Электронные ключи SenseLock EL4 изнутри
назад
Основой ключей SenseLock служит микропроцессор, построенный на базе многослойного высокозащищенного ядра, используемого при производстве современных банковских смарт-карт, имеющий сертификат безопасности EAL5+.
Common Criteria (EAL5+) – наивысший из существующих на сегодня уровней сертификации аппаратных средств защиты.
Применённые при создании кристалла программные и аппаратно-технологические меры ограничения доступа, а также криптографическая защита информации с использованием современных стойких алгоритмов, исключают возможность получения несанкционированного доступа к данным, хранящимся в памяти кристалла и гарантированно защищают кристалл от копирования и эмуляции.
Процессор имеет внутри себя все необходимые компоненты, такие как:
- встроенный USB интерфейс;
- EEPROM емкостью от 32 до 64 килобайт памяти;
- RAM;
- ROM (c операционной системой ключа);
- Математический сопроцессор;
- Средства противодействия физическому взлому;
- Встроенный тактовый генератор.
Все ядро и периферия системы находятся в одном корпусе, что надежно защищает систему от декапсуляции, послойного спиливания и инвазивного вмешательства.
Противодействие физическому взлому, кристалла спроектированного изготовителем:
- Детекторы пониженного и повышенного напряжения питания, тактовой частоты, температуры;
- Самотестирование топологии кристалла;
- Очистка RAM при сбросе или срабатывании детекторов;
- Защита от высокочастотных помех;
- Генератор случайных тактов ожидания;
- Шифрование внутренних шин;
- Прозрачное шифрование RAM, ROM, EEPROM;
- Аппаратная защита чтения областей ROM, EEPROM, РRОM;
- Защита от использования в нештатных режимах работы;
- Шифрование или скремблирование внутренних RAM и EEPROM.
При производстве кристаллов применяются специальные технологические приемы, затрудняющие частичное или полное воссоздание топологии кристалла и получения секретной информации. Кристалл содержит более 30 слоев. Самые ответственные части схемы (ROM и EEPROM) находятся внутри слоёв и защищены дополнительным слоем металлизации, что защищает кристалл от методов оптического и электронного сканирования. Также данный метод обеспечивает разрушение кристалла при послойном спиливании. Дополнительные трудности при определении структуры кристалла добавляет отсутствие общей шины между функциональными блоками (CPU, FPU, RAM, ROM и EEPROM).
Память ключа выполнена в виде файловой системы, работающей с папками и файлами. Сами файлы могут быть трех видов:
- исполняемый модуль (часть программы перенесенной в ключ);
- файл данных;
Каталоги файловой системы защищены специальным PIN кодом для контроля доступа к ним.
Доступ к программированию ключа осуществляется посредством 24-значного PIN-кода, который задаётся разработчиком самостоятельно. Для вызова исполняемых в ключе модулей требуется 8-значный PIN-код пользователя, который также назначается разработчиком.
Операционная система ключа SenseLock EL предоставляет пользователю набор из более чем 100 функций разнообразного назначения, например:
- файловые операции ввода/вывода;
- операции для работы с коммуникационным буфером и блоками памяти;
- ряд математических операций, использующих встроенный математический сопроцессор;
- другие.
Модель ключа SenseLock EL-RTC имеет встроенный энергонезависимый таймер реального времени со своим собственным источником питания (литиевая батарейка). Время и дата таймера задаётся при производстве ключа. Возможности изменения показаний таймера у разработчика и пользователя отсутствуют. Текущее значение времени может быть только считано и не может быть изменено.
Ключ SenseLock EL взаимодействует с персональным компьютером посредством подключения через USB разъем. Возможна работа в двух режимах:
- USB 1.1 (необходима установка драйвера);
- USB HID режим. В этом случае нет необходимости устанавливать драйвер. Данный режим будет работать только на операционных системах со встроенной поддержкой HID устройств.
Драйвера ключа для OS Windows протестированы и имеют сертификат WHQL (Windows Hardware Quality Labs). Драйвера USB HID встроены в большинство современных операционных систем.
| Категория | Тест | Время выполнения (msec) | Комментарий |
|---|---|---|---|
| Ввод-вывод | Пустой буфер | 19 | Никаких вычислительных процедур |
| Буфер данных (250 байт) | 51 | ||
| Работа с блоками данных | Чтение буфера 8 кб | 74 | Блоки по 128 байт, 64 цикла |
| Заполнение буфера 8 кб | 1418 | ||
| Запись блока данных из внешней программы | Буфер 8 кб | 3535 | Время заполнения буфера внутри ключа |
| Работа с 32-х битными целыми числами (с учетом передачи данных) | Операция сложения, 1000 циклов (DWORD) | 52 | Добавление к результату “1” |
| Операция сложения, 1 млн. циклов (DWORD) | 341 | ||
| Работа с 64-х битными числами с плавающей точкой (double) (с учетом передачи данных) | Операция сложения, 1000 циклов | 1286 | С использованием функций языка Си |
| Операция сложения, 1 млн. циклов | 13109 | ||
| Извлечение косинуса, 50 циклов | 1424 | ||
| Извлечение косинуса, 100 циклов | 2813 | ||
| Извлечение квадратного корня, 1000 циклов | 33608 | ||
| Извлечение квадратного корня, 10000 циклов | 335643 | ||
| Работа с 32-х битными числами с плавающей точкой (float) (с учетом передачи данных) | Операция сложения, 1000 циклов | 545 | С использованием математического сопроцессора |
| Операция сложения, 1 млн. циклов | 5106 | ||
| Извлечение косинуса, 50 / 1000 циклов | 68 / 684 | ||
| Извлечение косинуса, 100 / 1 млн. циклов | 111 / 6445 | ||
| Извлечение квадратного корня, 1000 циклов | 634 | ||
| Извлечение квадратного корня, 10000 циклов | 5942 | ||