Digital Guardian Key_P1：歴史と最初の結果

最近、情報漏洩の定期的な報告があります。
この記事では、情報セキュリティの分野でデバイスを作成した経験を共有したいと思いました。

1.作成の歴史

2013年の終わりに、Multicletは、国内のプロセッサだけでなく、シリアルデバイスの開発と製造についてのアイデアを紹介しました。 彼らは、通常のPC向けの巨大なパフォーマンスを備えたアクセラレータボードと、情報を保護するデバイスを作成するというアイデアを検討しました。 同社は非公開であり、その時点ではアクセラレーターに多額の資金を集めることができなかったため、情報を保護するためのデバイスの製造から始めることにしました。
Multiclet P1プロセッサでGOST89アルゴリズムをテストした後、情報を保護するデバイスを作成するというアイデアが生まれました。 暗号化アルゴリズムは非常によく並列化され、マルチセルラーアーキテクチャに適していることが判明しました。



図1.身体の最初の画像

問題の声明

参照条件の根底にある予備的な考慮事項は次のとおりです。
-ハードウェアと比較してセキュリティが低いソフトウェアの欠点。
-暗号化フラッシュドライブの場合、欠点は機能が制限されることです。
したがって、ソフトウェアの柔軟性と汎用性、および新しい脅威（BadUSBなど）への回答と、企業の階層情報セキュリティシステムを作成する可能性を備えたデバイスを作成することが決定されました。 いつものように、私は「オールインワン」が欲しかった。
2014年初頭、デバッグボードからデバイスを開発するための大きなレイアウトが作成されました。
同時に、デバイスの技術仕様が調整されました。 体の最初のスケッチを図に示します。 1。

おおよその作業スケジュールは、8月の開発の終わりに開発されました。 同時に発生する可能性のあるタスクは、リソースに応じて並列化されました。 その後、プロトタイプボードとソフトウェアの開発を開始しました。 同時に、情報セキュリティの専門家をチームに受け入れる必要がありました。

次のステップは、キックスターターでプロジェクトを開始する試みでしたが、必要な資金を調達できませんでした。 おそらく、その理由は、プロジェクトの開始前および制裁期間の開始前のメディアの準備の不足でした。 クラウドファンディングの専門家の多くは、このサイトにはプロジェクトが複雑すぎると指摘しています。

4月までには、デバッグパーツを備えたデバイスボードが既に手元にありました（図2を参照）。 ボードの正しい配線を行い、2回目の試行でコンポーネントを決定することができました。


図2.デバイスデバッグボード

ほぼ同時に、3Dプリンターで作成されたケースの最初のプロトタイプが受け取られました。図3を参照してください。碑文は、プリンターで印刷されたケース全体を包むステッカーの形で作成されました。


図3.体のプロトタイプ

開発のいくつかのポイント

そしてその後、エカテリンブルクの企業の1つでプラスチックケースを製造するための金型の開発が開始されました。 結局のところ、3Dプリンターでのケースの製造には問題がなかったにもかかわらず、ケースとキャップの金型の製造プロセスは非常に長く、修正が必要でした。 その結果、船体は2か月後に受け取られました。 その結果、Appleのように、コールドではなくホットキャスティングを使用する必要がありました。

暗号化機能を備えたデバイスを開発するには、企業にFSBライセンスが必要です。 ライセンス要件を満たすための作業を含め、2か月で十分な速さで、このライセンスが取得されました。
さらに、ユーザーがリリースしたソフトウェアをインストールしていることを理解できるように、アプリケーションに署名するための証明書を受け取りました。 判明したように、この証明書を取得する最も安価な方法はここcodesigning.ksoftware.netです

Key_P1デバイスで動作するソフトウェアの開発では、Windows、Linux、およびMacのサポートを整理するために、一連の議論の後、Qtシステムが選択されたことに注意してください。

開発段階を通じて、ToRの調整が行われました。これは、一部の機能の実装後に初めて、これを便利に行う方法と必要な機能を理解できるようになるためです。 その結果、デバイスの2つのバージョン（ビジネスとプロフェッショナル）のコースが決定されました。
プロフェッショナルバージョンは、FSB証明書を使用したKS3セキュリティクラス（改ざんから保護されたケースを含む多くの追加条件）に準拠するビジネスバージョンとは異なります。
ビジネス版はすでに大量生産されており、プロフェッショナル版は開発段階にあります。 デバイスの主な機能によると、2つのバージョンは同じです。

デバイスの開発を開始したとき、情報漏えいが頻繁に発生し、ロシア企業に数百万ドルの損害を与える可能性があるとは考えていませんでした。
最近、この問題に関する多くの分析資料が登場しました。

エラー処理

ベータテストの段階で直面しなければならなかった主な問題（数十台のコンピューターでアルファテストを実施しましたが）は、この記事の執筆時点で修正されていました。
-デバイスの決定中に発生した「ドアが開いている可能性があります」というエラー
-企業キーでファイルを復号化できない
-ドライバーが動作しているときにscsiチャネルでエラーが発生する
-ユーザーの認識に問題があるため、ドライブのオープンパーティションとクローズパーティションの名前を設定することが決定されました。
-10回の試行後のロックPINコードの表示に関する問題を修正

また、Key_P1 USBコネクタを保護する透明カバーのいくつかの開口部/閉鎖の後、それは以前の顕著なクリックなしで閉じ始め、それはケースのロックタブの急速な摩耗を示します。 同時に、カバーは本体に非常にしっかりと取り付けられており、最終的には、ロックタブが大幅に消去されていても、本体から勝手に脱落することはできません。
デバイスの最初のバッチでの拒否率は約10％でした。 そのような割合は、要素の輸入ベースの許容可能な結婚、要素の脚の変形、プリント回路基板の結婚に基づいて得られます。 しかし、さらなるバッチでは、明らかにされた発言を排除した後、結婚の割合は減少するはずです。

Multiklet社によってリリースされた情報保護用デバイスは、名前Key_P1Multilet（有効な名前Key_P1）を取得しました。 デバイスに組み込まれた基本原則：
-使いやすいウィンドウインターフェイス
-データセキュリティ
-個人および法人ユーザーに焦点を当てる
-モビリティ

一般的に、これは、PCとストレージデバイス上の情報を保護するためのデバイスであり、マルチセルラープロセッサに基づいて開発され、USB-ソケットとプラグ、SDカード用のスロットの3つのコネクタを備えたポータブルガジェットの形で作られています。 判明したデバイスを図に示します。 4。


図4.作業の結果

ハードウェアとソフトウェアのソリューションの簡単な比較

（Verba OW 6.1、Lissi CSP 2.0、Bikript 4.0、Crypto Pro 3.6）などのハードウェア情報保護デバイスとソフトウェアデバイスの違いは、ソフトウェアをインストールする必要なく、デバイス自体にキーを保存することです。 Key_P1デバイス自体とSamurai、Shipka、DataShurなどのハードウェアデバイスの違いは、問題のデバイスには情報を保存するための内部メモリ（暗号化キー、ファームウェアなどのメモリのみ）がなく、ドライブの数に制限はありません。 また、セクタ1024キーによるドライブの暗号化もあります。 したがって、Key_P1にはソフトウェアの幅広い機能とハードウェアの強化された保護があります。

2. Key_P1の仕組み

Key_P1 Multicletを使用するには、Key_P1 Managerをダウンロードする必要があります。 Key_P1 Managerプログラムは、すべてのデバイス機能をサポートし、デバイスの初期化、ドライブの初期化、企業キーの生成などを提供します。
プログラムの特徴的な機能：
1）プログラムは、オペレーティングシステムにインストールする必要はありません。
2）クロスプラットフォーム操作をサポートするには、WindowsおよびLinux用のプログラムのバージョンをオープンドライブパーティションに保存することをお勧めします
3）Key_P1 Multicletデバイスのようなプログラムは、特定のPCまたはドライブに関連付けられていないため、デバイスはさまざまなPCで動作し、無制限の数のドライブをサポートできます。
4）プログラムにはシンプルで便利なインターフェイスがあり、デバイスの機能へのアクセス権の区別も提供します（ユーザーと管理者のPINコードにより、4〜16文字）。

デバイスの完全な操作を開始するには、次の手順を実行する必要があります。
1）デバイスの内部ファームウェアをインストールします
2）デバイスの初期化（1024キー、管理者PINの設定）
ユーザーのPIN、アラームPINコード、デバイス名）
3）ドライブを初期化する（2つのパーティションに分割（オープンとクローズ）、パーティションラベルを設定）


図5. Key_P1 Managerのメインウィンドウ

3.デバイスの機能

1）PCをスパイウェアから保護する
Key_P1は通常の情報ストレージデバイスのみの操作を許可し、「スパイデバイス」（キーボードとストレージデバイスなどによって同時に表される）の操作はブロックされます。 Key_P1は「BadUSB」の問題から保護されています。 接続されたデバイスの制御は、ハードウェアレベルで実行されます。 PCには、Key_P1に接続された悪意のあるデバイスが表示されません。
2）情報の暗号化
ドライブとPCで情報の暗号化が可能です。 暗号化は、256ビットのキー幅でGOST 28147-89アルゴリズムに従って実行されます。
ファイルは、Key_P1デバイスで次の方法で暗号化されます。

1）初期化されたドライブの閉じたセクションにファイルをコピーするときに自動的に ：この場合、ドライブ上のファイルは次のように暗号化されます：
-作成された1024のうちのいくつかのキーを使用するセクターのグループのドライブ。
-デバイスの初期化中。
ユーザーPINは、プライベートパーティションの接続に使用されます。
2） アイテム「ファイル暗号化」での暗号化方法の選択 ：この場合、ファイル暗号化は3つの方法のいずれかで実行できます。
-ランダムキー（初期化時に指定された1024のうちのいくつかのキーで、1つのファイルの一部を1024キーで暗号化できます）;
-同期キー（選択した同期キーを使用）;
-企業キー（選択した企業グループのファイルの暗号化に使用されるいくつかのキーの1つ）：


図6.ファイルの暗号化

復号化のウィンドウは、図6に示すウィンドウに似ています。

3）パスワードセーフ
このデバイスを使用すると、ユーザーのパスワードとログインをKey_P1デバイスの内部保護メモリに保存できます。 将来、ユーザーはマウスをクリックすることで、ログインをオペレーティングシステムのクリップボードにコピーし、ログインを入力するための目的のフィールドに貼り付けることができます。 パスワードについても同様の操作を実行できます。 このようにして、パスワードの便利な使用と保存を提供するとともに、PC上のキーロガーから身を守ります。

図7.個人データの保存

4）アクションと時間のログ

5）読み取り専用モード

6）3種類の暗号化キー
A）ランダム

B）同期


C）企業

これらのタイプのキーを使用した暗号化には、同じウィンドウが使用されます-「ファイル暗号化」、図を参照 6

7）高速暗号変換
Key_P1デバイスを使用すると、情報をすばやく暗号化または復号化できます。 したがって、ユーザーは、電子メール、さまざまなメッセージングシステム（スカイプなど）、ソーシャルネットワークなどを介して送信される暗号化されたテキストメッセージを簡単かつ迅速に交換できます。


図11.元のメッセージ


図12.暗号化の結果

4.仕様

目的：デバイスは、少量の機密情報を暗号化するように設計されています。
速度：ドライブパーティションが開いている場合-最大3.2 Mbit / s、ドライブパーティションが閉じている場合最大1.2 Mbit / s
サポートされているUSBポートタイプ：1.1、2.0、3.0
サポートされるOS：WindowsXP、Windows 7、Windows 8、Linux 2.6.x、Linux 3.x
サポートされているドライブの種類：USB、SD、microSD、miniSD、MMC

5.現在のステータス

エカテリンブルク市でKey_P1デバイス（ビジネス版）の生産が開始されました。
このデバイスは、マルチセルプロセッサMulticlet P1に基づいて作られた特許を取得しています。
デバイスには外部コンポーネントがありますが、開発、メインプロセッサ、ケースを含む製造、はんだ付け、テストは、ロシア製であり、「ロシア製」の碑文が可能になりました。 現時点では、一連のプロフェッショナルバージョンのデバイスを持ち込み、輸出許可を取得する作業が進行中です。 外国企業はこのデバイスに関心を示しています。

6.さらなる開発

Key_P1デバイスには、ファームウェアを更新する機能があります（開始する前にデジタル署名をチェックします）。
したがって、ファームウェアとソフトウェアを更新するための適切なリストがコンパイルされています。その主なポイントは次のとおりです。
1）Mac OSサポート
2）設定メニュー、パラメーターはKey_P1に保存されます
3）暗号化用の秘密鍵を設定する機能
4）EDS機能サポート
5）ユーザーPINのインストール基準の設定
6）認証データストアのパスワード生成
7）信頼できるデバイスのリストとそれらを操作するための許可の設定、およびそれらの監視
8）デバイスのリモート制御のためのサーバークライアントシステム
9）安全なブラウザ
将来、Mozilla ThunderbirdメールクライアントにKey_P1を導入することは可能ですが、対処する必要がある多くの問題があります。 また、独自のメッセンジャーを作成したり、qip、icqなどの既存のメッセンジャーと連携したりすることも可能です。
興味深いのは、マザーボードに直接接続し、すべての周辺USBポートを保護する、システムユニットに実装するためのデバイスのリリースです。 このようなデバイスは、国内のMulticlet R1プロセッサをベースにすることができ、生産性が10倍に向上します。 この場合のKey_P1は、4G USBモデムhabrahabr.ru/company/pt/blog/243697/#first_unreadのセキュリティに関する記事に記載されている問題から保護できます。 ただし、特別なアップデートのリリース後のKey_P1の最新バージョンは、悪意のあるデバイスからPCを保護することができます。
さらに、デバイスの重要な機能は、ソフトウェアセキュリティシステムへのシンプルな統合です。 デバイスには、OS用のソフトウェアとドライバーのインストールは必要ありません。
OSでの識別用のデバイスは、標準のシステムドライバーを使用します。

私たちがここにいる理由の一つ

有用なヒントとユーザーのコメントを慎重に検討し、顧客レビューを分析します。 この情報に基づいて、デバイスの次の更新の選択とその開発の方向性が決定されます。 私たちは、幅広いアプリケーションで情報を保護するための高品質で人気のあるデバイスを作ることを目指しています。

1988年、米国コンピューター機器協会は11月30日（最初に記録されたモリスワームの流行）国際コンピューターセキュリティの日を宣言しました。 この日の目的は、ユーザーのコンピューターとコンピューターに保存されているすべての情報を保護する必要があることをユーザーに思い出させることです。

情報セキュリティに注意を払っているすべての専門家におめでとうございます！

UPD1：デバイスの開発プロセスでも、USBデバイスのVIDを受け取りました。これはusb.orgで5.000ドルで、これはケースにusbロゴを使用しない価格です。

PS現時点では、ビジネスバージョンの要件は次のとおりです。
-弱体化アルゴリズム：0
-特殊キーの追加：0
-ハッキング用のファームウェアを作成：0