Коллеги, представляем вашему вниманию публикацию члена Правления АРСИБ Дмитрия Кострова, в которой автор анализирует аппаратный шифратор, подключаемый к устройству через Bluetooth. Статья была опубликована на сайте ИД Connect.wit.
На прошлой неделе глава «Ростеха» представил Президенту РФ усовершенствованный мини-ПК российской разработки и производства от компании Raydget. Особый интерес вызывает информация о демонстрации шифратора, работающего через телефон Yotaphone («Йотафон») с применением технологии Bluetooth. Оба телефона — Yotaphone и Yotaphone 2 — поддерживают технологию Bluetooth версии 4.0. Стандарт предоставляет скорость передачи данных 1 Мбит/с, при этом два Bluetooth-устройства смогут устанавливать и поддерживать его на расстоянии до 100 м (обеспечивает 128-битное AES-шифрование). Устройство может применяться специальными службами и органами власти. Стоит отметить, что сейчас большинство указанных абонентов используют весьма дорогие «SMP-Атлас М-539» и «SMP-Атлас/2».
Напомним о существовании «специализированных» программ для определения возможности управления «чужим» устройством Bluetooth: Bluesweep Bluetooth (сканер для определения близлежащих беспроводных устройств), Bluediving (пакет, позволяющий тестировать на Bluebug, BlueSnarf, BlueSnarf++, BlueSmack и проводить тесты на проникновение), Blooover, BSS (Bluetooth Stack Smasher), BTScanner , GreenPlaque, Bluesniff, BlueSpam, CIHwBT, BlueZ, BlueScanner и т. д. Также можно вспомнить BlueSniper с возможностью удаленного взлома (более 1,5 км).
Можно предположить, что применяемый аппаратный шифратор, подключаемый по каналу Bluetooth к телефону, защищает информацию, проходящую непосредственно через аппаратное устройство. Среди достоинств аппаратного шифрования быстродействие, неподверженность атакам вредоносных программ, кроме того, оно не требует ресурсов смартфона. К недостаткам можно отнести высокую стоимость (по сравнению с программным модулем шифрования) и необходимость носить два устройства. На смартфон потребуется установить специализированное программное обеспечение для работы с шифратором. Нелишней была бы и возможность самостоятельной генерации ключей шифрования с помощью аппаратного или программного генератора ключей.
Подобные устройства могут найти применение в «гражданской» жизни для обеспечения защиты от перехвата информации абонентов, поэтому есть возможность занять определенную нишу на рынке. Однако после внимательного изучения принципов обеспечения защиты информации «простых» абонентов, с одной стороны, и требования по ОРМ – с другой, а также с учетом фразы «….а потом совместно с ФСБ доработаем для того, чтобы можно было и в коммерцию…», возникает предположение, что «бизнеса» на этих устройствах не будет. Все уже привыкли использовать встроенные механизмы защиты в мессенджеры.
Ну что же, подождем, но, скорее всего, в части «коммерции» получим очередную пустышку.
