Клавиатуры Cherry на страже компьютера


В прошлой статье я рассказывал о базовых моделях клавиатур фирмы Cherry. Сейчас хочется обратить внимание на несколько другой класс продукции, а именно на специальные клавиатуры. Если говорить точнее, то речь сегодня пойдет о двух моделях, предназначенных для обеспечения защиты данных на компьютере. Одна из них снабжена устройством чтения/записи смарткарт и поставляется вместе с ПО для создания и работы с зашифрованными "дисками" на компьютере, а вторая кроме смартридера имеет также встроенный сканер отпечатка пальца и, совместно с ПО BioLogon, предназначена для полной защиты компьютера от несанкционированного доступа. Фактически все особенности данных клавиатур заключаются в наличии дополнительных устройств и программном обеспечении. Если же их не рассматривать, то это вполне обычные представители серий G81 и G83, так что тем, кто не интересуется системами защиты данных (а в целом статья именно о них, ибо о клавиатурах уже по большому счету все сказано в прошлой статье), этот материал можно не читать.

RS6700 (G83-6700LPARB)

Когда я открыл коробку с этой клавиатурой, она показалась мне до боли знакомой :) Все-таки привычка к G83-6104LRNRG сказывается, а данная модель большей своей частью на нее похожа: та же лазерная маркировка кнопок, те же мягко нажимающиеся мембранные клавиши, даже интерфейсный кабель точно такой же — прямой шнур длиной 180 см. В общем, если не считать "прямого" Enter, 16 см ширины этой клавиатуры полностью совпадают с очень распространенными в наших краях самыми простыми моделями серии G83 с интерфейсами PS/2 или АТ. Однако остается еще 4 см: почти пустые, если не считать уютно расположившееся посередине устройство для чтения смарт-карт. А его наличие мгновенно переводит клавиатуру из разряда недорогого ширпотреба в категорию специальных устройств.

Для чего может пригодиться считыватель карт? Ну, например, можно вспомнить, что SIM-карта в GSM-телефонах вообще-то тоже относится к этому разряду, так что можно, например, использовать подобную клавиатуру для архивирования и редактирования записной книжки. Для этого на сайте Cherry есть даже специальная программа. Однако воспользоваться последней мне было не суждено: поместить SIM в устройство чтения можно только при помощи специального держателя, которого под рукой не было. Так что запомним эту сферу применения как один из вариантов и пойдем дальше.

Практически с самого начала своей истории смарткарты (как и появившиеся ранее магнитные) активно использовались в разнообразных системах контроля доступа. Об ограничении доступа мы сейчас говорить не будем (для этого все же больше подходит другая линейка специальных клавиатур Cherry, о которой речь пойдет чуть позже). Поговорим о другом: о программном обеспечении Aladdin Secret Disk, поставляемом с данной клавиатурой.

Помните, в незапамятные времена была такая утилита, как Norton Diskreet? Для тех кто не помнит, скажу о ней пару слов: она умела создавать зашифрованные файлы, которые при помощи специального драйвера выглядели как обычные логические диски. Естественно, доступ к ним защищался паролем, дабы кто попало не смог получить доступ к содержимому хранящихся на данных псевдодисках файлов. Для шифрования применялся алгоритм DES, что на тот момент давало очень неплохую степень защиты.

Собственно Secret Disk имеет ту же самую логику работы с некоторыми улучшениями: во-первых, как и c любой программой для Windows работать с ним удобнее (да и функций больше), во-вторых, можно применять более мощные алгоритмы шифрования (старый DES при сегодняшней вычислительной мощности компьютеров уже слабоват), а в третьих кроме пароля для защиты информации применяются и аппаратные средства: ключи для параллельного или USB порта или смарткарты. А в остальном в первом приближении то же самое: есть на диске зашифрованный файл, есть VXD-драйвер, способный обеспечить к нему доступ как к диску и есть программа менеджер, обеспечивающая управление всем этим безобразием.

Для чего все это нужно пользователям большинства версий Windows понятно: там защиты файлов никакой, а теперь достаточно лишь хранить информацию на таких вот псевдодисках и чувствовать себя сухо и комфортно, даже если винчестер физически украдут (вариант очень уж продвинутого злоумышленника, способного расковырять залежи ТМР-файлов, в том числе удаленных, и получить нужную информацию из них рассматривать не будем — далеко не всегда он реален). В Windows 2000 система шифрования файлов есть, однако возможности Secret Disk несколько шире. Во-первых, двухуровневая защита (смарткарта и пароль) удобнее одноуровневой. Во-вторых, удобнее организовывать доступ нескольких пользователей к секретным данным; более того — можно даже обмениваться зашифрованными файлами между разными компьютерами (в случае встроенной системы шифрования Win2000 файлы передаются в открытом виде). Да и архивные копии файлов тоже будут защищенными — т.е. защита на всех уровня работы. Ну и самое "вкусное": второй пароль — так называемый пароль для доступа под принуждением.

Вот сидите вы за компьютером, что-то делаете, и вдруг врываются злые мужики и говорят: давай-ка сюда свои файлы. Крутых Уокеров в наше время как-то маловато, так что пароль вышибут наверняка. И толку тогда от обычного шифрования данных? В данном же случае, поломавшись для порядка, можно выдать злоумышленникам другой специальный пароль. А реакцию на него можно, например, настроить так: имитация доступа к секретному диску, имитация сбоя системы (BSOD, например) параллельно с уничтожением рабочего идентификатора. Перегрузились, а доступа-то к данным больше нет ;) И вроде вы со всею душой, но вот техника сбойнула и никто в этом вроде как не виноват. Злые мужики могут, конечно, злость на вас в результате сорвать, так что не все в этой жизни хорошо, но это уж как повезет (ну и как себя поведете).

Словом, система приятная. Вполне работоспособная. Попробовал держать на закрытом диске достаточно крупные файлы — замедления при доступе по сравнению с нормальным их хранением не ощущается. Так что хоть машинка у меня и слабенькая (была на момент тестирования), но на шифрование/дешифровку информации с ключом длиной 128 бит в реальном времени ее вполне хватает. Кстати, 128 бит не предел — можно и с длиной ключа 256 бит работать, но это уже для настоящих Джеймсов Бондов :)

Вот, кажется, чего это я все о софте, да о софте хотя писал вроде про клавиатуры? Да просто сильна эта модель именно устройством чтения смарткарт и поставляемым ПО. Если "читалку" не использовать, так ничем данная модель от самых дешевых клавиатур Cherry не отличается. Софт данный, в общем-то, можно и с любым другим устройством чтения карт использовать (да и не только с картами он работает — электронные ключи тоже подойдут), но так удобнее. Именно поэтому я не стал здесь подробно рассказывать о настройке и установке ПО — желающие получить представление об этом могут посмотреть все на отдельной страничке. В общем, в том-то и сила специальных клавиатур: тут не на эргономику самой "доски" смотреть надо (она такая же, как у базовой модели), а на встроенные дополнительные устройства и их возможности, причем желательно реализуемые софтом из комплекта: дешевле выходит обычно.

Personal ID Keyboard Singlecore-FPR (G81-12002LDVRB)

Согласно приведенной расшифровке артикула можно понять, что перед нами полумеханическая клавиатура с русскими буквами и маленькой ("прямой") кнопкой Enter. Букве L верить нельзя: в надписях на кнопках используются два цвета, так что это явно не лазерная гравировка. Буква D в позиции способа подключения, по-видимому, сокращение от dual: этой клавиатуре для функционирования нужны два порта (PS/2 и параллельный). А V, судя по всему, говорит о том, что в клавиатуру кроме сканера встроено устройство для работы со смарткартами, работающее через стандартный клавиатурный порт (модели, использующие последовательный порт, вместо этой буквы в той же позиции содержат символ Т).

Итак, отпечатки пальцев… Сразу повеяло детективами, жуликами и полицейскими :) Связь тут есть: действительно, отпечатки пальцев являются строго индивидуальными особенностями каждого человека (даже у близнецов они разные). Ну а если с их помощью можно точно определить человека, то они как нельзя лучше подходят для разграничения доступа к компьютеру. Ведь пароль можно подобрать или подсмотреть, смарт- или магнитную карту просто украсть, а вот с биометрическими параметрами человека ничего не сделаешь. Даже в случае банального убийства и сдирания кожи с пальцев с целью последующего ее подсовывания сканеру современные устройства все равно забьют тревогу. Именно поэтому подобные системы ограничения доступа получили достаточно широкое распространение в соответствующих сферах.

Обычно для сканирования пальца используются отдельные устройства, подключаемые к параллельному порту компьютера. В данном случае сканер встроен в клавиатуру. Однако объединение это чисто механическое: подключается он все равно к тому же принтерному порту. Клавиатура легко способна работать и при отключенном от компьютера сканере. Более того: встроенный в нее считыватель смарткарт тоже абсолютно независим и требует установки собственного программного обеспечения. Необходимое для работы сканера ПО в комплекте поставляется: система BioLogon 2.0 от Identicator Technology (подразделение компании Identix, практически монополизировавшей рынок сканеров для контроля по отпечатку пальцев).

На сайте Cherry сказано, что установка программного обеспечения для этой клавиатуры не вызывает трудностей. Не верьте! Проблемы вполне возможны, в чем я и убедился на собственном опыте. Во-первых, софт отказался устанавливаться на компьютер с Windows ME. Точнее, установиться-то он пытался, однако не мог опознать версию DCOM в составе этой ОС. Попытка же установить более старую версию (с компакта с BioLogon) поверх более новой, естественно, ни к чему не приводила. Поход на сайт Identix не дал никакой практической пользы, кроме того, что я точно узнал, что поддерживаются Windows 95, 98, NT4, а с весны этого года и Windows 2000. О МЕ не было ни слова. Пришлось мне снести Millenium и поставить Win98. После этого софт установился и даже заработал, но лишь до того момента, когда Office 2000 обновил IE с 4.0 до 5.0: в процессе сего апгрейда "умный Експлорер" изменил способ входа в сеть в настройках, установив вместо BioLogon стандартный вход. Вся защита полетела к чертям, пока я руками не восстановил статус-кво. Так что не все так просто. Хотя это вина не Cherry, а Identix: остальной части клавиатуры все равно под чем работать (хоть DOS, хоть Windows, хоть Linux).

Впрочем, защищать при помощи такой системы индивидуальный компьютер с 9Х/МЕ все равно смысла мало: при загрузке в Safe Mode драйвера не загружаются. Правда, и сетевые драйверы в этом режиме не загружаются, так что на сетевой рабочей станции такой аппаратно-программный комплекс может сослужить хорошую службу, особенно если с этого компьютера возможен доступ к серверу с конфиденциальной информацией. При этом на сам сервер стоит установить BioLogon Server и больше никогда не думать о сетевых паролях и прочих неудобствах.

Вообще говоря, вопрос работы с биометрическими системами контроля доступа (особенно в корпоративных сетях) выходит за рамки данной статьи. Интересующиеся им могут почитать другие материалы в сети, благо их немало (в ближайшее время мы планируем более серьезно проработать данный вопрос и на нашем сайте). Я лишь вкратце скажу, что в плане защиты может сделать данная модель клавиатуры с установленным ПО и как она это делает (иллюстрации, как и в предыдущем случае, можно посмотреть отдельно — если кому интересно).

Итак, G81-12002LDVRB имеет сканер отпечатков пальца и считыватель смарткарт. Наличие этих двух устройств позволяет организовать многоуровневую защиту компьютера: смарткарта плюс отпечаток пальца (два уровня) или смарткарта плюс отпечаток плюс пин-код (три уровня), что, естественно, куда надежнее, чем обычный алфавитно-цифровой пароль. Степень безопасности можно настроить. К примеру, можно полностью отключить обычный вход в систему при помощи имени пользователя и пароля. Одна смарт-карта может хранить информацию о нескольких пользователях, что удобно если к компьютеру должны иметь доступ несколько человек: заносим их имена на карту, присваиваем каждому свой пин, обучаем систему распознавать их пальцы и все. Поставляемая в комплекте с ПО смарт-карта поддерживает до шести пользователей, но ничто не мешает докупить еще несколько карт (опять же — способ разбить пользователей на группы). Крайне удобной вещью является автоматическая блокировка рабочей станции, если карта извлечена из устройства чтения. Вообще говоря, это можно сделать и вручную, однако необходимости выполнения для этого нескольких операций, а потом еще и ввода пароля приводит к тому, что пользователи благополучно на это "забивают" (и административными методами ничего сделать не удается). А тут все просто: встал с рабочего места — выдерни карту и положи в карман. Вернулся — вставь ее обратно и приложи палец к сканеру. Просто? Еще бы. Кстати: даже если не работать со смарткартами, а ориентироваться только на отпечаток пальца, блокировка доступа к компьютеру все равно осуществляется легче, чем в стандартном случае — достаточно лишь двойного щелчка по значку BioLogon в трее.

Нужно ли все это в каждом конкретном случае? А это все зависит как раз от этого самого случая :) Вообще говоря, данная модель клавиатуры стоит столько же, сколько вполне работоспособный офисный компьютер (это ни в коей мере не преувеличение — собрать вполне работоспособный компьютер с 15" монитором за эти деньги сегодня более чем реально), так что внедрять такие средства на каждом рабочем месте смысла нет никакого. Однако если из-за несанкционированного доступа можно потерять несколько десятков тысяч долларов, то совсем нет смысла экономить четыре сотни. Так что нужно считать, что будет дешевле: заранее обеспечить надежную защиту или вообще не напрягаться по этому поводу, ограничившись (в крайнем случае) стандартными средствами Windows NT/2000. Правда не стоит забывать и о том, что считыватель смарт-карт можно использовать не только для усиления защиты компьютера, но и по прямому назначению. Так что в банке такие клавиатуры вообще будут смотреться идеально: там и секретность соблюдать надо, и чиповые кредитки уже получают все большее и большее распространение. Можно, кстати, кроме ограничения физического доступа использовать эту клавиатуру и с системой шифрования данных типа Aladdin Secret Disk (о которой говорилось выше). С этой клавиатурой в отличие от RS6700 ничего подобного не поставляется, но если купить отдельно, то работать будет. В общем G81-12002LDVRB на самом деле мечта параноика или просто очень осторожного человека, ценящего безопасность своих данных.

О самой же клавиатуре говорить опять же особо нечего: это классическая полумеханическая G81. В результате практически все сказанное про базовую модель относится и к ней. Отличий только два. Во-первых, другие подписи к светодиодам. И если символы у NumLock и CapsLock вполне понятны, то последний индикатор (на стандартных клавиатурах отображающий состояние ScrollLock) теперь помечен так, как будто его единственная функция это гореть тогда, когда в клавиатуру вставлена смарт-карта (кстати, несмотря на обозначения, для этого он используется и в других клавиатурах со считывателем карт). Кроме того, выделяется интерфесный кабель: это толстый и слабогнущийся шнур длиной 180 см, раздваивающийся на разъемы для параллельного и клавиатурного порта. Как ни странно, но, несмотря на такую интеграцию, клавиатура не очень широкая: те же 20 см, что и в случае с базовых моделей механических и полумеханических клавиатур. Однако проблем со свободным местом в данном случае все же больше: на выдвижной полке клавиатуру расположить удастся не всегда, поскольку в таком случае слот для смарт-карт может оказаться под верхней крышкой стола, а, значит, карту в него не вставишь.

Итоги

Несложно заметить то, о чем я предупреждал в самом начале: ничего нового именно о клавиатурах как таковых в этой статье не было. Secret Disk спокойно работает с любыми смартридерами (и не только с ними). Сканер отпечатка пальца и софт от Identicator также можно приобрести отдельно. Фактически эти модели представляют собой лишь механическое объединение стандартной клавиатуры (G81 или G83) с соответствующим аппаратным обеспечением. В случае со сканером отпечатка пальца даже на проводах и разъемах сэкономить не выйдет: все равно для подключения требуются два порта.

Таким образом, обращать внимание на описанные выше модели клавиатур стоит лишь если нужна клавиатура и соответствующие устройства одновременно. Если же клавиатура уже есть и полностью устраивает, то менять ее на подобные модели нет никакого смысла. Например, вместо того, чтобы менять что-нибудь серии G80 на описанную выше G83-6700LPARB (ну совсем не интересная замена ;)), лучше уж приобрести отдельно смартридер и необходимое программное обеспечение. Такой вариант будет и удобнее, поскольку не придется менять механическую клавиатуру на мембранную, и, возможно, дешевле, особенно если удастся воспользоваться внутренним смартридером, разъемы для подключения которого есть на многих современных платах. Это один лишь пример, но при желании их можно придумать массу. Однако если закупать все с нуля, то эти модели будут отличными кандидатами на покупку.



Клавиатуры предоставлены Российским представительством Cherry




Дополнительно