Способ некорректируемой регистрации информации

Область техники

Изобретение относится к компонентам информационной безопасности и методам некорректируемой регистрации информации. Более конкретно, настоящее изобретение описывает использование криптографической технологии цепной записи для некорректируемой регистрации информации (данных, событий) в системе регистрации с использованием средства регистрации, включающего в себя основную (в общем случае — незащищённую) энергонезависимую память и доверенный (защищённый) криптографический микроконтроллер, с дополнительным подтверждением целостности и достоверности (аутентичности) регистрируемых данных криптографическими ключами средства регистрации и одного или нескольких субъектов, инициирующих информационный обмен.

Уровень техники

Под некорректируемой регистрацией информации (см. Выписку из «Требований к средствам криптографической защиты информации, предназначенным для обеспечения некорректируемой регистрации информации, не содержащей сведений, составляющих государственную тайну» для заказчиков указанных средств) понимается такой способ обработки информации средством регистрации, по результатам которой обеспечивается:

- регистрация информации в соответствии с установленным перечнем;

- идентичность зарегистрированной информации с информацией, предназначенной для регистрации (формирования и(или) записи), хранения и(или) передачи;

- непрерывность регистрации (защита от нарушения последовательности регистрации блоков информации);

- возможность гарантированного выявления фактов ее корректировки или фальсификации по результатам проверки, в том числе и фактов нарушения последовательности зарегистрированных событий (непрерывности регистрации);

- возможность гарантированной аутентификации средства регистрации.

Требования о некорректируемой регистрации информации предъявляются, в частности, к средствам тахографического контроля и к контрольно-кассовой технике. Аналогичные методы могут быть актуальны при разработке медицинской техники и в различных других системах регистрации информации (данных, событий и т.п.).

Навигационно-криптографический модуль (патент RU119193U1) решает, в том числе, техническую задачу по обеспечению долговременного некорректируемого энергонезависимого хранения данных аппаратных комплексов.

Тахограф (патент RU157697U1) обеспечивает непрерывную, некорректируемую регистрацию информации о скорости и маршруте движения транспортных средств, о режиме труда и отдыха водителей транспортных средств. Функционал обеспечивается навигационно-криптографическим блоком, включающим в себя защищенное запоминающее устройство для хранения информации в некорректируемом виде.

Известен патент RU162376U1 на тахограф, также использующий навигационно-криптографический модуль для регистрации информации в некорректируемом виде

В тахографе цифровом электронном (патент RU2567700C1) регистрацию информации в некорректируемом виде обеспечивает программно-аппаратное (криптографическое) средство, называемое «блок СКЗИ». В блоке СКЗИ хранится так называемый «архив блока СКЗИ тахографа». Тахограф обеспечивает целостность и достоверность информации, регистрируемой в памяти тахографа в некорректируемом виде, на основе применения квалифицированной электронной подписи, а также возможность гарантированного выявления ее корректировки или фальсификации по результатам проверки информации, зарегистрированной в памяти тахографа. Аналогичная некорректируемая регистрация информации описана в патенте RU2591647C1.

Существенное отличие и преимущество предлагаемого изобретения состоит в разделении памяти средства регистрации информации на основную (в общем случае — незащищённую) энергонезависимую память и защищённую память криптографического микроконтроллера (далее — ЗКМ, защищённый криптографический микроконтроллер) для хранения криптографических ключей и чувствительных данных, тогда как во всех рассмотренных случаях для хранения информации в некорректируемом виде используется защищенная микросхема, что накладывает существенные ограничения на объём регистрируемой информации или же ведёт к существенному увеличению стоимости устройства. Кроме того, из описания этих полезных моделей и изобретений не следует возможность гарантированной аутентификации средства регистрации.

Наиболее близким к настоящему изобретению является полезная модель криптографического фискального накопителя RU191278U1, решающая техническую задачу долговременного некорректируемого хранения данных в энергонезависимой памяти с помощью формируемых для каждого документа массива индивидуальных средств криптографической защиты, именуемого фискальным признаком документа (ФПД). ФПД формируется криптографическим сопроцессором с использованием криптографического алгоритма преобразования и применяется к данным кассового документа, текущему времени и сквозному нарастающему номеру текущего пакета.

Существенным отличием предлагаемого изобретения является использование технологии цепной записи вместо учёта сквозного нарастающего номера пакета, что обеспечивает связность последовательности записей (то есть даже если злоумышленнику удалось успешно «подделать» криптограмму одной из записей, ошибка отразится на всех последующих записях).

Кроме того, недостатком всех описанных полезных моделей и патентов является исключение субъекта информационного обмена (в случае тахографа — водителя транспортного средства) из процесса регистрации событий (информации). Таким образом не происходит явной привязки регистрируемых событий к субъекту (или субъектам), инициировавшему информационный обмен. Это может затруднять разбор конфликтных ситуаций и усложняет придание юридической значимости зарегистированной информации.

Существенным отличием и значимым преимуществом настоящего изобретения является интерактивное участие в процессе регистрации субъектов информационного обмена, аутентичность которых также подтверждается в процессе последующей проверки некорректируемости. Формирование аутентифицирующих криптограмм (общей подписи) происходит при непосредственном участии как средства регистрации, так и ключевых носителей субъектов — что гарантирует их активность в момент регистрации события.

Способ использования криптографического ключа в настоящем изобретении базируется на механизмах, близких к описанным в патенте RU2417410C2. Существенным отличием настоящего изобретения является то, что изначально не существует общего ключа участников системы, а ключ формирования/проверки подписи формируется динамически и может меняться в зависимости от субъектов, инициирующих информационный обмен в системе регистрации.

Задачами настоящего изобретения является:

- увеличение объёма информации, регистрируемой и хранимой в некорректируемом виде;

- повышение информационной безопасности и стойкости системы за счёт использования криптографических ключей средства регистрации и субъектов информационного обмена;

- повышение криптографической стойкости, а следовательно и доверия к системе контроля целостности информации за счёт использования механизма цепной записи;

- возможность придания юридической значимости зарегистрированной информации;

возможность аутентификации средства регистрации;

- возможность аутентификации субъектов, инициировавших информационный обмен (процесс регистрации информации);

- неотказуемость для субъектов информационного обмена от факта участия в процессе регистрации информации.

Раскрытие изобретения

Основной технический результат, на достижение которого направлено заявляемое изобретение, заключается в гарантии целостности зарегистрированной информации, однозначном обнаружении фактов модификации зарегистрированной информации (удаления, добавления, изменения, нарушения последовательности регистрации и т.п.), возможности аутентификации средства регистрации и субъектов, инициировавших информационный обмен, гарантия невозможности регистрации информации без непосредственного участия субъектов информационного обмена и, как следствие, неотказуемость и возможность придания юридической значимости зарегистрированной информации.

Заявленный технический результат достигается за счёт использования в регистрирующей системе средства регистрации (см. фиг.1), содержащего основную память (ПЗУ), процессор общего назначения (ЦПУ) и доверенный (защищённый) микроконтроллер с криптографическим функционалом (ЗКМ) и защищённой памятью, криптографических ключевых носителей (далее — КН) субъектов, инициирующих информационный обмен, технологии цепной записи при регистрации информации и интерактивного формирования общей подписи средства регистрации и одного или нескольких субъектов.

Заметим, что в общем случае система регистрации может включать более одного средства регистрации и субъекты информационного обмена могут инициировать регистрацию информации с различными средствами регистрации. Кроме того, средством регистрации может быть как единое устройство, так и система компонент: например, в качестве ПЗУ может использоваться удалённый сервер.

Для конкретной реализации требуется выбрать бесключевой алгоритм формирования отпечатков (например, алгоритм хэширования) и алгоритм электронной подписи, допускающий возможность совместного интерактивного формирования подписи несколькими участниками. Примерами такого алгоритма электронной подписи являются известные алгоритмы подписи на эллиптических кривых (ECDSA, ГОСТ Р 34.10-2012 и другие). Конкретный вариант реализации будет рассмотрен ниже.

Будем называть основной памятью средства регистрации его незащищённую энергонезависимую память (ПЗУ, постоянное запоминающее устройство), а защищённой памятью — память ЗКМ.

В конкретных реализациях разделение на основную и защищённую память может быть логическим, а не физическим. То есть ПЗУ может быть защищённой памятью, а также в качестве ПЗУ может использоваться память того же доверенного микроконтроллера, который используется в качестве ЗКМ.

Обозначим за B=H(k) функцию, вычисляющую отпечаток для некоторой строки k. Для повышения криптографической стойкости системы важными свойствами данной функции должны быть сложность поиска прообразов и стойкость к коллизиям. Однако в ряде прикладных случаев от данных свойств можно отказаться. Более того, в некоторых случаях возможно даже использование тривиальной функции H(k)=k.

Обозначим за f(E, B) функцию на множестве строк. В некоторых случаях допустимо использование функции f(E, B)=f(E), то есть с зависимостью только от первого аргумента.

Пусть S(a, K_u, K_s(1), K_s(2),…, K_s(m)) — совместная подпись средства регистрации и субъектов информационного обмена под строкой a, где K_u — ключ (ключевая пара) средства регистрации, хранимый в ЗКМ, K_s(1), K_s(2)…, K_s(m) — ключи (ключевые пары) субъектов информационного обмена, хранимые в их КН.

В момент инициализации (до начала эксплуатации) или переинициализации (с архивированием предыдущих данных) средства регистрации в его основную память, а также в защищённую память ЗКМ прописывается байт-строка B₀. Данное значение может зависеть от параметров устройства (например, B₀=H (N_r || N_k), где N_r — серийный номер средства регистрации, а N_k — серийный номер ЗКМ, || — здесь и далее означает конкатенацию, то есть последовательную запись байт-строк) или задаваться случайно.

Пусть E₁, …, E_n — последовательность строковых описаний регистрируемой информации (событий, данных и т.п.).

Тогда B₁=H (f(E₁, B₀) ), …,B_i+1=H (f(E_i+1, B_i) ), …, B_n=H (f(E_n, B_n-1) ). То есть B₀, B₁, … , B_n — это цепная запись отпечатков регистрируемой информации. В защищённой памяти хранится последнее значение B_n, а в основной памяти должно храниться начальное значение B₀ и могут храниться как все, так и часть из B_i в зависимости от ограничений по объёму основной памяти. Если значение B₀ однозначно вычисляется из каких-либо известных параметров средства регистрации или хранится во внешней базе данных, доступной при дальнейшей проверке, то его хранение в явном виде не обязательно.

Некорректируемая регистрация информации с последующим подтверждением аутентичности средства регистрации и субъектов информационного обмена, а также с гарантией неотказуемости обеспечивается тем, что средство регистрации подаёт регистрируемую информацию E_n в ЗКМ; ЗКМ вычисляет отпечаток B_n=H (f(E_n, B_n-1) ) на основе переданных данных и значения B_n-1, хранимого в его памяти, и сохраняет полученное значение; ЗКМ и КН субъектов информационного обмена совместно и интерактивно вычисляют подпись S_n=S(B_n, K_u, K_s(1)ⁿ, K_s(2)ⁿ,…, K_s(m)ⁿ), которая сохраняется в основной памяти средства регистрации совместно с открытыми ключами текущих субъектов K_s(j)ⁿ, информацией E_n и её отпечатком B_n.

Дополнительно можно сохранять в ЗКМ значения K_s(i)ⁿ и S_n, перезаписывая их при последующих вычислениях.

Для простоты описания, но без ограничения общности, рассмотрим на конкретном примере для одного субъекта информационного обмена (Фиг. 2).

В предпочтительном варианте осуществления в качестве функции f применяется конкатенация строк (f(E, B)=E||B), для вычисления отпечатков используется алгоритм хэширования ГОСТ Р 34.11-2012, 256 бит (далее — G3411) и для вычисления подписи — алгоритм электронной подписи ГОСТ Р 34.10-2012, 256 бит.

Пусть (d_u, Q_u) — ключевая пара средства регистрации. Закрытый ключ d_u хранится в ЗКМ, а ключ Q_u — известен участникам системы.

Пусть (d_sⁱ, Q_sⁱ) — ключевая пара субъекта, инициирующего информационный обмен и регистрацию событий на i-ом шаге. Закрытый ключ d_sⁱ хранится на КН субъекта, а ключ Q_sⁱ — не является секретом.

Пусть (p, q, P) — параметры алгоритма ГОСТ Р 34.10-2012.

Для некорректируемой регистрации E_n используется следующий протокол.

1. Средство регистрации передаёт E_n в ЗКМ.

2. ЗКМ вычисляет и сохраняет B_n=G3411(E_n || B_n-1).

3. ЗКМ выбирает случайное число k_u, удовлетворяющее неравенству 0<k_u<q, затем вычисляет точку эллиптической кривой R_u=k_uP.

4. ЗКМ передаёт R_u и B_n в средство регистрации (в ЦПУ).

5. Средство регистрации передаёт B_n субъекту информационного обмена (в его КН).

6. КН субъекта выбирает случайное число k_s, удовлетворяющее неравенству 0<k_s<q, затем вычисляет R_s=k_sP(mod q) и передаёт R_s в средство регистрации.

7. Средство регистрации вычисляет с использованием ЦПУ R=R_u+R_s.

8. Значение r=x_G(R) (первая координата точки R) передаётся в ЗКМ и КН.

9. ЗКМ и КН независимо вычисляют, соответственно, значения s_u=rd_u+k_uB_n (mod q) и s_s=rd_sⁿ+k_sB_n (mod q) и передают их в ЦПУ средства регистрации.

10. ЦПУ средства регистрации вычисляет s=s_u+s_s (mod q).

Далее, средство регистрации сохраняет вместе с E_n полученную подпись S_n=(r, s) и ключ Q_sⁿ или идентификатор субъекта.

Пара (r, s) является подписью ГОСТ Р 34.10-2012 к сообщению (E_n || B_n-1) на ключе (d_u+d_sⁿ, Q_u+Q_sⁿ) — то есть для её проверки не требуется знания никаких секретных данных, только открытые ключи средства регистрации и субъекта информационного обмена. При этом для вычисления подписи требуется либо знание обоих значений закрытых ключей, либо их суммы.

Кроме того, средство регистрации и субъект информационного обмена интерактивно участвуют в протоколе выработки подписи, поэтому невозможно отложенное формирование такой подписи (с разнесённым по времени получением частей подписи от средства регистрации и субъекта информационного обмена).

Для проверки некорректируемости последовательности E₁, …, E_n зарегистрированной информации требуются:

- начальное значения B₀;

- подпись S_n под B_n — последним отпечатком цепочки событий (информации);

- открытый ключ средства регистрации Q_u;

- идентификатор или открытый ключ Q_sⁿ субъекта, инициировавшего последний информационный обмен.

Система проверки некорректируемости регистрации (далее — СПН) последовательно вычисляет цепочку отпечатков B₁, … , B_n, а затем проверяет подпись S_n под значением B_n на открытом ключе Q=Q_u+Q_sⁿ. Дополнительно СПН может проверять совпадение вычисленного значения B_n со значением, хранящемся в ЗКМ. Хранение только идентификатора субъекта возможно, если СПН самостоятельно хранит базу открытых ключей.

Успешная проверка означает некорректируемость зарегистрированной последовательности событий. Если значение B_n, вычисленное СПН, не совпало со значением в памяти ЗКМ, то это свидетельствует о нарушении целостности зарегистрированных событий. Если проверка B_n прошла успешно, а подпись оказалась не верной, то это свидетельствует о нарушении аутентичности.

В случае участия в информационном обмене нескольких субъектов средство регистрации проводит аналогичные обмены параллельно с каждым из субъектов (технически возможна последовательная передача, но с точки зрения логической обработки это не имеет значения), причём на шаге 7 вычисляется R=R_u+R_s(1)+…+R_s(n), а на шаге 10 вычисляется s=s_u+s_s(1)+…+s_s(n) (mod q). Соответственно, одновременно с подписью необходимо хранить идентификаторы или открытые ключи всех участвовавших в подписании субъектов или же общий открытый ключ Q=Q_u+Q_s(1)ⁿ+…+Q_s(m)ⁿ.

Заметим, что такой вариант проверки не даёт возможности однозначно определить, в какой момент произошёл сбой и какое именно событие некорректно зарегистрировано.

Для более точной диагностики и упрощения разбора конфликтных ситуаций необходимо хранить промежуточные подписи S_i и соответствующие им открытые ключи субъектов Q_s(j)ⁱ - либо для всех i от 1 до n, либо только их часть (выбор зависит от необходимого в информационной системе баланса между точностью при разборе конфликтных ситуаций и ограничениями по объёму используемой энергонезависимой памяти). При этом промежуточные значения S_i разумно хранить в основной памяти средства регистрации, а последнее (на текущий момент) значение можно дополнительно дублировать в памяти ЗКМ. Как и в общем случае, в защищённой памяти хранится последнее значение отпечатка B_n, а в основной памяти должно храниться начальное значение отпечатка B₀ (или данные для его вычисления) и могут храниться как все, так и часть из отпечатков B_i в зависимости от ограничений по объёму основной памяти.

Возможен способ, включающий дополнительную проверку (на каждое регистрационное действие, периодическую или выборочную, на условиях, определяемых конкретной информационной системой) предыдущей подписи субъектами информационного обмена до начала формирования общей подписи. То есть, до начала формирования подписи, средство регистрации передаёт субъекту (субъектам) информационного обмена предыдущее значение отпечатка B_n-1, подпись S_n-1 под ним и открытый ключ Q=Q_u+Q_s(1)^n-1+…+Q_s(m)^n-1. Субъект (субъекты) информационного обмена проверяет подпись, и только после этого участвует в процессе формирования очередной подписи. Таким образом каждый следующий субъект подтверждает аутентичность предыдущего, что даёт возможность придания юридической значимости регистрируемой информации.

Также подобная проверка может выполняться ЗКМ или даже ЦПУ средства регистрации.

Как сказано выше, такая проверка может выполнятся или каждый раз при формировании общей подписи, или периодически (один раз на некоторое, фиксированное, количество формирований общей подписи), или выборочно на условиях, определяемых конкретной информационной системой. Условием может быть регистрация события заданного типа. Например, при регистрации событий, которые оцениваются в рамках конкретной реализации как критичные, подобная дополнительная проверка даёт усиление информационной безопасности системы за счёт дополнительного контроля целостности ранее записанных данных. Возможен и другой подход: при регистрации критичных событий эта проверка пропускается для сокращения времени реагирования системы, а при последующих операциях проверка выполняется.

Кроме того, возможно самостоятельное вычисление B_n субъектами информационного обмена — то есть на шаге 5 средство регистрации передаёт субъектам информационного обмена E_n и B_n-1, после чего криптографические устройства субъектов вычисляют B_n= G3411(E_n || B_n-1) и ставят свою подпись под ним.

Отметим, что различные способы выбора начального значения B₀, модификации способа вычисления B_n, частота и условия формирования подписи при регистрации информации, частота и условия добавления проверки предыдущей подписи субъектами информационного обмена и/или средством регистрации, возможности хранения дополнительных данных в ЗКМ, добавление форматно-логического контроля информации E_n или ранее зарегистрированной информации, использование различных вариантов исполнения ПЗУ средства регистрации, выбор в качестве ЗКМ и/или КН тех или иных программных/аппаратных/программно-аппаратных средств защиты информации, а также выбор тех или иных, отличных от упомянутых, криптографических преобразований не меняют сути изобретения.

Специалисту в данной области техники очевидно, что по мере развития технологии базовая идея изобретения может быть реализована различными способами. Поэтому изобретение и варианты его воплощения не ограничиваются вышеупомянутыми примерами, но они могут варьироваться в рамках объема, определяемого формулой изобретения.

Осуществление изобретения

Данное изобретение может быть реализовано с использованием в качестве средства регистрации – программы для ЭВМ, реализующей криптографические алгоритмы, например, с помощью библиотеки с открытым исходным кодом OpenSSL, а в качестве защищенного микроконтроллера и ключевого носителя субъекта информационного обмена — микропроцессорных устройств (смарт-карт, сим-карт, usb-токенов и т.п.). При этом, как было показано выше, в качестве алгоритма электронной цифровой подписи может быть использован российский стандарт ГОСТ Р 34.10-2012, а в качестве алгоритма хэширования для реализации механизма цепной записи — ГОСТ Р 34.11-2012.

Краткое описание чертежей

Фиг. 1. Общая схема компонент системы регистрации

Фиг. 2. Протокол интерактивного вычисления общей подписи средства регистрации и субъекта информационного обмена

1. Способ некорректируемой регистрации информации, характеризующийся тем, что: энергонезависимая память средства регистрации разделяется на основную память устройства и защищённую память криптографического микроконтроллера; применяются криптографические ключи средства регистрации и субъектов, одного или нескольких, инициирующих информационный обмен; целостность информации обеспечивается механизмом цепной записи с хранением промежуточных отпечатков информации в защищённой памяти; аутентичность информации, средства регистрации и субъектов информационного обмена подтверждается электронной цифровой подписью, формируемой совместно и интерактивно криптографическим микроконтроллером средства регистрации и криптографическими устройствами субъектов информационного обмена; для хранения регистрируемой информации используется основная память, в которой могут также храниться все или часть промежуточных отпечатков цепной записи и подписей; в защищённой памяти хранятся криптографические ключи, чувствительные данные, последнее значение отпечатка цепной записи, при необходимости - последнее значение подписи.

2. Способ по п.1, отличающийся тем, что до формирования общей подписи средство регистрации и/или субъекты информационного обмена, все или часть из них, дополнительно проверяют предыдущую сохранённую подпись, при этом проверка может выполняться для каждой общей подписи или выборочно на условиях, определяемых конкретной информационной системой.