Autonomní šifrovací klíče

Šifrovací klíče ALCOR-ARCTURUS
Při využívání výpočetní techniky a přenosu dat je často třeba zabezpečit data proti prozrazení a zneužití. K tomu účelu se používají šifrovací metody různých typů a složitostí. Všechny metody však mají společný problém implementace. Jestliže je totiž šifrovací proces realizován procesorem počítače, je možno jej poměrně snadno odhalit - ať už analýzou příslušného programu nebo použitím residentních programů typu "trojský kůň", které šifrovací proces tajně monitorují. Za dostatečně spolehlivý je tedy možno považovat pouze způsob, při němž šifrování provádí speciální procesor, jehož činnost není z vnějšku sledovatelná. Na tomto principu jsou založeny šifrovací karty různých provedení. K jejich instalaci je však třeba demontovat počítač; karta je pak instalována trvale a aktivuje se heslem nebo hardwarovým klíčem, což s sebou nese možnost prozrazení resp. ztráty a dále zvyšuje již tak dosti vysokou cenu celé sestavy.

Pro celou řadu aplikačních oblastí (např. šifrování komunikace s klienty), kde se jedná o poměrně malé objemy dat, lze s výhodou použít externí šifrovací klíče firmy ALCOR. Klíč má vestavěn výkonný mikroprocesorový systém a připojuje se k sériovému rozhraní počítače přes rozbočovací kabel, který umožňuje současné připojení myši i klíče. Vlastní šifrovací algoritmus je rozšířením amerického standardu DES a je rozdělen tak, že výpočetně náročné operace se provádějí v procesoru počítače, zatímco mikroprocesor provádí jednodušší operace méně náročné na toky dat, avšak podstatné z hlediska principu šifrování. Tím je dosaženo vysoké rychlosti při důsledném utajení.

Běžné použití předpokládá, že klíč bude v držení povolané osoby a bude se připojovat pouze na dobu šifrování. Klíč se aktivuje heslem zadávaným z klávesnice a přenášeným do klíče, který sám kontroluje jeho správnost. Mimoto klíč trvale uchovává počet nesprávně zadaných hesel, takže se po určitém počtu pokusů sám zablokuje a jeho další použití je možné pouze po odblokování na speciálním zařízení. Tím je znemožněno zneužití klíče i v případě jeho zcizení nebo ztráty. U dosud nezablokovaného klíče má uživatel možnost po zadání platného hesla nahrát nové heslo a vynulovat čítač nesprávně zadaných hesel.

Při použití jiného šifrovacího programu (jednoduššího algoritmu), se tímtéž klíčem dosáhne podstatně rychlejšího šifrování, ovšem za cenu určitého zvýšení rizika prolomení šifry.

Vyrábíme i verze, u nichž celý šifrovací proces probíhá v šifrátoru. Obslužný SW pouze vysílá do šifrátoru data určená k zašifrování a odebírá zašifrovaná data. Základní verze komunikuje standardním asynchronním způsobem, takže není průchozí pro myš.

Autonomní šifrátory - základní stránka

Autonomní šifrátor RSA - elektronické razítko (podpis)
Elektronické razítko se používá k autentizaci dokumentů, a metoda musí splňovat několik podmínek, z nichž nejpodstatnější jsou ty, aby z algoritmu pro ověření pravosti razítka nebylo možno odvodit algoritmus pro generování razítka, a aby jakákoliv změna v orazítkovaném souboru způsobila neplatnost razítka. Razítko používající šifrovací metodu RSA tyto vlastnosti má. K dosažení maximální bezpečnosti je však třeba zajistit, aby se tajné konstanty nedaly odchytit ani v počítači během výpočtu. To lze provést pouze použitím autonomního šifrátoru.

Elektronické razítko se vyrábí ve stejném provedení jako ostatní šifrovací adaptory firmy ALCOR - celé zařízení je vestavěno v krytu konektoru Canon 25 příp. Canon 9, kterým se také připojuje k sériovému portu počítače. Pracuje zcela samostatně - blok určený k šifrování se odvysílá do šifrátoru a po určité době (standardně 7 vteřin) se zašifrovaná data vyšlou zpět. K dosažení maximální bezpečnosti se doporučuje verze, u níž jsou tajné konstanty v klíči uloženy zašifrované pomocí hesla, takže je pak nelze z klíče extrahovat ani použitím nejmodernější techniky. V tomto případě se nahrávání klíče provádí tím způsobem, že se do něho nejprve odvysílá heslo a potom tajné konstanty v otevřeném tvaru; klíč je sám zašifruje a uloží, takže není znám ani šifrovací algoritmus. Před každým šifrováním se pak samozřejmě musí do klíče nejprve odvysílat platné heslo, které klíč použije k průběžnému dešifrování konstant. Případná změna hesla se provádí analogickým způsobem : do klíče se nejprve odvysílá platné heslo, následuje příkaz ke změně hesla a nové požadované heslo. Procesor šifrátoru pak sám načte tajné konstanty, dešifruje je starým heslem, zašifruje novým heslem a uloží do paměti.

Klíč umožňuje dva druhy komunikace - asynchronní a vzorkovanou. Asynchronní má určitou výhodu v běžně známých a dostupných procedurách pro ovládání sériového portu, nevýhodou je, že ji nelze použít na portu, na němž je instalován ovladač myši. Vzorkovaná komunikace je určena pro případ, kdy je šifrátor připojen paralelně k myši na tomtéž portu. Je rychlejší, avšak vyžaduje častější programovou obsluhu během přenosů. Příslušné procedury jsou k dispozici v programovacích jazycích Pascal a C.

Kromě základních procedur pro komunikaci s klíčem můžeme dodat i kompletní programy pro generování elektronického razítka, hromadné ověřování přítomnosti razítek, využití šifrátoru jako elektronické průkazky (identifikace pověřených osob), programy pro správu klíčů a další aplikace.

Autonomní šifrátory - základní stránka