Журнал "Information Security/ Информационная безопасность" #6, 2023

Взаимодействующие в составе объектов КИИ тех- нические средства не только сами по себе разнообразны, но и располагаться могут весьма нетривиальным для обычных информационных систем образом: не только на стационарных, но и на мобильных и даже подвиж- ных объектах, а если и на стационарных, то где-нибудь внутри трубы на дне моря. В этих обстоятельствах задача отчуждения ключей (а также подключения токе- на или иного участия поль- зователя в старте СКЗИ) становится совершенно нереалистичной. В тех же случаях, когда физический доступ к месту подключения токена возмо- жен, возникает другая зада- ча – этот физический доступ исключить, чтобы избежать компрометации ключей. Подмена ключевой информации или даже про- сто ее утрата – это крайне нежелательные для КИИ сценарии, так как они нару- шают ее функционирование. Тем не менее среди токенов есть такие, в которых реализо- вана (так или иначе) функция "неизвлекаемый ключ". Здесь не будем останавливаться на том, что не все эти реализации одинаковы, что дает почву для многочисленных разоблачи- тельных статей в Интернете о том, как тот или иной специа- лист извлек "неизвлекаемое" и скопировал "некопируемое". Это крайне важно, но не в кон- тексте КИИ, так как в КИИ задача работы с ключом вообще крайне редко связана с ключами пользователя. А зна- чит, отчуждаемость ключевого носителя в них не требуется. Всегда ли отчуждаемость одинаково полезна? Обмениваются по сети разно- образными данными и сигналами технические средства объектов КИИ. Как правило, у этих техни- ческих средств совсем нет поль- зователей (но есть, например, администраторы, администрато- ры нештатного режима или ана- логичные). Более того, взаимо- действующие в составе объектов КИИ технические средства не только сами по себе разнооб- разны, но и располагаться могут весьма нетривиальным для обыч- ных информационных систем образом: не только на стацио- нарных, но и на мобильных и даже подвижных объектах, а если и на стационарных, то где-нибудь внутри трубы на дне моря. В этих обстоятельствах задача отчуждения ключей (а также подключения токена или иного участия пользователя в старте СКЗИ) становится совер- шенно нереалистичной. Очевид- но, что в таких случаях (доступ невозможен) токен должен быть подключен раз и навсегда. В тех же случаях, когда физи- ческий доступ к месту под- ключения токена возможен, воз- никает другая задача – этот физический доступ исключить, чтобы избежать компрометации ключей. Это утверждение звучит на первый взгляд радикально и сомнительно. Однако, по суще- ству, отчуждаемость ключа – если это ключ СВТ, а не поль- зователя – прямо противоречит его неизвлекаемости. Ключ ста- новится извлекаемым – просто целиком, вместе с носителем. Конечно, в определенном смысле, может быть хуже – если ключ на отчуждаемом носителе можно забрать из системы, а затем еще и полу- чить к нему доступ. Однако под- мена ключевой информации или даже просто ее утрата – это крайне нежелательные для КИИ сценарии, так как они нару- шают ее функционирование. Таким образом, при органи- зации криптографической защиты сетевого взаимодей- ствия объектов КИИ отчуждае- мость ключа не только избы- точна, но и вредна: с одной сто- роны, она делает возможными сценарии атак с подменой или иными вариантами компроме- тации ключа за счет отчуждае- мости его носителя, а с дру- гой – подключенное к порту USB-устройство резко снижает надежность решения – при виб- рации, ударах, нагревании и прочих особенностях реаль- ных условий, в которых рабо- тают технические средства на объектах КИИ. Но есть ли другой выход, ведь, читая документы на СКЗИ высоких классов сертификации для защиты канала, мы видим, что "требование неизвлекаемо- сти ключа выполняется приме- нением токена…"? Это добро- совестное выполнение требо- вания, однако токен с неизвле- каемым ключом – это инстру- мент решения совсем другой задачи, существенно отличаю- щейся от защиты сетевого взаи- модействия объектов КИИ. В КИИ ключи связаны с не с пользователями, а с взаимо- действующими техническими средствами – это означает, что не извлекаться они должны из резидентного компонента без- опасности этого технического средства. И в этом же техниче- ском средстве должно испол- няться СКЗИ (иначе оно не смо- жет работать с неизвлекаемым ключом), а значит, должна быть создана и поддерживаться среда функционирования крип- тографии (СФК) для соответ- ствующего класса СКЗИ. И как тогда? Таким образом, выход в том, чтобы модуль работы с неизвле- каемым ключом в СЗИ для КИИ был реализован как часть рези- дентного компонента безопас- ности (РКБ), размещенного непосредственно на плате ком- пьютера, а не как отчуждаемый персональный носитель ключа. Совершенно невозможно рас- сматривать вариант реализации такого РКБ в составе уже суще- ствующего и тем более функ- ционирующего оборудования КИИ. Очевидно, что это должен быть отдельный специализиро- ванный микрокомпьютер, кото- рый, как мы помним из перечня требований в начале, легко и без ущерба для сертификации коммутируется с разнообраз- ным оборудованием. Каждый такой микрокомпьютер будет точкой сбора информа- ционных и/или управляющих сиг- налов от объектов КИИ, их шиф- рования для передачи по каналам связи, а также приема зашифро- ванных сигналов из каналов связи и их расшифровкой. Учитывая, что сигналами обмениваются технические средства, расположенные в стойках ЦОД, локомотивах, бан- коматах, трубопроводах и бес- пилотниках, стартовать СКЗИ должно в автоматическом режи- ме питания, об этом уже упоми- налось выше, но стоит акценти- ровать более выражено. Даже в тех случаях, когда с техническим средством работает человек (например, это не трубопровод, а локомотив) и технически воз- можно провести идентификацию и аутентификацию пользователя и подключить ключевой носи- тель с ключами именно этого пользователя, а не другого – все это совершенно неуместно, так как не отвечает задаче защи- ты сетевого взаимодействия тех- нических средств: именно они, а не пользователи должны быть аутентифицированы защитными механизмами, именно их ключи, а не ключи пользователей долж- ны использоваться для крипто- графических преобразований. Выводы получаются триви- альными, что не снижает их важности; выполнение требо- ваний не должно противоречить здравому смыслу; должно быть не формальным, для галочки, а реальным, по существу, в соответствии с особенностями конкретной системы. А это означает, что использо- вать нужно специальные инстру- менты, предназначенные в дан- ном случае именно для КИИ. Решения для криптографиче- ской защиты сетевого взаимо- действия в КИИ, построенные именно таким образом, суще- ствуют, применяются в реаль- ных КИИ и известны на рынке. А поскольку это статья не рек- ламная – sapienti sat. l • 57 ЗАЩИТА ОКИИ И КОМПЛАЕНС www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru