Комментарии 45
Непонятна цель создания такого устройства. Если ключ хранится на дискете, тогда можно шифрования делать программой, отдельная плата не даёт преимущества.
Дискету можно вставить при загрузке и убрать потом обратно в сейф. А из "заряженной" платы скопировать ключи не удастся.
Если к компьютеру есть доступ у неправильныных людей - они могут ключи прямо с дискеты утащить.
А это уже организационная проблема...
Ну и ключи можно хранить на смарт-карте, её без ПИНа не прочитаешь.
Если организационная проблема решена, то можно шифровать и без платы прямо на компе. А если нет - то и плата не сильно поможет.
Да что вы несете-то, а? Ключ хранится в сейфе, откуда достается владельцем сейфа и им же вставляется в компьютер. Один раз за рабочий день, загрузить в плату. Все, пока комп стоит на месте — подделать зашифрованное сообщение невозможно, и одноверменно, можно шифровать сколько угодно сообщений этим ключом, не доставая его из сейфа и не беспокоя этого владельца сейфа. Скопировать ключ, чтобы уйти с ним и писать сообщения зашифрованные этим ключом нельзя. Расскажите, как вы с помощью решения организационных проблем сделаете аналогичное решение без платы?
Э ну начиная с Энигмы, где плат не было никаких.. заканчивая любым банковским приложением, где и шифрование есть, и ключи. Раз платы выброшены, значит как то научились обходится без них.
Где-то эти платы ушли, так как нашли решение, не требующее стольких затрат. А в гостайне, банковском процессинге и тому подобных областях они (точнее, более новые версии, на PCI-E и смарт-картах) до сих пор живы.
Также не исключаю, что в каких-то местах просто их используют просто из-за бюрократии. Раз в руководящих документах сказано шифровать при помощи вот такого устройства, то используют их, хотя, возможно, именно вот для того объекта ничто не мешает обойтись другими средствами.
Энигма сама была такое устройство. В банковских приложения нет такого только для B2C, а стоит вам залезть чуть поглубже в B2B, так вам сразу выдадут USB-токен, который в целом делает тоже самое. Ну и вопрос-то не в том, что где-то сейчас такое шифрование не требуется. Не требуется и бог с ним.
Просто комментатор выше начал с апломбом заявлять, что это все ненужно и ровно так же решается без всяких плат. Я говорю что не решается и описываю кейс, когда железка нужна. Поспорить с этим получится только если предложить решение этого кейса не уступающее в защищенности.
стали меньше, получили ПЗУ, подключаться стали к USB, переименовались в Рутокен или yubikey
Цель как раз понятна. Во первых, как и сказано в статье, тут ноги растут из советской программы ПРО, ЕС ЭВМ и пр. и в тех условиях естественным, технически и организационно обоснованным, было именно аппаратное, по большей части, решение.
Вот отличнейший цикл статей Алексея Ерёменко (опубликованный до 22года). https://topwar.ru/user/Sperry/
А в нулевые такой продукт основанный на спецплате имел несравнимо более высокую рентабельность чем тоже самое на дискетке, хотя-бы потому платы трудно скопировать, но удобно проводить по ведомостям и отчетам.
Надо понимать специфику мыслительных процессов заказчика. За плату они были готовы заплатить многоденяк, за дискету - ни в жисть.
Например, криптошлюз на ПК на i386 был не способен зашифровать/расшифровать канал в 100Мбит/сек. Тащил порядка 20-30Мбит. Криптоакселератор на PCI уже тогда позволял до 70МБит шифровать. Проблема ушла сама собой с появлением 486, пентиумов и многопроцессорных x64 в последствии. У Анкада, если мне не изменяет склероз, также была аппаратная шифровалка PATA для HDD. Не знаю, пошла ли в серию, но прототипы в виде HDD крэдла видеть доводилось.
Например, криптошлюз на ПК на i386 был не способен зашифровать/расшифровать канал в 100Мбит/сек.
Это куда Вам на i386 нужно было зашифровывать поток 100Mбит/сек?! Откуда его взять то в то время?
100 мегабит на локалке уже давно были. В нулевых была мода брать старые 386 и делать из них всякие руторы/файерволлы. А шифровать локалку — это, скорее всего, требование безопасников, из той же серии, что и наклейки на окна, чтобы шпионы лазером не сканиовали окно и не подслушивали.
Виноват, имел ввиду Pentium III, конечно же. Pentium 4 уже почти справлялся. Это было начало 2000х.
Точные объёмы производства мне неведомы, но выпущено было буквально две-три тысячи плат, совсем немного по меркам компьютерного железа.
Они мало кому нужны. Видел на авито подобные, но современные платы на ПЛИС от конторы "Код безопасности", что-то за 7к мешок, штук 100. Кто-то закупил, и потом понял, что оно ему не надо... Наверное, это была бы находка для тех, кто умеет в ПЛИС, так как чипы там жирненькие стоят.
Видел то объявление. Это Secret net card были платы. Они же ПАК "Соболь", но с другой прошивкой. У меня этот Соболь стоит в компьютере для блокировки загрузки с ключа.
А принципиальные схемы к ним есть какие-нибудь?
Там на последних платах с чипов вся маркировка спилена или это фотки такие?
Интересно, почему назвали «Блюминг»? Чтобы никто не догадался?
ГОСТ 28147-89?
Некогда меня послали учиться работе с очень странным устройством - абонентским пунктом АП-4, зачем-то подаренным нашему политеху. Он состоял из процессора и 8 периферийных устройств (перфокарты, перфоленты, АЦПУ, магнитные ленты; ещё были, не показанные на картинке по ссылке, дисплеи из бытового телевизора, 32 символа в строке - похороны Брежнева смотрели, выдернув разъём и вставив комнатную антенну)
http://oldpc.su/pc/es/8504/index.html
Смысл его был непонятен, тогдашние сети допускали постоянное физическое подключение либо коммутацию, но не аренду канала на время, где был бы смысл набирать данные, запоминать на ленту и затем передавать. А считать что-либо было сложно, с 4х-битным байтом.
Но когда, много позже, прочёл я у Брюса Шнайера, про ГОСТ 28147-89, стало понятно, и для чего 32-битное сложение, и подстановка по таблице 16х16, и циклический сдвиг. Шифровальная машина...
В стародавние времена (в середине 90-х), когда я работал в коммерческом банке в Новосибирске, мы использовали этот "Криптон" для шифрования платёжных документов, передаваемых в РКЦ и расшифровывания получаемых из РКЦ. Мало того! Мы ведь ещё шифровали их и подписывали при помощи программы PGP 2.6ui, а также аналогичным образом расшифровывали принятые файлы. Это не наша прихоть была, а требования РКЦ ГУ ЦБ по НСО.
Помнится, в середине 90х мы в "Анкее" писали всякую криптографию для нужд ЦБ и не только. Так вот, встретилась мне софтовая реализация ГОСТа 24187 "совместимая" с "Криптоном". Так вот, смотрел я на тот цикл простой замены и ничего не понимал.
Если кто помнит, там в одном месте надо было сложить два 32х-битных числа с битом переноса, если он возникнет. Так вот, на тех платах, что у нас были, прошивка сложение с переносом не осилила. Так что, ГОСТ там был весьма специфический. Коллеги-математики из восьмой управы ака ФАПСИ (мы с ними общались тогда плотно на тему всякой сертификации), когда я им показал это место, только руками разводили: ну вот такой ГОСТ... И на что они такой плате сертификат соответствия выдавали мне до сих пор не понятно.
Расскажи ещё про PCI платы с iButton, который подключался через разъём типа телефонного. Использовались в банках.
Криптон. Оживляем «криптографический танк» из девяностых