Сьогодні вже навряд чи потрібно доводити, що програмне забезпечення і зберігаються в комп’ютері дані потребують захисту: саме життя з розгулом комп’ютерного піратства, шкідливими комп’ютерними вірусами, атаками хакерів і витонченими електронними засобами комерційного шпигунства змушує виробників і користувачів програм шукати способи і засоби захисту. Одне з таких засобів — електронні ключі, які при правильному використанні дозволяють вирішити багато проблем комп’ютерної безпеки. Наш кореспондент побував у компаніях, що лідирують на російському ринку дистрибуції електронних ключів — Aladdin Software Security, Rainbow Technologies і MultiSoft, і обговорив з їх представниками проблеми та перспективи застосування таких ключів.

Права на інтелектуальну власність і комерційну таємницю охороняються державою, проте на практиці ця охорона реалізується зазвичай шляхом покарання тих, хто ці права порушив і був спійманий на місці злочину. Потерпілому рідко вдається компенсувати понесені втрати, тому краще просто замикати свою власність на надійний замок, позбавляючи себе від додаткових стресів. Коли справа стосується комп’ютерної інформації, у ролі такого замку можуть виступати апаратно-програмні засоби, які дозволяють захистити програмне забезпечення від несанкціонованого копіювання і запобігти несанкціонований доступ до програм і даних. Для цієї мети зазвичай використовуються електронні ключі, яким і присвячена ця стаття.

Історично склалося так, що раніше виробники почали думати про захист програмного забезпечення від піратів. Прості методи, що потребують від користувача програми ввести при інсталяції її серійний номер, надрукувати у відповідь на запит задане слово з прикладеною до легального продукту інструкції або вставити в дисковод спеціальну ключову дискету, використовуються ще й сьогодні, однак для висококваліфікованих фахівців злом такого захисту не становить великої праці. Тому з’явилися програми, забезпечені апаратними ключами — невеликими пристроями, подключавшимися зазвичай до паралельного порту комп’ютера, відсутність яких програма ставала непрацездатною. Скопіювати такий ключ зловмиснику складно, а без нього копіювати програму не мало сенсу.

Перші моделі ключів викликали чимало нарікань на свою адресу з боку кінцевих користувачів. Вони не тільки доставляли власнику додаткові клопоти при роботі з програмою — застосування цих ключів нерідко викликало ще й проблеми при роботі з принтером: його доводилося підключати до вставленого в паралельний порт ключу, який далеко не завжди опинявся повністю «прозорим» для проходить через нього потоку інформації, як декларували розробники. Однак поступово ключі ставали все більш досконалими, і незручність сучасних варіантів LPT ключів полягає хіба що в тому, що такий ключ не дозволяє присунути системний блок комп’ютера близько до стіни. Якщо ж захищені кілька програм на одному комп’ютері, то на задній панелі блоку повисає ціла гірлянда ключів.

Тим не менш LPT-ключі отримали широке поширення. Алгоритми захисту програмного забезпечення з використанням таких ключів поступово ускладнювалися, їх функціональні можливості ставали все ширше. Сьогодні вони не тільки запобігають несанкціоноване копіювання програм, але і дозволяють проводити ідентифікацію користувачів і управляти їх доступом до ресурсів комп’ютерів або комп’ютерних мереж. В якості прикладу таких ключів з можливістю ідентифікації можна назвати компанії Aladdin eToken і iKey компанії Rainbow.

Оснащення комп’ютерів зчитувачами смарт-карт, винахід так званих «Далласских пігулок пам’яті» (Dallas Touch Memory) тут же приводили до створення модифікацій електронних ключів, в яких використовувалися нові носії інформації. На появу стандарту Universal Serial Bus і оснащення комп’ютерів USB-портами провідні розробники відреагували створенням USB-версії електронних ключів, які зберігають всі кращі якості своїх попередників і в той же час позбавлені їх недоліків. Ключ у формі брелока, який легко вставляється в USB-порт системного блоку і виймається з нього, став сприйматися як аналог ключа від квартири чи автомашини і опинився на одній зв’язці з ними. До цього часу в психології користувача відбулися й інші зміни

Порядних шахраїв не буває

На ранньому етапі комп’ютеризації нашого суспільства, якихось 10-15 років тому, дані, що зберігалися в пам’яті комп’ютера, ще не сприймалися як головна цінність для її власника. Не тільки приватні особи, але і організації охоче купували у піратів зламані (тобто позбавлені захисту) комп’ютерні програми і турбувалися лише про те, чи не порушені їх функціональні можливості. Однак, чим досконаліше ставала захист програм, тим важче і дорожче було взламывание захисту, і піратів переставали задовольняти доходи від тиражування і продажу таких програм. Ось як говорить про це Сергій Груздєв, генеральний директор компанії Aladdin:

«Поширений спосіб злому — це створення емулятора: хакер пише драйвер, який „вклинюється“ у спілкування між програмою і ключем. Коли програма звертається до ключа, емулятор перехоплює це звернення і посилає потрібний відповідь з набору, який зберігається в базі даних емулятора.

Багато комерційні фірми поставили на свої комп’ютери бухгалтерські програми, в яких використовувалися такі емулятори. Однак зломщики програм аж ніяк не меценати, їм мало отримати гроші один раз, продаючи таку програму. Практично все емулятори, які потрапляли до нас в руки і були піддані аналізу, містили в собі „міни сповільненої дії“. Людина купує „зламану бухгалтерію“, користується кілька місяців або навіть півроку, а потім в самий відповідальний момент „міна“ спрацьовує і комп’ютер видає повідомлення: „Все, хлопці, халява скінчилася. Платіть! Гроші прошу перевести на такий-то рахунок, інакше ваші дані будуть знищені“. Логіка хакера така: якщо це відбувається за два-три дні до здачі балансу, а зведений баланс, той бідолаха-бухгалтер захоче заплатити. Правда, в більшості випадків потерпілі не поспішали платити хакеру, а зверталися до розробників програми і купували легальну версію, щоб більше не залежати від чиєїсь злої волі. І це мало велике виховне значення для багатьох, хто на ці граблі наступив.

Такий розвиток подій не найстрашніше. Набагато небезпечніше, на мій погляд, був інший клас емуляторів, які збирали інформацію про роботі програми і передавали її зломщикові через мережу Інтернет. Не секрет, що на багатьох підприємствах ведуться два види обліку — управлінський і „фіскальний“, так звана „чорна і біла бухгалтерія“. І якщо інформація про повному управлінському обліку потрапляє, скажімо до представників кримінальних структур, які потім почнуть вимагати гроші, ось це особливо страшно».

Купуючи програму, забезпечену електронним ключем, покупець може бути впевнений у тому, що це саме та версія, яку створив розробник і вона не несе в собі ніякої потенційної небезпеки. Так що захист програми виявляється ще й захистом користувача, гарантією його спокою, і сьогодні все більше покупців програм саме так сприймає вбудовані апаратно-програмні системи захисту.

Право на інформацію

У сучасних операційних системах, особливо багатокористувацьких, передбачені програмні засоби запобігання несанкціонованому доступу: при вході в систему потрібно ввести ім’я користувача та пароль. Так само організований доступ до мережі Інтернет, і до поштових програм, і до цілого ряду інших програмних продуктів. Однак застосування паролів має ряд недоліків: по-перше, пароль повинен бути досить довгим, щоб зловмиснику було важко його підібрати, а довгі паролі важко запам’ятовуються і легко забуваються. По-друге, в момент введення імені користувача і його пароль можуть бути пізнані і викрадено хакером.

Тому в сучасних електронних ключах використовується так звана «двофакторна» аутентифікація користувача: основна частина коду доступу зберігається в електронному ключі і зчитується комп’ютером в той момент, коли ключ вставляється у відповідний порт; після цього користувач повинен ввести ще пін-код підтвердження того, що саме він є власником ключа. Pin-код зазвичай буває значно простіше запам’ятати, чим довший пароль, тому такий ключ виявляється дуже зручним. Що ж стосується тієї частини коду, що зберігається в електронному ключі, то добре захищена програма не просто зчитує її і порівнює з зберігаються в програмі зразком (така взаємодія дозволяло б викрасти код і зламати захист), а використовує код ключа або окремі його фрагменти в проведених обчислень, позбавляючи хакера можливості виділити момент зіставлення коду користувача з еталоном. Багато системи шифрують дані при обміні ними з комп’ютером. Крім того, великий обсяг енергонезалежної пам’яті сучасних електронних ключів дозволяє використовувати дуже складні алгоритми захисту інформації.

USB-ключі з великим обсягом пам’яті дозволяють вирішити відразу цілий комплекс завдань. В такому ключі можуть бути записані цифровий сертифікат особистості власника для впізнання його при вході в систему (за умови введення відповідного пін-коду) та сертифікати, що визначають його права доступу до певних видів програм і певним категоріям даних, в Інтернет або віртуальну приватну мережу права доступу до електронної пошти, права адміністрування і т. д. При цьому в одному і тому ж брелоку-ключі можна запрограмувати коди доступу до багатьом програмам — не потрібно мати для кожної свій окремий ключ.

Що відбувається на ринку?

На російському ринку апаратно-програмних засобів захисту програм і даних лідирують сьогодні чотири компанії: Aladdin Software Security R. D. — російське відділення ізраїльської компанії Aladdin Knowledge Systems Ltd.; російський філія американської компанії Rainbow Technologies; компанія MultiSoft, представляє продукцію італійської фірми Eutron Information Security, і російська компанія «Актив», яка продає власну продукцію. За обсягом продажів лідирує Aladdin — ця компанія першою вийшла на наш ринок з електронними ключами і протягом декількох років панувала на ньому майже безроздільно. Компанія Rainbow представила свою продукцію російському покупцеві на кілька років пізніше. Ось як коментує ситуацію Ірина Ходолева, комерційний директор російського філії Rainbow: «Електронні ключі Sentinel виробництва компанії Rainbow ми почали продавати в Росії з 1996 року, продажі пішли добре, і в 1998 році Rainbow вирішила тут створити філію. На світовому ринку Rainbow лідирує, займаючи близько 55% (Aladdin — близько 27%), але в Росії Aladdin більш відомий. Тим не менше ми поступово розширюємо свою частку ринку: з тих пір, як ми стали філією Rainbow, приріст продажів складає в середньому 40-60% в рік. Навіть під час кризи 1998 року падіння продажів у нас не було».

Цікаво було дізнатися, як сприйняли в російській компанії Aladdin поява потужного конкурента. Розповідає Сергій Груздєв: «Коли вперше на одній з виставок з’явилася Веселка, наш сильний конкурент по ключам, нам належало майже 90% російського ринку. Я не те щоб запанікував, але захвилювався зателефонував президенту компанії, доповів: так і так. А він каже: „Сергію, ти не розумієш своєї вигоди. Сильний конкурент, такий як Rainbow, — це чудово. Так, вони вас потіснять, ти правий, але будь-сильний гравець, що приходить на ринок, цей ринок розширює. Ти зараз ведеш просвітницьку роботу, ти всім розповідаєш, що таке ключі, і витрачаєш свою енергію. Скільки людей тебе почують? А коли вас буде двоє — почують як мінімум удвічі більше. Разом ви розширюєте ринок, ви його розсовуєте“.

Тут не можна не відзначити ще одна обставина, що характеризує нинішню ситуацію на ринку електронних ключів: розмовляючи зі спеціалістами та керівниками трьох провідних компаній, я тричі почув фразу „Про конкурентів — або добре, або нічого“. Це не було голою декларацією: всі, з ким я розмовляв, неухильно дотримувалися цього правила, ніж чимало ускладнили мою задачу. Навіть про широко відомих фактах, таких як зламування хакерами однією з ранніх моделей ключа HASP, говорилося дуже обережно і доброзичливо. Наприклад, Денис Гаврилов, технічний фахівець компанії MultiSoft так коментував цю історію: „Всі алгоритми, які використовуються у нас та у наших конкурентів досить сильні для свого класу, і по цьому параметру наші продукти знаходяться приблизно на одному рівні. Вибір тут визначається тільки смаком користувача і тим, що він знає про шифрування даних, або іншими чинниками, не пов’язаними безпосередньо з алгоритмом захисту. Що ж стосується злому однією з ранніх версій ключа HASP, то я думаю, причина в тому, що на самій фірмі стався витік інформації, в результаті чого ключ вдалося розкрити. До речі, нові моделі ключів мають помітно більш стійкий захист і практично не піддаються злому“.

Компанія MultiSoft почала просувати в Росії електронні ключі італійської фірми Eutron пізніше своїх маститих конкурентів. Заступник директора MultiSoft Ольга Полякова розповідає: „Те, що ми вважали недоліком, виявилося нашим незаперечною гідністю. Ми прийшли на ринок електронних ключів останніми, коли він уже поділений, і нам довелося брати участь у переділі ринку. Але компанія Eutron, продукцію якої ми виводили на ринок, теж розуміла цю ситуацію і враховувала її в своїй ціновій політиці. В результаті наші ціни були в середньому в півтора рази нижче, ніж у конкурентів, але вже можна сказати, що фірма Eutron хоча і вийшла на наш ринок останньої, сьогодні міцно зайняла на ньому своє місце. До того ж вона врахувала всі помилки і слабкі місця своїх попередників“.

Який ключ вибрати?

Інформація про характеристики конкретних ключів різних виробників представлена на сайтах компаній і легко доступна. Сучасні моделі ключів мають подібні обсяги пам’яті, довговічні і міцні, характеризуються високою стійкістю застосовуваних алгоритмів і тенденцією до переважного використання USB-порту. Порівнювати їх між собою — справа невдячна, тим більше, що надійність захисту багато в чому залежить від того, наскільки грамотно складена програма, яка захищена за допомогою такого ключа. Тим, хто задумає захистити свої програми і дані від несанкціонованого доступу і копіювання, можна порадити проконсультуватися з технічними фахівцями компаній-лідерів. У всіх випадках слід пам’ятати, що захист інформації — це не кінцева мета, а лише засіб ведення бізнесу і зовсім не обов’язково завжди користуватися найнадійнішими з існуючих засобів: важливіше співставляти витрати на захист з вартістю інформації, що захищається

Ось що говорить про це Ірина Ходолева: „Вибираючи електронний ключ, потрібно виходити з того, яке завдання ви збираєтеся вирішувати з його допомогою. Скажімо, для завдань авторизації доступу краще використовувати ключі, спеціально для цього призначені. Якщо мова йде про захист програм, то потрібно враховувати, що сучасні електронні ключі для компанії-розробника можуть служити ще і маркетинговим інструментом просування програмних продуктів на ринок. А якщо думати про захист корпоративної інформації і від атак ззовні, і від деструктивних дій співробітників компанії, то ми вважаємо, що використання ключів лише частково вирішує цю задачу. Повноцінно реалізувати такий захист можна лише в комплексі з іншими засобами“.

Всі три провідні компанії пропонують лінійки електронних ключів з широким спектром можливостей, і вибір може визначатися навіть не якістю захисту як такої (яке, до речі, дуже важко порівнювати моделі одного класу), а безліччю привхідних обставин: ціною, використовуваною операційною системою, особливостями технічної підтримки, об’ємом поставляється з ключем програмного забезпечення і повнотою технічних описів в інструкції по застосуванню захисту, а також характером взаємовідносин виробника ключа з споживачами. Про це варто поговорити особливо.

Знову слово Сергію Груздева: „Я намагаюся дивитися на речі філософськи: скажімо, сьогодні у нас ключі краще, ніж у конкурентів, — у нас є якась фора в півроку чи рік. Може бути, завтра у них буде краще. Тобто “залізо» приблизно одна, все майже те ж саме. Питається: якщо так, то чим ми кращі? Відповідь: ми краще своєю інфраструктурою і досвідом, тобто ми розробникам програм пропонуємо не просто голу «залізяку», а вже готову інфраструктуру бізнесу: канали продажів, бізнес-модель, допомагаємо їм побудувати бізнес. Ми їм пропонуємо концепцію «лего-лэнда»: той кубик, який ви розробите, його треба продавати, він повинен вбудовуватися в систему!

Лихо багатьох російських компаній: роблять відмінний софт, але не вміють його довести до кінцевого коробкового продукту, не вміють його продати, уявити. Є проблема малих колективів з директорами-самоучками, що вийшли з програмістів. Директор — та він же програміст. Він класний програміст, але він мало розуміє в бізнесі. З цією проблемою ми зіткнулися зараз впритул, і одне із завдань, які ми перед собою поставили, це створення інфраструктури продажу і допомогу російським компаніям в подоланні шляху від програми до продукту, а це величезний шлях. Це випуск грамотної документації, якісних маркетингових матеріалів, листівок — таких, щоб кожен споживач міг зрозуміти, що саме він отримає за свої гроші. Чому йому буде простіше і легше жити, чому він буде защищеннее, чому він це повинен купити?

Тут важлива і упаковка, документація, та наявність навчальних курсів: технічний курс для користувачів і sales-курс для дилерів, партнерів, яких треба вчити продавати продукт. Це модель продажів через Інтернет: «скачай, отримай ключ, спробуй програму і після цього купи» (електронні ключі дозволяють чітко відстежити терміни або кількість запусків програми, які надаються користувачеві для ознайомлення з її можливостями, а перекодувати ключ після оплати можна і через Інтернет). Це і продаж російського софта на Заході — ми створили інфраструктуру, ми знайшли інвесторів, ми відкрили офіс в Амстердамі. Сьогодні електронний ключ для нас — це один з гвинтиків системи, а головне — ми знаємо, що треба робити, ми знаємо, як треба продавати і тут, і на Заході. Це ми вміємо, і цим ми сильніші за конкурентів: ми допомагаємо партнерам будувати бізнес, і у нас вже є «конвеєр» з підготовки продукту та його продаж. Зробити продукт мало — його треба продати і заробити гроші, а для цього існує наша програма технологічного партнерства з розробниками”. Цей підхід до побудови партнерських взаємовідносин з клієнтами взагалі характерний для всіх гравців комп’ютерного ринку. Історично склалося так, що продавати продукцію Hi-Tech можна лише за умови сильної маркетингової і технічної підтримки.

Тенденції та проблеми

Чим ширше проникають сучасні інформаційні технології в усі сфери нашого життя, тим більше уваги вимагає захист програм і даних від незаконного доступу і копіювання. Сьогодні USB-ключі видаються самим зручним апаратним засобом, за допомогою якого такий захист може бути реалізована, хоча б вже тому, що вони не потребують спеціальних зчитувальних пристроїв, як смарткарти або таблетки Touch Memory, а обсяг їх пам’яті швидко збільшується. На ринку вже з’явилися USB-брелки, здатні зберігати 128 і більше мегабайт інформації, а це значить, що користувач може всі важливі дані в зашифрованому вигляді) носити з собою, в пам’яті такого ключа, не залишаючи їх на жорсткому диску свого настільного комп’ютера або ноутбука. Навіть розвиваються засоби біометричної ідентифікації користувачів (наприклад, за відбитками пальців або за малюнком рогівки ока) навряд чи витіснять USB-ключі з ринку захисних засобів.

Важлива сучасна тенденція — широке використання криптографічних засобів захисту, включаючи так зване шифрування з відкритим ключем (PKI — Public Key Infrastructure). Проблема в тому, що для широкого застосування криптографічних алгоритмів вони повинні бути сертифіковані ФАПСИ, але при всіх умовах PKI — це технологія близького майбутнього.

З нетерпінням чекають виробники електронних ключів прийняття російського закону про цифровий підпис: як тільки буде узаконено її застосування при здійсненні операцій поряд з традиційними підписом і печаткою, повинен зрости попит на електронні ключі, які допоможуть зробити використання цифрового підпису простим, зручним і найвищою мірою захищеним від підробки.

Ще одна перспективна лінія розвитку USB-ключів — це застосування їх у технології ліцензування програмних продуктів. По суті справи купівля програми все більше перетворюється на покупку ліцензії — права користуватися програмою. Виробники програмних продуктів йдуть на всілякі хитрощі для захисту своїх авторських прав і створюють користувачам помітні незручності — в якості прикладу можна навести оголошену Microsoft політику прив’язки операційної системи Windows XP і Microsoft Office XP до конкретної конфігурації комп’ютера користувача. Це нововведення викликало гучне невдоволення навіть не самим фактом жорсткого ліцензування прав на використання програми, а тим, що воно позбавляє користувачів мобільності — можливості працювати сьогодні на одному комп’ютері, завтра на іншому, післязавтра на ноутбуці і так далі. Проблема елементарно просто вирішується за допомогою USB-ключа: програмне забезпечення може бути встановлене на всіх комп’ютерах, до яких має доступ користувач купив його, але воно буде працювати тільки на тому комп’ютері, в USB-порт якого вставлений його особистий електронний ключ з відповідною ліцензією.

Можливості електронних USB-ключів дозволяють дуже ефективно розмежовувати права доступу до інформації у великих організаціях: наприклад, достатньо відібрати у звільняється з роботи працівника його електронний ключ, щоб вся інформація, з якою він працював в компанії, стала йому недоступною (дані зарубіжних досліджень свідчать про те, що саме через звільнялися співробітників, особливо співробітників IT-підрозділів і системних адміністраторів, відбуваються основні витоку інформації).

Аналіз розвитку ринку електронних ключів показує, що провідні розробники використовують подібні сучасні технології та апаратні засоби, досягають подібних результатів і пропонують користувачам багато в чому подібні послуги. Одним з вирішальних факторів успіху в цій ситуації стає ефективна координація роботи окремої компанії з партнерами, які купують її продукцію. Як це відбувається на практиці, можна буде побачити на осінній виставці «Софтул-2001»: за словами Сергія Груздєва, там планується представити спільний стенд альянсу 10-15 компаній, що створюють апаратно-програмні засоби захисту інформації і використовують їх у своїх розробках. Що ж, подивимося. Чекати залишилося недовго.