Защита мастер-ключей зашифрованных дисков

В начале процесса зашифрования или перешифрования диска пользователь Secret Disk 4 должен выбрать алгоритм шифрования диска. При выборе алгоритма шифрования указывается поставщик криптографии, реализующий этот алгоритм.

После выбора алгоритма шифрования поставщик криптографии генерирует мастер-ключ зашифрованного диска. Для каждого пользователя Secret Disk 4 сгенерированный мастер-ключ зашифрованного диска зашифровывается с применением открытого ключа соответствующего сертификата и сохраняется в зашифрованном виде на системном диске в хранилище Secret Disk. Содержимое диска шифруется посекторно с использованием выбранного алгоритма шифрования и сгенерированного мастер-ключа зашифрованного диска.

Для того чтобы открыть доступ к данным на зашифрованном диске, пользователь Secret Disk 4 должен подключить диск. Для этого хранящийся в памяти eToken закрытый ключ (доступ к которому возможен только после ввода PIN-кода) используется для расшифрования находящейся в хранилище Secret Disk копии мастер-ключа зашифрованного диска, относящейся к данному пользователю. Расшифрованный таким образом мастер-ключ зашифрованного диска загружается в драйвер Secret Disk 4 или передаeтся под управление используемого поставщика службы криптографии (CSP). При чтении данных с зашифрованного диска происходит их расшифрование с помощью мастер-ключа зашифрованного диска, а при записи на диск — зашифрование с помощью того же ключа. Находящиеся на зашифрованном диске данные всегда зашифрованы.

Схема проверки действительности сертификатов

В Secret Disk 4 реализована схема проверки действительности сертификатов, с помощью которой администратор может управлять двумя параметрами проверки:

- включением/выключением проверки срока действия сертификата;

- включением/выключением проверки доверия.

Для удобства домашних пользователей по умолчанию действительность сертификатов не проверяется. Поэтому при корпоративном использовании при подготовке компьютера пользователя администратору следует включить нужные проверки.

Проверка действительности сертификата в соответствии с настроенными параметрами осуществляется при каждом открытии сеанса пользователя.

Поддержка криптопровайдеров

В Secret Disk 4 применяются установленные в операционной системе поставщики криптографии.

В качестве поставщика криптографии для шифрования дисков по алгоритму, соответствующему ГОСТ 28147-89, Secret Disk может использовать российские криптографические средства (СКЗИ):

- КриптоПро CSP;

- Signal-COM CSP;

- Infotecs CSP.

Для поддержки данных СКЗИ необходимо установить пакет модулей сопряжения Secret Disk.

При применении Secret Disk 4 без дополнительных российских СКЗИ по умолчанию будет использоваться поставщик криптографии в составе Microsoft Windows.

Модели eToken

Secret Disk 4 поддерживает следующие модели eToken:

- eToken PRO 32KБ/64KБ — электронный ключ eToken PRO c объемом памяти 32KБ/64KБ в форм-факторе USB-ключа;

- eToken PRO Smartcard — электронный ключ eToken PRO c объемом памяти 32KБ в форм-факторе смарт-карты;

- Token NG-OTP — электронный ключ eToken PRO с объемом памяти 32KБ/64KБ, со встроенным генератором одноразовых паролей (OTP, One Time Password), кнопкой для их генерации и ЖК-дисплеем для их отображения; выпускается в форм-факторе комбинированного USB-ключа;

- eToken NG-FLASH — электронный ключ eToken PRO с объемом памяти 64KБ, со встроенным модулем флеш-памяти объёмом 128, 256, 512, 1024, 2048 и 4096МБ; выпускается в форм-факторе комбинированного USB-ключа;

- eToken PRO (Java) — новое поколение eToken (в форм-факторе USB-ключа и смарт-карты) на платформе Java Card c объемом памяти 72КБ; выпускается в форм-факторе USB-ключа и смарт-карты.

Для функционирования этих моделей необходимо, чтобы на компьютере был установлен набор драйверов eToken PKI Client (далее PKI Client) версии не ниже 4.55 или eToken Run Time Environment (далее eToken RTE) версии 3.66. Далее в документации для обозначения всех моделей электронных ключей будет использовано слово eToken.

Требования к PIN-коду

Длина PIN-кода не должна превышать 64 символов. Он может содержать символы латиницы и кириллицы, специальные и цифровые символы.

Поиск по сайту: