РУС

30.05.19 19:03 802 0

Ірина Артишук експерт із захисту персональних даних, компанія "АВТОР" 5

Редакция Цензор.НЕТ может не разделять позицию авторов. Ответственность за материалы в разделе "Блоги" несут авторы текстов.

USB-флешка VS захищений носій: що надійніше?

У суспільстві тривають дискусії щодо новацій в законодавстві, які зобов’язують всіх власників особистого ключакваліфікованого електронного підпису зберігати його на захищеному носії. Раніше, згідно з законодавством, ми мали можливість зберігати особистий ключ кваліфікованого підпису на звичайній флешці. Власне, такий підхід неодноразово отримував щедру порцію критики від спеціалістів з кібербезпеки. Тепер цю прогалину в законодавстві виправили. Закономірно, що останні зміни законодавства багато у кого викликали обурення. Та це, передусім, через брак інформації.

Отже, чому важливо зберігати кваліфікований підпис на захищеному носію? Аргумент дуже простий - безпека. Варто звернути увагу на те, що кваліфікований електронний підпис має таку ж юридичну силу, як і власноручний підпис, на паперовому документі та має презумпцію його відповідності власноручному підпису. Використання захищеного носія гарантує, що ніхто крім вас не зможе його використати. А зважаючи на постійне зростання кіберзлочинності, у разі використання звичайної флешки, така гарантія повністю відсутня.

Незважаючи на схожість зовнішнього вигляду захищеного носія та звичайної флешки, вони мають багато відмінностей. Зокрема, захищений носій побудований на базі смарт-чіпу або мікроконтролера, має власну, захищену операційну систему та додатковий ступінь захисту у вигляді пін-коду. Тепер про все по-порядку.

Зазвичай захищені носії побудовані на базі смарт-чіпів провідних світових виробників, таких як NXP Semiconductors та Infineon. За рівнем захисту смарт-чіпи відповідають вимогам міжнародного стандарту Common Criteria. Надійний захист забезпечується рівнем відповідності EAL5 або вище. Для розуміння, такий рівень захисту використовується у військових винищувачах ВПС США та космічних апаратах NASA (Integrity-178B - військова комп’ютерна операційна система з рівнем захисту Common Criteria EAL6+).

Існують також захищені носії, які побудовані на базі мікроконтролерів. Однак, оскільки мікроконтролери піддаються взлому, то такі захищені носії мають значно слабший рівень захисту та нижчу швидкість роботи в порівнянні з носіями на базі смарт-чіпів.

Ще одним рівнем захисту захищеного носія є власна операційна система. Вона управляє передачею даних, розподілом пам'яті, обробкою інформації та надає можливість безпечного функціонування всіх додатків операційної системи. Гарантований рівень безпеки операційної системи реалізується завдяки суворому розподілу ядра системи і різних застосувань, які, у свою чергу, працюють незалежно один від одного, маючи персональні механізми захисту.

Яка ж основна перевага захищеного носія? Завдяки поєднанню технологій використання смарт-чіпів та власної операційної системи усі криптографічні перетворення (накладання електронного підпису, шифрування документів, генерація особистих ключів тощо) виконуються безпосередньо всередині захищеного носія. Ваш особистий ключ електронного підпису ніколи не потрапляє за його межі. У випадку ж використання звичайної флешки, ризик викрадення особистого ключа надзвичайно високий. З цією завданням впорається навіть посередній хакер, адже USB-флешка не призначена для зберігання такої важливої інформації. У ній банально відсутні необхідні механізми захисту інформації. Для розуміння, фактично захищений носій можна вважати справжнім цифровим сейфом для зберігання особистого ключа кваліфікованого електронного підпису.

Окрім цього, захищений носій додатково захищений ПІН-кодом доступу до особистого ключа. Чим же він відрізняється від звичайного паролю доступу до файла, який можна налаштувати і на USB-флешці? Передусім, наявність пін-коду - це апаратна особливість захищеного ключа. Тобто пін-код встановлений не програмним чином, який можна обійти за допомогою вірусу, а саме на апаратному рівні. У разі декількох невдалих спроб входу, захищений носій просто блокується, при цьому унеможливлюється будь-який доступ до особистого ключа. Розблокування захищеного носія можливо здійснити лише шляхом його форматування, при якому особистий ключ буде знищено назавжди.

Таким чином, вимога законодавства зберігати особисті ключі кваліфікованого електронного підпису, на захищених носіях, безумовно правильна. Тепер і ви розумієте чому.