CC BY
70
УДК 004.056.53
ТЕХНОЛОГИЯ ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ «ЭЛЕКТРОННЫЙ КЛЮЧ».
К. С. Цыцура, А. И. Потоловский
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: sahpot@mail.ru
Производится описание метода защиты «Электронный ключ». А также приводятся данные, дающие понимание ценовой политики, на российском рынке аппаратной защиты.
Ключевые слова: электронный ключ, аппаратные методы защиты, информация, программное обеспечение, взлом, несанкционированный доступ.
TECHNOLOGY PROTECTION AGAINST UNAUTHORIZED USE OF THE SOFTWARE «ELECTRONIC KEY».
K. S. Tsitsura, A. I. Potolovskii
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: sahpot@mail.ru
The article made the description of the defense of «electronic key» method. And also provides data, giving an understanding of the pricing policy, the Russian market of hardware protection.
Keywords: electronic key, hardware protection methods, information, software, breaking, unauthorized access.
Электронный ключ (также аппаратный ключ (АК)) - аппаратное средство, предназначенное для защиты программного обеспечения (ПО) и данных от копирования, нелегального использования и несанкционированного распространения [1].
АК могут иметь различные форм-факторы и интерфейсы подсоединения к компьютеру, в последнее время чаще всего используется порт ^В. Существуют специальные ключи, способные осуществлять лицензирования защищенного приложения по сети. В этом случае достаточно одного АК на всю локальную сеть. Ключ устанавливается на любой рабочей станции или сервере. Защищенные приложения обращаются к ключу по локальной сети.
ЭК работают по следующему принципу. Ключ подсоединяется к определенному интерфейсу компьютера. При запуске защищенная программа через специальный драйвер отправляет ему информацию, которая обрабатывается в соответствии с заданным алгоритмом и возвращается обратно. Если ответ ключа правильный, то программа продолжает свою работу. В противном случае она может выполнять определенные действия, заданные разработчиком, например, перейти в демонстрационный режим, тем самым блокируя доступ к определенным функциям или данным. Подавляющее большинство разработчиков программного обеспечения используют различные программные модули (ПМ), которые контролируют доступ пользователей с помощью ключей активации, серийных номеров и т. д. Подобная защита является дешевым решением и не может претендовать на надежность.
ЭК относится к аппаратным методам защиты ПО, но стоит заметить, что современные электронные ключи часто определяются как мультиплатформенные аппаратно-программные инструментальные системы для защиты ПО. Это происходит потому, что помимо самого ключа компании, выпускающие электронные ключи предоставляют SDK (Software Developer Kit - комплект разработчика ПО). В SDK входит все необходимое для начала использования представляемой технологии в собственных программных продуктах - средства разработки, полная техническая документация, поддерж-
Секция «Программные средства и информационные технологии»
ка различных операционных систем, детальные примеры, фрагменты кода, инструменты для автоматической защиты [2].
Технология защиты от несанкционированного использования ПО построена на реализации запросов из исполняемого файла или динамической библиотеки к ключу с последующим получением и, если предусмотрено, анализом ответа. Помимо защиты ПО от нелегального использования такой подход позволяет защитить используемый в программе алгоритм от изучения, клонирования и использования в своих приложениях конкурентами.
На российском рынке существует множество компаний занимающихся производством электронных ключей. Одну из первых позиций занимает компания «Актив». Основными проектами компании являются: Guardant (защита программного обеспечения от нелегального копирования, основанная на электронных ключах) и ruToken (персональные устройства доступа к информационным ресурсам выполненные в виде USB-брелоков и предназначенные для аутентификации и защиты информации).
Так же на рынке можно встретить продукцию известной компании Aladdin. Основными её проектами являются [5]:
- HASP - это аппаратно-программная инструментальная система, предназначенная для защиты программ и данных от нелегального использования;
- Hardlock - это ЭК, механизм работы ключей Hardlock базируется на заказном ASIC-чипе со встроенной EEPROM-памятью;
- eToken - это полнофункциональный аналог смарт-карты, он напрямую подключается к компьютеру через USB-порт и не требует наличия дорогостоящих карт-ридеров и других дополнительных устройств;
- Secret Disk - если объем конфиденциальной информации довольно значителен. Принцип защиты данных заключается в создании на компьютере пользователя защищенного ресурса - секретных дисков, предназначенных для безопасного хранения конфиденциальной информации.
Наибольшей популярностью, среди ЭК, пользуются продукты компании «Актив», поэтому в качестве примера для дальнейшего рассмотрения была выбрана продукция этой компании.
Электронный идентификатор ruToken - персональное устройство доступа к информационным ресурсам, полнофункциональный аналог смарт-карты, выполненный в виде USB-брелока. Идентификатор предназначен для безопасного хранения и использования паролей, цифровых сертификатов, ключей шифрования и электронных цифровых подписей (ЭЦП). USB-токены ruToken широко применяются в системах защищенного документооборота, электронных платежей, в системах предоставления отчетности в государственные органы и в системах клиент-банк. ruToken служит для строгой двухфакторной аутентификации, защиты электронной переписки, установления защищенных соединений (VPN, SSL), проведения финансовых транзакций и криптографической защиты информации, защита электронной почты (ЭЦП, шифрование), защита компьютера; контроль доступа к компьютеру, поддержка любого числа пользователей (владельцев ruToken) на одном компьютере; безопасное хранение в одном устройстве большого количества данных: файлов, ключей шифрования, цифровых сертификатов [2].
Способ создания электронно-цифровой подписи с помощью Microsoft Crypto API. ruToken будет использован в качестве хранилища ключевой пары RSA. Программа для создания ЭЦП будет использовать ruToken как хранилище открытого и закрытого ключей (см. рисунок).
Схема выполнения алгоритма
Сначала необходимо сгенерировать ключи RSA на ruToken, при этом создастся файл для хранения ID ruToken, для проверки, кому принадлежит цифровая подпись. Также в процессе выполнении программа должна проверять, вставлен ли ruToken. Для подписи файла программа будет вычислять его хеш и подписывать его. Преимущество подписи хеш файла в том, что малейшее изменение содержимого файла приведет к получению совсем другого, не похоже на предыдущий хеш. Поэтому будет легко заменить, изменялся ли файл после подписи. Для получения хеш файла используется метод MD5, для подписи - RSA, ключи размером 1024 бит. В программе будет использован способ создания электронно-цифровой подписи с помощью Microsoft Crypto API.
1. На данном этапе происходит добавление файла в программу. Это можно сделать двумя способами: с помощью пункта меню Файл - Открыть или просто перетащить нужный файл на форму программы. При этом, если файл был подписан, то программа покажет информацию о нем. Такую как хеш, который был до подписи, время создания подписи, время последнего изменения файла и путь к файлу.
2. Программа проверит, есть ли подпись у файла. Если нет, то начнется вычисление хеш файла, создания подписи закрытым ключом, который хранится в памяти ruToken. Если же подпись уже есть, то программа считает присланный вместе с подписью открытый ключ и с помощью специальных функций СгурtoАрi проверит подпись.
3. На этом этапе происходит проверка ruToken и считывание закрытого/открытого ключа.
4. Происходит вывод результата. Если осуществлялась операция создания электронно-цифровой подписи, то программа выведет: Успешно/ Не успешно.
Смело можно сказать, что технология защиты «Электронный ключ», и в частности ЭЦП, на данных момент могут предоставить наибольший уровень защиты, по сравнению с другими технологиями. К тому же эта технология, доставляет пользователю минимум неудобств, и обладает низкой стоимостью.
Библиографические ссылки
1. Скляров Д. В. Аппаратные ключи защиты // Искусство защиты и взлома информации. СПб. : БХВ-Петербург, 2010.
2. Идентификаторы Рутокен [Электронный ресурс]. URL: http://www.ruToken.ru ; Научная библиотека КиберЛенинка: http://cyberleninka.ru/article/n/zaschita-programmnogo-obespecheniya-s-pomoschyu-elektronnyh-klyuchey#ixzz43YjbtSyT (дата обращения: 03.04.2016).
3. Платонов В. В. Программно-аппаратные средства защиты информации. М. : Академия, 2013.
336 с.
4. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. СПб. : Наука и Техника, 2009. 384 с.
5. Аладдин Р. Д. [Электронный ресурс]. URL: http://www.aladdin- rd.ru/company/pressroom/ articles/14009/ (дата обращения: 03.04.2016).
© Цыцура К. С., Потоловский А. И., 2016
