Krakowska ABA pracuje nad polską implementacją bezpiecznej stacji roboczej zgodnej z architekturą SINA.

Badania prowadzone od lat przez niemiecki instytut BSI (http://www.bsi.bund.de ) nad architekturą bezpiecznych systemów informatycznych w ramach projektu SINA doprowadziły do budowy bezpiecznych stacji roboczych.

Podobne implementacje, bazujące na dorobku SINA, wkrótce pojawią się w Polsce.

ABA pracuje nad kompleksowym rozwiązaniem określanym jako Bezpieczne Stanowisko Pracy, którego podstawowym elementem ma być odporna na włamania i podsłuch stacja robocza. "Bezpieczna stacja robocza to specjalnie przygotowany terminal graficzny obejmujący specjalną obudowę, płytę główną, oprogramowanie oraz bezpieczne urządzenia peryferyjne. Terminal, bo nikt rozsądny nie będzie budować systemu dostępu do informacji niejawnych w oparciu o komputer z twardym dyskiem" - przekonuje Tomasz Barbaszewski, prezes ABA.

Koncepcja Bezpiecznego Stanowiska Pracy jest jednak szersza niż samo stanowisko komputerowe. "Bezpieczne Stanowisko Pracy obejmuje nie tylko samą stację, ale również jej bezpośrednie otoczenie - pomieszczenie oraz sieć między stacją a serwerem przechowującym poufne dane" - zastrzega.

Kaskadowa kontrola

"Bezpieczna stacja robocza będzie działać zgodnie z następującym schematem. Po włączeniu zasilania z lokalnego modułu pamięci flash uruchomi się «wzmocniona» wersja systemu operacyjnego Linux i za pomocą «skrótów» kryptograficznych sprawdzi integralność swoich komponentów" - mówi Sławomir Jasek, jeden z inżynierów zaangażowanych w projekt.

Jeżeli lokalny system potwierdzi zgodność z wzorcem, system nadzoru na urządzeniu kontrolującym wyda zgodę na uruchomienie kolejnego modułu - tego, który będzie odpowiedzialny za uwierzytelnienie użytkownika. Zanim będzie mógł się on uwierzytelnić, moduł sprawdzi, czy włożona do czytnika karta ma uprawnienia dostępu do tej konkretnej stacji.

Dopiero gdy to potwierdzi, zażąda podania PIN-u przez użytkownika.

Do tego momentu stacja nie będzie mieć możliwości komunikowania się z siecią. Podanie poprawnego PIN-u umożliwi komunikację z przechowywaną na karcie aplikacją szyfrującą i dostęp do zapisanych na karcie kluczy prywatnych użytkownika. Jeden z nich będzie służyć do szyfrowania komunikacji, którą dopiero teraz stacja będzie mogła nawiązać z siecią, a dokładnie z serwerem IPsec.

Cienki i nieulotny

Terminal będzie służyć jedynie do wyświetlania interfejsu aplikacji uruchamianych na zdalnym serwerze. Lokalnie będzie działać tylko klient ICA, X Server i klient RDP. Równolegle ABA zamierza stosować programowe zabezpieczania pamięci RAM przed "wyciekiem" informacji. Bezpieczna stacja musi też być odporna na zdalny podsłuch elektromagnetyczny.

"W celu ograniczenia ulotu elektromagnetycznego zamierzamy zastosować obudowy ekranujące, dzięki którym podsłuchanie emanacji nie będzie praktycznie możliwe. To samo będzie dotyczyć także monitorów i innych urządzeń" - mówi Tomasz Barbaszewski.

ABA rozwija oprogramowanie. Platformę dla bezpiecznej stacji roboczej dostarczy najprawdopodobniej Optimus, choć nie wykluczone że partnerów sprzętowych będzie więcej. Pierwsze egzemplarze będą dostępne w IV kw. br.