарт-картах. Блок системних викликів БСВ містить функції, що зазначені на кресленні, основними з яких є I_CryptGetDefaultCryptProv, CryptMsgOpenToEncode, CryptMsgControl, CryptMsgUpdate, VirtualProtect та інші. Блок БСВ призначений для забезпечення взаємодії криптосервіспровайдера "ЦЕЗАРІС-CSP" рівня ядра з операційною системою Windows, у тому числі, для узгодження із специфічними вимогами безпеки щодо CSP рівня ядра. За допомогою модуля інтерфейсу PKCS#11 здійснюється взаємодія засобу КЗІ з різними типами криптографічних пристроїв: апаратними модулями безпеки HSM, USB-токенами, смарткартами, файловими токенами та іншими аналогічними криптографічними пристроями. Після здійснення необхідних криптографічних перетворень, результат виконання операції повертається до блока ЗЗ. Джерела інформації: 1. Заявка на винахід США № 0005101, МПК H04L9/00, 2005. 2. Патент США № 6412069, МПК H04L9/00, 2002. 3. Патент США № 7200756, МПК G06F21/00, 2007. 40 ФОРМУЛА КОРИСНОЇ МОДЕЛІ 45 50 Засіб криптографічного захисту інформації Криптографічний сервіс-провайдер рівня ядра операційної системи Windows ("ЦЕЗАРІС-CSP"), що містить блоки управління ідентичністю (ПІН-менеджер) та управління контейнерами (Контейнер-менеджер), який відрізняється тим, що введено модуль сервіс-провайдера "ЦЕЗАРІС-CSP" для узгодження зі специфічними вимогами безпеки щодо CSP рівня ядра, що містить менеджер CSP, модуль інтерфейсу PKCS#11, який може бути реалізовано відповідно до стандарту PKCS#11 або у інший спосіб, та Крипто-менеджер з програмною та/або апаратною реалізацією національних та міждержавних криптографічних алгоритмів і використовує системні виклики для взаємодії з операційною системою Windows на рівні ядра та за допомогою розроблених стандартизованих інтерфейсів взаємодіє із зовнішніми програмними застосуваннями та різними типами криптографічних носіїв або пристроїв. 3 UA 70568 U Комп’ютерна верстка Л. Ціхановська Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 4