Стремительное развитие информационных технологий предусматривает использование больших объемов информации в разных отраслях деятельности человека.

Несмотря на усовершенствование методов защиты информации, постоянно злоумышленниками придумываются новые способы, как получить несанкционированный доступ к данным других людей.

Чтобы минимизировать вероятность их угрозы и защитить конфиденциальные данные широко используется аппаратная защита информации.

Она предусматривает применение разного рода аппаратных устройств и приспособлений, которые заблокирую несанкционированный доступ со стороны киберзлоумышленников.

Защита программного продукта

Важным аспектом защиты информации является комплекс процедур, обеспечивающих защиту программного обеспечения, используемого той или иной компанией, предприятием или частными пользователями.

Защита софта предусматривает исключение его неправомерного использования, модифицирования исходного кода, создание копий, нелегального распространения.

Чтобы защитить софт от перечисленных угроз широко используют такие инструменты, как электронные ключи доступа и смарт карты.

Электронные ключи

Электронный ключ представляет собой специальное устройство, которое содержит в себе лицензионные данные, обеспечивающие возможность полноценного использования софта.

Без получения этих данных программа работать не будет или будет работать с ограниченным функционалом.

Электронный ключ предназначается для подключения к одному из интерфейсов компьютера, через который происходит считывание требуемой информации.

Среди электронных ключей, которые обеспечивают аппаратные методы защиты информации, используются устройства:

для чтения записи информации для разблокирования программы;
с криптографическими алгоритмами шифрования/дешифрования лицензионных данных;
на основе микропроцессора, способного обрабатывать специальные алгоритмы разработчика софта, блокирующие работу ПО.

К основным преимуществам электронных ключей относятся:

возможность использования на любом компьютере с соответствующим интерфейсом;
с помощью этих ключей могут выполняться криптографические преобразования;
посредством ключей может выполняться произвольный код, встроенный разработчиком софта.

Смарт карты

Эти аппаратные средства представляют собой специальные электронные ключи, которые надежно защищают программные продукты от пиратства и неправомерного использования.

Они выполнены в виде устройств, владеющих встроенным чипом, который может реализовывать произвольный информационный код и хранить любую информацию.

Для хранения этих данных и различных кодов смарт карта владеет энергонезависимой памятью.

На сегодняшний день программно-аппаратная защита информации может осуществляться с помощью контактных смарт карт с одним из поддерживаемых компьютерной системой интерфейсов или с помощью бесконтактных устройств, считывание данных с которых осуществляется посредством использования специального устройства-считывателя.

К основным преимуществам смарт карт относятся:

более высокая система защиты данных от неправомерного использования;
возможность обработки информации с помощью встроенного чипа и ее хранения в энергонезависимой памяти;
поддержка различных интерфейсов и бесконтактной формы чтения/записи данных;
большой эксплуатационный период.

Меры защиты для одиночного ПК

Чтобы успешно реализовать глобальную задачу по защите программного обеспечения, используемого компаниями, важно использовать программно аппаратные средства защиты информации отдельных компьютеров сотрудников.

Для реализации этой задачи широко используются платы аппаратного шифрования и средства уничтожения носителей информации.

Платы аппаратного шифрования

Аппаратные средства защиты информации этого типа представляют собой специальные устройства, которые устанавливаются в компьютер с целью защиты обрабатываемой на нем информации.

Эти модули позволяют выполнять процедуру шифрования данных, которые записываются на накопитель компьютера или передаются на его порты и дисководы для последующей записи на внешние носители.

Устройства отличаются высокой эффективностью шифрования информации, но не имеют встроенной защиты от электромагнитных наводок.

Кроме стандартных функций шифрования, эти устройства могут владеть:

встроенным генератором случайных чисел, применяемым для генерирования криптографических ключей;
встроенным алгоритмом доверенной нагрузки, который позволяет контролировать процедуру входа на компьютер;
контролем целостности файлов используемой ОС с целью предупреждения их видоизменения злоумышленниками.

Средства уничтожения носителей

Это еще один высокоэффективный аппаратный способ защиты информации, исключающий ее попадание в руки злоумышленников.

Механизм действия этих средств заключается в том, чтобы моментально уничтожить данные, хранимые на жестком диске или твердотельном накопителе в момент попытки их кражи.

Встраиваемый модуль экстренного уничтожения файлов и информации с дисков памяти

Уничтожению могут поддаваться файлы определенного типа или вся информация, которая хранится на персональном компьютере, ноутбуке, флешке или сервере.

Уничтожители могут реализовываться в виде компактных флэш-накопителей, используемых для удаления документов с ПК, встраиваемых или внешних устройств уничтожения информации на жестких/твердотельных дисках компьютера, напольных систем, устанавливаемых в DATA-центрах и серверных.

Единственным недостатком этих систем является то, что данные уничтожаются полностью и бесповоротно.

Поэтому чтобы компания сама не осталась без важных данных, при использовании средств-уничтожителей, обязательно следует предусмотреть системы резервного копирования и архивирования данных.

Заключение

Выше было рассмотрено, какие существуют аппаратные способы защиты информации от несанкционированного доступа, видоизменения и неправомерного использования.

Чтобы гарантировать максимальную защиту данных важно использовать комплекс мер, который позволит защищать информацию на каждом уровне информационной среды, начиная с персонального компьютера сотрудника и заканчивая центральным сервером компании.

Правильно построить систему защиты и выбрать оптимальные варианты аппаратной защиты помогу квалифицированные сотрудники соответствующих компаний, специализирующихся на реализации и установке средств защиты информационной среды.

Видео: «Познавательный фильм»: Защита информации

На сегодняшний день аппаратные ключи являются одним из самых надежных средств защиты информации, содержащейся в компьютере. Они применяются в самых различных областях: для безопасного хранения паролей, идентификации пользователей, защиты программного обеспечения от пиратов и т. д. Между тем сами ключи тоже нуждаются в серьезной защите.

Дело в том, что злоумышленники очень часто пытаются получить доступ к программе или секретной информации с помощью взлома именно устройства, обеспечивающего безопасность. Давайте же рассмотрим, как разработчики электронных ключей защищают свои продукты от хакеров. А для примера возьмем технологию Stealth. Ее создала компания «Актив» для своих ключей Guardant, предназначенных для защиты ПО от пиратов.

Коды доступа к электронному ключу

Одним из средств защиты ключа согласно технологии Stealth являются коды доступа. Они представляют собой последовательности из 32 бит, которые «вшиваются» в устройство и недоступны для чтения и модификации. Существует два типа кодов - общий и личные. Первый из них не является секретным, он служит только для идентификации ключей конкретного пользователя защиты.

Технология Stealth предусматривает существование трех разных личных кодов. Private Read code позволяет проверить наличие ключа, подключенного к компьютеру, считать содержимое его памяти и получить ответ аппаратных алгоритмов. Без знания Private Write code невозможно осуществить запись данных в устройство. Ну а Private Master code открывает полный доступ ко всем операциям с ключом. Каждый из этих кодов нужно держать в тайне, поскольку, получив их, злоумышленник сможет воспользоваться устройством в своих целях.

«Ну а для чего нужно было придумывать три кода вместо одного?» - наверняка спросят многие читатели. Ответ на этот вопрос очень прост: именно таким образом существенно повышается безопасность. Ведь для работы с ключом необходимо, чтобы приложение «знало» код доступа к нему. То есть получается, что эта конфиденциальная информация все-таки где-то сохраняется.

И теоретически возможно, что хакер, получив доступ к компьютеру, сможет ее найти. Хотя в реальной жизни это осуществить не так просто. Так вот, большинству приложений для работы хватает разрешения только на чтение данных из ключа, а также использования его аппаратных алгоритмов. Таким образом, если хакер сможет взломать защищенное приложение, то он получит только Private Read code. Перезаписать же память ключа он не сможет.

Аппаратные запреты

Ключи, выполненные с использованием технологии Stealth, как и многие другие устройства защиты, имеют собственную энергонезависимую память. Ее содержимое очень важно. Ведь если хакер получит данные, находящиеся в памяти ключа, он сможет воспользоваться ими для получения несанкционированного доступа к данным, взлома защищенного приложения, создания эмулятора устройства и т. п. Согласитесь, все это очень неприятно.

Технология Stealth позволяет полностью решить рассмотренную проблему. Для этого в памяти ключа создается специальная защищенная область с аппаратными запретами на чтение и запись ее содержимого. Таким образом, считать информацию, находящуюся в такой зоне, невозможно с помощью любых программных средств: устройство просто-напросто не ответит ни на один подобный запрос. Причем хакеры могут даже не стараться и не создавать новые инструменты для обхода наложенных ограничений. Все-таки аппаратный уровень расположен «ниже» программного, так что обойти запреты с помощью каких-либо утилит невозможно.

Первоначально аппаратные запреты вводятся только на область энергонезависимой памяти, в которой находятся дескрипторы программных алгоритмов. Это очень важно. Дескрипторы являются основой для преобразования данных, поэтому невозможность их чтения является гарантией того, что аппаратные алгоритмы ключа не будут продублированы в эмуляторе. Кроме того, пользователь с помощью специальных программных средств, входящих в комплект поставки, может сам создавать защищенные области в доступной ему памяти электронного ключа. В будущем у них можно изменять размеры (уменьшать или увеличивать доступный объем). Кроме того, пользователь может и удалять области памяти с аппаратными запретами на чтение и запись информации.

«Но постойте! - воскликнут сейчас некоторые читатели. - Раз пользователь может снять запреты на работу с памятью, то почему бы этого не сделать и хакеру?» И действительно. Раз владелец ключа с помощью специальной утилиты может легко удалить защищенные области, то, значит, и хакер сможет воспользоваться тем же программным обеспечением. Вот только тогда возникает другой вопрос: «А зачем это делать?»

Оказывается, когда кто-либо снимает аппаратные запреты с защищенной области памяти, вся информация, которая в ней располагалась, уничтожается. Причем уничтожается навсегда и не поддается восстановлению. Владелец ключа знает, что именно находилось в удаленной области, поэтому после снятия аппаратного запрета он легко сможет восстановить данные. Ну а хакер получит абсолютно чистую память, в которую он сможет записывать все что угодно.

Вот только пользы от этого для злоумышленника никакой нет - ему-то была нужна информация, а она оказывается уничтоженной. Таким образом, аппаратные запреты на чтение и запись определенных областей памяти надежно защищают секретные данные, необходимые для построения защиты. И даже если злоумышленник завладел вашим ключом, он все равно не сможет получить всю информацию, которая в нем содержится.

Итак, уважаемые читатели, давайте подводить итоги. Аппаратные ключи, выполненные с использованием технологии Stealth, достаточно надежно защищены от злоумышленника. По крайней мере, он не сможет получить доступ к важной информации, используя специальное программное обеспечение. Правда, нужна еще защита и от аппаратных устройств, которыми могут пользоваться хакеры для доступа к памяти ключа. Но это уже, как говорится, совсем другая история.

Продолжает расти популярность решений на основе PKI - всё больше сайтов переходят на HTTPS, предприятия внедряют цифровые сертификаты для аутентификации пользователей и компьютеров, S/MIME доказывает свою состоятельность и для шифрования электронной почты, и как способ проверки источника сообщений для противодействия фишингу. Но шифрование и аутентификация в этих приложениях практически бессмысленны без правильного управления ключами.

Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей . Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.

Во многих случаях секретные ключи - личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами.

В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).

Хранилища сертификатов/ключей в ОС и браузерах

Примеры: хранилище сертификатов Windows, связка ключей Mac OS

В некоторых операционных системах и браузерах есть хранилища сертификатов или ключей. Это программные базы данных, которые локально на вашем компьютере хранят пару из закрытого и открытого ключей как часть сертификата. Такое хранение ключей довольно популярно: многие приложения автоматически сразу ищут ключи здесь, и не нужно вручную каждый раз указывать файл сертификата, так что это довольно удобный вариант.

Ещё один плюс такого варианта - его довольно легко настраивать. Вы можете включить/отключить экспорт закрытого ключа, включить для него надёжную защиту (ввод пароля при каждом использовании сертификата), и можно создать резервные копии, если закрытый ключ экспортируется. Кроме того, при включении роуминга профилей в Windows сертификат привязывается к профилю и становится доступным при входе на другой компьютер с этим профилем.

Если решите выбрать такой вариант, то следует учесть несколько аспектов. Во-первых, даже если пометить закрытый ключ как неэкспортируемый, некоторые утилиты могут обойти эту защиту (то есть невозможность экспорта не гарантирована). Кроме того, если кто-то работал под вашей учётной записью, а вы не включили сильную защиту закрытого ключа (пароль при использовании сертификата), то они могут использовать ваш сертификат. Наконец, если ваш закрытый ключ помечен как экспортируемый, то кто-нибудь за вашим компьютером сможет экспортировать его. Даже если у вас включена защита секретного ключа, при экспорте пароль не спрашивается.

И последнее: Chrome и IE используют хранилище сертификатов Windows, в то время как у Firefox собственное хранилище сертификатов (от Mozilla). Это значит, что если вы импортируете сертификат в хранилище Windows, то Chrome и IE автоматически найдут его, а Firefox нет.

Типичные приложения:

Приложения для цифровой подписи (например, Adobe Acrobat, Microsoft Outlook и Office будут обращаться в хранилище сертификатов Windows [пользовательское]).
Сервер Microsoft IIS тоже ищет SSL-сертификаты в хранилище сертификатов Windows [общем для компьютера].
Аутентификация клиента (пользователя или компьютера), в зависимости от настроек, чаще всего обращается к хранилищу сертификатов Windows.
Подпись кода в Windows (приложения и драйверы).

Файлы.pfx и.jks (хранилища ключей)

Файлы PKCS#12 (.pfx или.p12) и.jks* (созданные инструментом Java Keytool) содержат ваши закрытый и открытый ключи. В отличие от локальных хранилищ для ОС и браузеров, эти файлы могут размещаться практически в любом месте, включая удалённые серверы, и всегда защищены паролем (то есть каждый раз при использовании своего секретного ключа нужно ввести пароль). Другая привлекательная особенность: поскольку это просто файлы, то несложно разослать копии для нескольких человек, которым нужно использовать сертификат.

Если решите сохранить файл на удалённом сервере, то следует особенно позаботиться об ограничении доступа к нему. Если кто-то получит доступ, то сможет использовать ваш сертификат. Аналогично, следует быть особенно осторожным с лёгким копированием и распространением этих файлов. Хотя это и большое удобство для вас, но одновременно и злоумышленнику будет просто сделать копию, если он получит доступ к вашему хранилищу ключей. Пароль закрытого ключа по-прежнему необходим для эффективного использования скопированного файла. Это еще одна причина, чтобы использовать надёжные пароли из 15-ти и больше символов, содержащие заглавные буквы, цифры и специальные символы. С этим вариантом хранения нужно учитывать ещё одну вещь: на конечного пользователя накладывается больше ответственности с точки зрения того, где находится файл и правильно ли он хранится.

Если вы не можете использовать криптографическое оборудование или хранилище ключей Windows (описано выше), но всё же хотите повысить безопасность (вместо того, чтобы просто разместить файл хранилища ключей на компьютере), то можно записать этот файл на флэшку, которая будет лежать в безопасном месте. Конечно, здесь теряется некоторое удобство, так что если нужно часто использовать подпись, то вы скорее захотите хранить файл локально для облегчения доступа.

Типичные приложения:

Подписание кода Windows или Java.
FDA ESG и IRS IDES используют.pfx для безопасной связи с американскими госслужбами.
Некоторые веб-серверы (например, Apache Tomcat или Jboss).

* Примечание: Java недавно перешла с JKS на PKCS#12 в качестве типа хранилища ключей по умолчанию.

Криптографические токены и смарт-карты

Как вскользь упомянуто выше, можно повысить безопасность, если хранить секретный ключ на отдельном оборудовании. Но есть большая разница между использованием криптографических токенов или смарт-карт и стандартных флэш-накопителей. С криптографическим оборудованием ключ генерируется на самом оборудовании и не экспортируется. Закрытый ключ никогда не покидает устройство, что сильно затрудняет постороннему получение доступа и компрометацию.

Примечание: если вы хотите дополнительно обезопасить закрытый ключ, который уже сгенерирован ранее (т. е. не на самом токене), то можно импортировать.pfx-файл на токен, а затем удалить оригинальный.pfx.

С токеном каждый раз при использовании сертификата нужно вводить пароль. Это значит, что даже если кто-то получит ваш токен, ему всё равно понадобится пароль. Хранение ключа в токене означает, что вы можете безопасно использовать один и тот же сертификат на нескольких компьютерах без необходимости создания нескольких копий и прохождения процесса экспорта/импорта. Криптографическое оборудование соответствует FIPS , что требуется для некоторых отраслевых и государственных регламентов.

Конечно, есть некоторые другие соображения, которые следует иметь в виду, если вы решите выбрать такой вариант. Кроме дополнительных сложностей управления токенами, такой вариант может не работать с автоматическими сборками из-за требования ввести пароль при каждом использовании сертификата. Также нет никакого способа создать резервную копию сертификата, поскольку закрытый ключ не экспортируется (недостаток дополнительной безопасности). Наконец, в некоторых сценариях такой вариант хранения просто невозможен. Например, если специализированные устройства не поддерживают токены или смарт-карты. Или в ситуациях, когда сотрудники не имеют физического доступа к компьютеру, а работают с удалённых терминалов.

Типичные приложения:

Как правило, все варианты использования, перечисленные для хранилищ в ОС/браузере (подпись документов и кода, аутентификация клиента, Windows IIS), поддерживают крипто-токены или смарт-карты - если есть соответствующие драйверы. Однако это не всегда практично (например, в веб-серверах или автоматизированных системах сборки для подписи кода, которые будут требовать ввод пароля каждый раз при применении подписи).

Соответствие нормативным требованиям - одна из основных причин использования криптографических токенов.

Обязательно для подписания кода расширенной проверки (EV) в соответствии с рекомендациями форума CA/Browser .
Рекомендуется для стандартной подписи кода в соответствии с минимальными требованиями CA Security Council . Центры сертификации обязаны рекомендовать криптографическое оборудование в качестве основного варианта выдачи сертификатов. Если криптографическое оборудование не выдаётся, клиент должен подписать соглашение, что будет хранить закрытый ключ на каком-то съёмном оборудовании (которое вынимается после подписания).
Требуется для цифровой подписи и получения доверенного статуса в программах Adobe, в соответствии с требованиями Adobe Approved Trust List (AATL) .
Отраслевые правила, такие как CFR 21 часть 11 от FDA и требования к цифровой подписи в отдельных странах часто говорят о секретном ключе, который находится в единоличном владении собственника. Хранение на криптографическом оборудовании отвечает этим требованиям.

Аппаратные криптографические модули (HSM)

HSM - ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях), то HSM предоставляют API, поддерживают автоматизированные рабочие процессы и автоматизированную сборку. Они также соответствуют требованиям FIPS и обычно обеспечивают более высокий рейтинг, чем токены.

Традиционно HSM - это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии. К счастью, в последние годы появились облачные модули HSM, которые предоставляют многие из преимуществ локальных HSM, не нуждаясь в локальном обслуживании.

Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign .

Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service , где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников. В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу). Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной. С помощью этой новой службы цифровые подписи отдельных сотрудников внедряются без необходимости самостоятельно управлять HSM (и без риска потери токенов сотрудниками).

Типичные приложения:

Подпись документов или кода в большом количестве.
SSL (в зависимости от конфигурации сервера).
Инфраструктура ЦС для работы собственного ЦС (корневого ЦС, подчинённого ЦС, сервера меток времени RFC 3161) в офлайне или онлайне (корневой ЦС, как правило, работает в офлайне).

Будущие методы хранения ключей

Мы рассмотрели основные варианты, которые использовались в течение многих лет. Но кажется, что ничто в мире информационной безопасности, в том числе и хранение ключей, не застраховано от влияния IoT, так что разрабатываются новые варианты.

По мере того как все больше и больше устройств подключаются к сети с необходимостью аутентификации и безопасного обмена данными, многие разработчики и производители обращаются к решениям на основе PKI. В свою очередь, это приводит к новым соображениям, требованиям и технологиям защиты закрытых ключей. Ниже приведены две тенденции, которые мы видим в этой области.

Доверенный платформенный модуль (TPM)

Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением. Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей. В то время как многие ноутбуки уже поставляются с TPM, пока эта технология не слишком широко используется в корпоративном секторе. Однако в мире IoT они часто применяются для безопасной индентификации устройств как аппаратный корень доверия .

IoT создал проблему, когда много анонимно взаимодействующих устройств облегчают хакерам перехват сообщений или имперсонификацию устройств. Модуль TPM внедряется ещё на этапе производства для защиты криптографического ключа и, следовательно, для надёжной идентификации устройства.

При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата. Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат - это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.

Физически неклонируемые функции (PUF)

Технология физически неклонируемых функций (PUF) - это сдвиг парадигмы в защите ключей. Вместо хранения ключей (с вероятностью физической атаки) они генерируются из уникальных физических свойств статической памяти SRAM конкретного чипа и существуют только при включении питания. То есть вместо надёжного хранения закрытого ключа один и тот же ключ восстанавливается снова и снова по требованию (пока устройство не выйдет из строя). Этот ключ гарантированно уникален, потому что при генерации используется присущая неконтролируемая неупорядоченность в кремниевой структуре чипа.

Технология PUF в сочетании с доверенной средой исполнения (TEE) - привлекательное решение, если требуется недорогая, простая в интеграции и ультра-безопасная защита ключа. PUF вместе с PKI составляют исчерпывающее решение для идентификации.

Наш партнёр Intrinsic ID разработал такую систему подготовки ключа на основе SRAM PUF, которая производит уникальные, защищённые от подделки и копирования идентификаторы устройств на аппаратном уровне. Используя наши службы сертификации, мы переводим эти идентификаторы в цифровые удостоверения, добавляя возможности PKI. Таким образом, каждому устройству присваивается уникальная, защищённая от клонирования пара ключей, которая не хранится на устройстве в выключенном состоянии, но устройство способно воссоздать этот ключ по запросу. Это защищает от атаки на выключенное устройство.

Андрей Беспалько

Компания "Актив"

Этот обзор посвящен вопросам защиты программного обеспечения от компьютерного пиратства, а точнее, электронным ключам - одному из самых распространенных на сегодняшний день способов защиты программных продуктов.

Электронные ключи - это фактически единственное решение для защиты программ, которое обеспечивает приемлемый уровень защиты и, одновременно, доставляет наименьшие неудобства конечным пользователям.

Методы защиты программ

Среди решений, предлагаемых для защиты тиражируемого ПО, можно выделить несколько основных групп.

Использование ключевых дискет и компакт-дисков со специальным покрытием, паролей и регистрационных номеров

Эти методы защиты не требуют больших финансовых издержек при внедрении, однако обладают низкой стойкостью к взлому. Вследствие чего, применение такой защиты оправдано только для ПО нижней ценовой категории. Для подобных программ важна популярность и большие тиражи (иногда и за счет пиратских копий). Использование более надежной, но и дорогостоящей системы защиты, в данном случае, не будет иметь смысла (даже повлияет отрицательно).

Привязка к уникальным характеристикам компьютера

Стойкость к взлому у этого метода защиты гораздо выше, чем у предыдущих, при небольших затратах на внедрение. Однако из-за особенностей реализации механизма защиты он является самым неудобным для конечных пользователей и вызывает многочисленные нарекания. Ведь программу, защищенную подобным образом, нельзя перенести на другой компьютер, возникают трудности с модернизаций и т. п. Применение такой защиты целесообразно в случаях, когда производитель уверен, что не отпугнет клиентов.

Самый свежий пример использования этого метода - встроенная защита от копирования новых программных продуктов Microsoft.

Программно-аппаратная защита с использованием электронных ключей

На сегодняшний день это - наиболее надежный и удобный метод защиты тиражируемого ПО средней и высшей ценовой категории. Он обладает высокой стойкостью к взлому и не ограничивает использование легальной копии программы. Применение этого метода экономически оправдано для программ стоимостью свыше $80 - 100, так как использование даже самых дешевых электронных ключей увеличивает стоимость ПО на $10-15. Поэтому каждый производитель ключей стремится разработать новые, более дешевые модели для защиты многотиражных недорогих продуктов, не снижая при этом их эффективности.

Электронными ключами, в основном, защищают так называемый "деловой" софт: бухгалтерские и складские программы, правовые и корпоративные системы, строительные сметы, САПР, электронные справочники, аналитический софт, экологические и медицинские программы и т. п. Затраты на разработку таких программ велики, а соответственно высока их стоимость, поэтому ущерб от пиратского распространения будет значителен. Здесь электронные ключи являются оптимальной защитой.

Как видно, выбирая средство защиты, разработчик должен исходить из принципа экономической целесообразности. Защита должна выполнить свое основное предназначение - существенно сократить, а в идеале - прекратить, потери от пиратства, не сильно при этом увеличивая стоимость программы, что может отрицательно отразиться на объеме продаж. Производитель также обязан учитывать интересы пользователей. В идеале защита не должна причинять им никаких неудобств.

Что такое электронный ключ

Электронный ключ предотвращает незаконное использование (эксплуатацию) программы. Часто говорят, что ключ защищает от копирования, но это не совсем верно. Защищенную программу можно скопировать, только копия без ключа работать не будет. Т. о. копирование просто не имеет смысла.

Собственно электронный ключ - это небольшое устройство, которое подсоединяется к одному из портов компьютера, обычно к LPT или USB. Ключ состоит1 из платы с микросхемами (вспомогательные элементы, микроконтроллер и память), заключенной в пластиковый корпус. Микроконтроллер содержит так называемую "математику" - набор команд, реализующих некую функцию или функции, которые служат для генерации информационных блоков обмена ключа и защищенной программы. Иначе эти блоки называются "вопросы и ответы". Память электронного ключа содержит информацию о его характеристиках, а также данные пользователя.

Какие бывают электронные ключи

Электронные ключи чрезвычайно разнообразны по своему исполнению (внутренние и внешние), назначению, внешнему виду и т. п. Их можно также классифицировать по совместимости с программными средами и типами компьютеров, по способу подключения и степени сложности (функциональности) и т. д. Однако рассказ обо всех разновидностях ключей занял бы много времени, поэтому следует остановиться на самых широко применяемых решениях.

Итак, чаше всего используются электронные ключи, предназначенные для защиты локальных и сетевых Windows и DOS-приложений. Основную массу ключей составляют устройства для параллельного и USB-портов. Однако встречаются ключи и для COM-порта, или выполненные в виде PCMCIA-карты.

Для защиты дорогостоящего ПО используют сложные (многофункциональные) ключи, для защиты программ подешевле применяют более простые ключи.

По устройству электронные ключи делятся на

Ключи, не содержащие встроенной памяти. Такие ключи не обеспечивают должную степень защищенности приложения. Ведь только наличие памяти в дополнение к логическому блоку ключа позволяет строить систему защиту любой сложности. В памяти ключа можно хранить информацию, необходимую для работы программы, списки паролей (по существу, электронный ключ может использоваться в качестве средства идентификации) и т. п. Объем памяти большинства современных ключей достигает обычно несколько сотен байтов. Использование ключей без встроенной памяти может быть оправданным только для защиты дешевых многотиражных программ.
Ключи, содержащие только память. Этот класс ключей является морально устаревшим. Такие ключи больше не выпускаются, но достаточно большое их количество пока сохраняется у конечных пользователей ПО.
Ключи на заказном ASIC-чипе. На сегодняшний день это самый распространенный класс ключей. Их функциональность определяется конкретным видом ASIC-чипа. Недостатком таких ключей является, если можно так выразится, "завершенность" конструкции. Диапазон их свойств ограничен определенными при создании микросхемы рамками. Все ключи одной модели работают по одинаковому алгоритму или алгоритмам (т. е. в них содержаться функции одинакового вида). Такая особенность может неблагоприятно сказываться на степени стойкости системы защиты. Ведь часто повторяющаяся модель защиты облегчает задачу взломщика.
Микропроцессорные ключи. Этот тип ключей, в отличие от предыдущего, обладает гораздо более гибким устройством. В контроллер микропроцессорного ключа можно "прошивать" программу, реализующую функции, разные для каждого клиента. В принципе, любой микропроцессорный ключ легко можно запрограммировать так, что он будет работать по своему, уникальному алгоритму.

Электронный ключ - это аппаратная часть защиты. Программную часть составляет специальное ПО для работы с ключами. В его состав входят инструменты для программирования ключей, утилиты установки защиты и диагностики, драйверы ключей и др.

Защита программ с помощью ключа

Установка

Чтобы установить систему защиты необходимо предпринять следующее:

запрограммировать нужным образом электронный ключ, т. е. внести в его память информацию, по которой защищенная программа будет идентифицировать ключ
"привязать" к ключу программу путем установки автоматической защиты и/или защиты при помощи функций API

Программирование электронного ключа

Для программирования памяти ключа, в основном, используют специальные утилиты4, с помощью которых считывается и перезаписывается содержимое полей памяти, редактируются, изменяются или удаляются сами поля, производится дистанционное программирование ключа. Также утилиты программирования используются для отладки схемы защиты. С их помощью проверяют правильность выполнения функций API, создают массивы вопросов и ответов ключа и т. п.

Способы защиты

Есть системы защиты, которые устанавливаются на исполняемые программные модули (навесная или автоматическая защита), и системы защиты, которые встраиваются в исходный код программы (защита при помощи функций API).

Автоматическая защита

Исполняемый файл программы обрабатывается соответствующей утилитой, входящей в комплект ПО для работы с ключами. Как правило, данный способ защиты почти полностью автоматизирован, процесс установки занимает всего несколько минут и не требует специальных знаний. После этого программа оказывается "настроенной" на электронный ключ с определенными параметрами.

Утилиты автоматической защиты обычно имеют множество сервисных функций, которые позволяют выбирать различные режимы "привязки" программы к ключу и реализовывать дополнительные возможности. Например, такие, как защита от вирусов, ограничение времени работы и числа запусков программы и т. д.

Однако следует иметь в виду, что этот способ не может обеспечить достаточную надежность. Так как модуль автоматической защиты прикрепляется к готовой программе, то есть вероятность, что опытному хакеру удастся найти "точку соединения" и "отцепить" такую защиту. Хорошая утилита автоматической защиты должна обладать опциями, затрудняющими попытки отладки и дизассемблирования защищенной программы.

Защита при помощи функций API

Этот метод защиты основан на использовании функций API5, собранных в объектных модулях. Функции API позволяют выполнять с ключом любые операции (поиск ключа с заданными характеристиками, чтение и запись данных, подсчет контрольных сумм, преобразование информации и т. п.). Это позволяет создавать нестандартные схемы защиты, подходящие для любых случаев. Вообще, можно сказать, что возможности API-защиты ограничены только богатством фантазии разработчика.

Библиотеки специальных функций API и примеры их использования, написанные на различных языках программирования, должны входить в комплект программного обеспечения для работы с ключами.

Для установки защиты необходимо написать вызовы нужных функций API, вставить их в исходный код программы и скомпилировать с объектными модулями. В результате защита окажется внедренной глубоко в тело программы. Использование функций API обеспечивает гораздо более высокую степень защищенности, чем автоматическая защита.

Практически единственный "недостаток" этого способа защиты, по мнению некоторых производителей ПО, заключается в дополнительных затратах на обучение персонала работе с API-функциями. Однако без использования API невозможно рассчитывать на приемлемую стойкость системы защиты. Поэтому в целях облегчения жизни разработчиков производители систем защиты работают над программами, упрощающими установку API-защиты.

Работа

В общих чертах работу защиты можно представить таким образом:

При запуске и в процессе работы защищенная программа передает электронному ключу информацию, так называемый "вопрос".
Электронный ключ ее обрабатывает и возвращает обратно - "отвечает".
Программа на основе возвращенных данных идентифицирует ключ. Если он имеет верные параметры, программа продолжает работать. Если же параметры ключа не подходят, либо он не подсоединен, то программа прекращает свою работу или переходит в демонстрационный режим.

Противодействие взлому

Противостояние разработчиков систем защиты и взломщиков (хакеров или кракеров) - это гонка вооружений. Постоянное совершенствование средств и способов взлома вынуждает разработчиков защиты непрерывно обновлять или изобретать новые средства и методы защиты, чтобы находиться на шаг впереди. Ведь схема, которая была эффективной вчера, сегодня может оказаться непригодной.

Изготовление аппаратной копии ключа

Этот метод заключается в считывании специальными программными и аппаратными средствами содержимого микросхемы памяти ключа. Затем данные переносятся в микросхему другого ключа ("болванку"). Способ этот достаточно трудоемкий и может применяться, если память ключа не защищена от считывания информации (что было характерно для ключей, содержащих только память). К тому же, создание аппаратной копии ключа не решает проблему тиражирования программы, ведь она все равно остается "привязанной", но только к другому ключу.

По этим причинам изготовление аппаратных копий ключей не получило широкого распространения

Изготовление эмулятора (программной копии) ключа

Самый распространенный и эффективный метод взлома, который заключается в создании программного модуля (в виде драйвера, библиотеки или резидентной программы), воспроизводящего (эмулирующего) работу электронного ключа. В результате защищенная программа перестает нуждаться в ключе.

Эмуляторы могут воспроизводить работу ключей определенной модели, или ключей, поставляемых с какой-то программой, или одного конкретного ключа.

По организации их можно разделить на эмуляторы структуры и эмуляторы ответов. Первые воспроизводят структуру ключа в деталях (обычно это универсальные эмуляторы), вторые работают на основе таблицы вопросов и ответов конкретного ключа.

В простейшем случае для создания эмулятора хакер должен найти все возможные верные вопросы к ключу и сопоставить им ответы, то есть получить всю информацию, которой обменивается ключ и программа.

Современные ключи обладают целым набором средств, предотвращающих эмуляцию. Прежде всего, это различные варианты усложнения протокола обмена ключа и защищенной программы, а также кодирование передаваемых данных.

Используются следующие основные виды защищенных протоколов обмена или их сочетания:

плавающий протокол - вместе с реальными данными передается "мусор", причем со временем порядок чередования и характер, как реальных, так и ненужных данных, изменяется хаотическим образом
кодированный протокол - все передаваемые данные кодируются
с автоматической верификацией - любая операция записи в память ключа сопровождается автоматической проверкой данных на адекватность

Дополнительное усложнение протокола обмена достигается за счет увеличения объема передаваемых сведений и количества вопросов к ключу. Современные ключи обладают памятью, достаточной для обработки достаточно больших объемов данных. Например, ключ с памятью 256 байтов может обработать за один сеанс до 200 байтов информации. Составление таблицы вопросов к такому ключу на сегодняшний день представляется весьма трудоемкой задачей.

Отделение модуля автоматической защиты

Как уже говорилось ранее, автоматическая защита не обладает достаточной степенью стойкости, так как не составляет с защищенной программой единого целого. Вследствие чего, "конвертную защиту" можно, при известных усилиях, снять. Существует целый ряд инструментов, используемых хакерами для этой цели: специальные программы автоматического взлома, отладчики и дизассемблеры. Один из способов обхода защиты - определить точку, в которой завершается работа "конверта" защиты и управление передается защищенной программе. После этого принудительно сохранить программу в незащищенном виде.

Однако в арсенале производителей систем защиты есть несколько приемов, позволяющих максимально затруднить процесс снятия защиты. Хорошая утилита автоматической защиты обязательно включает опции, которые обеспечивают

противодействие автоматическим программам взлома,
противодействие отладчикам и дизассемблерам (блокировка стандартных отладочных средств, динамическое кодирование модуля защиты, подсчет контрольных сумм участков программного кода, технология "безумного кода" и др.),
кодирование защищенной тела и оверлеев программы с помощью алгоритмов (функций) преобразования.

Удаление вызовов функций API

Чтобы удалить вызовы функций API из исходного текста программы, хакеры, используя отладчики и дизассемблеры, находят места, из которых происходят вызовы, или точки входа в функции, и соответствующим образом исправляют программный код. Однако при правильной организации API-защиты этот способ становится очень трудоемким. К тому же взломщик никогда не может быть до конца уверен, что правильно и полностью удалил защиту, и программа будет работать без сбоев.

Существует несколько эффективных приемов противодействия попыткам удаления или обхода вызовов функций API:

использование "безумного кода": при создании функций API их команды перемешиваются с "мусором" - ненужными командами, т.о. код сильно зашумляется, что затрудняет исследование логики работы функций
использование множества точек входа в API: в хорошей API-защите каждая функция имеет свою точку входа. Для полной нейтрализации защиты злоумышленник должен отыскать все точки

Стойкость

Программно-аппаратная защита предоставляет человеку, который ее внедряет, достаточно большую свободу действий. Даже при автоматической защите можно выбирать среди имеющихся опций и соответственно определять свойства защищенной программы. А уж при использовании функций API можно реализовать любую, даже самую изощренную модель защиты. Т. о. единой и детально расписанной схемы построения защиты не существует. Однако есть много способов придать защите дополнительную стойкость (ниже приводятся лишь некоторые из них).

Комбинирование автоматической и API защиты

Как говорилось выше, каждый из этих видов защиты имеет свои узкие места. Но вместе они прекрасно дополняют друг друга и составляют труднопреодолимую преграду даже для опытного взломщика. При этом автоматическая защита играет роль своеобразной скорлупы, внешнего рубежа, а защита API является ядром.

API защита

При API-защите рекомендуется использовать несколько функций. Их вызовы необходимо распределить по коду приложения и перемешать переменные функций с переменными приложения. Таким образом, защита API оказывается глубоко внедренной в программу, и взломщику придется немало потрудиться, чтобы определить и выбрать все функции защиты.

Обязательным является использование алгоритмов (или функций) преобразования данных. Кодирование информации делает бессмысленным удаление вызовов функций API, ведь при этом данные не будут декодированы.

Эффективный прием усложнения логики защиты - это откладывание реакции программы на коды возврата функций API. В этом случае программа принимает решение о дальнейшей работе спустя какое-то время после получения кодов возврата. Что заставляет взломщика прослеживать сложные причинно-следственные связи и исследовать в отладчике слишком большие участки кода.

Автоматическая защита

При автоматической защите необходимо задействовать опции защиты от отладочных и дизассемблирующих средств, опции кодирования и проверки ключей по времени. Полезно также использовать защиту от вирусов. При этом проверяется CRC участков кода, а значит, файл предохраняется и от модификации.

Обновление системы защиты

После внедрения системы защиты важно не забывать о своевременном обновлении ПО для работы с ключами. Каждый новый релиз - это устраненные ошибки, закрытые "дыры" и новые возможности защиты. Также необходимо постоянно отслеживать ситуацию на рынке систем защиты и, в случае необходимости, своевременно менять систему защиты на более прогрессивную и надежную.

Возможности электронного ключа

Конечно, прежде всего, ключ предназначен для защиты программ. Однако потенциал современной программно-аппаратной защиты настолько велик, что позволяет применять электронные ключи для реализации маркетинговой стратегии и оптимизации продаж. Вот несколько вариантов такого "нецелевого" использования.

Демо-версии

С помощью электронных ключей можно легко создавать демо-версии программных продуктов без написания демонстрационного варианта программы. Можно свободно распространять копии, заблокировав или ограничив некоторые возможности программы, которые активируются только с помощью электронного ключа. Или же предоставлять клиентам полнофункциональную программу в качестве пробной ("trial") версии, ограничив количество ее запусков. А после оплаты продлевать срок пользования программой или вовсе снимать ограничение.

Аренда и лизинг

Если программа дорогостоящая, то часто бывает удобно и выгодно продавать ее по частям или сдавать в аренду. В этом случае ключи также окажут большую услугу. Как это происходит? Полноценная рабочая копия программы, ограниченная по времени работы, предоставляется клиенту. После того, как клиент внесет очередной платеж, срок пользования программой продлевается с помощью дистанционного перепрограммирования памяти ключа.

Продажа программы по частям

Если программа состоит из нескольких компонентов (например, набор электронных переводчиков - англо-русский, франко-русский и т. п.), то можно включать в комплект поставки все модули, но активировать только те из них, за которые заплачено. При желании клиент всегда может оплатить интересующий его компонент программы, который будет активирован с помощью дистанционного программирования ключа.

Обновление защищенной программы

Производитель выпустил новую версию программы. Теперь перед ним возникает проблема обновления программы у зарегистрированных пользователей. Дистанционное программирование ключей делает эту процедуру быстрой и легкой. При выходе новой версии программы пользователям предыдущих версий не нужно выдавать или продавать новый ключ. Нужно всего лишь перепрограммировать участок памяти имеющегося ключа и переслать клиенту новую версию (бесплатно или за небольшую доплату - зависит от маркетинговой политики фирмы).

Лицензирование в локальных вычислительных сетях

Под лицензированием в данном случае понимается контроль количества используемых копий программы. Производителям сетевого ПО хорошо знакома ситуация, когда покупается одна лицензионная программа, а в ЛВС работают с десятками ее копий. В этих условиях электронный ключ становится эффективным средством, предотвращающим запуск "сверхлимитных" копий программы.

Как осуществляется лицензирование? Допустим, пользователь собирается установить в сети какую-то программу (бухгалтерская, складская и т. п.). При покупке он указывает число копий программы, которое ему необходимо, и получает соответствующую лицензию. Производитель передает клиенту дистрибутив и нужным образом запрограммированный ключ. Теперь пользователь сможет работать только с тем количеством копий, за которое заплатил. При необходимости он всегда может докупить недостающие копии, а производитель перепрограммирует ему электронный ключ, не выходя из своего офиса.

Легко заметить, что современная программно-аппаратная система защиты предоставляет множество сервисных функций, которые позволяют организовать эффективную маркетинговую политику и, естественно, получить дополнительную (и весьма ощутимую) выгоду.

Будущее электронного ключа

Пока разрабатывается и продается ПО, и стоит проблема компьютерного пиратства, защита программ останется актуальной. Что конкретно она будет представлять собой лет через десять, сказать трудно. Но уже сейчас можно отметить некоторые тенденции, которые становятся очевидными.

Большую популярность приобретают USB-ключи, и они постепенно будут вытеснять ключи для параллельного порта. В ключах будут реализованы более сложные и стойкие алгоритмы, увеличится объем памяти.

Все чаще будут использоваться возможности электронных ключей для формирования маркетинговой стратегии фирм-производителей софта, для продвижения программных продуктов.

"Двоюродные братья" электронных ключей - электронные идентификаторы, или токены, начинают широко применяться для аутентификации компьютерных пользователей. Такие устройства внешне похожи на электронные ключи для USB-порта, но отличаются большим объемом памяти, а также наличием алгоритмов шифрования. Токены в сочетании со специальными программами используются для авторизации пользователей при доступе к каким-либо информационным ресурсам (вход в локальную сеть, доступ к web-страницам и т. д.), для защиты электронной переписки (шифрование и электронно-цифровая подпись сообщений) и т. п.

Статью "Электронные ключи для защиты программ" Вы можете обсудить на

Конвертер защищенных ключей «ДОН-1961»

Конвертер защищенных ключей DS1961S «ДОН-1961» предназначен для модернизации систем охраны работающих с незащищенными ключами типа DS1990 или аналогичными.

Конвертер выполняет следующие функции:

Привязка защищенных ключей DS1961S

Работа с пожарно-охранными приборами, домофонами и аналогичным оборудованием по открытому протоколу ключа DS1990 со

стороны прибора охраны и по закрытому протоколу SHA-1 ключа DS1961S со стороны считывателя ключей ТМ.

Технические характеристики конвертера:

Напряжение питания - 9...18В

Потребляемый ток, не более - 10мА

Число привязываемых защищенных ключей - неограниченно

Длина линии до считывателя ключей ТМ, не более -15м

Габаритные размеры 30х25х10мм

Подключение конвертера

Подключение платы конвертера «ДОН-1961» к пожарно-охранному прибору осуществляется в «разрыв» считывателя ключей ТМ.

Красный провод +12В.

Черный провод - общий.

Зеленый провод - вход ТМ+ прибора.

Клеммник на плате конвертера подключается к считывателю ключей ТМ с соблюдением полярности!

Порядок действий для привязки защищенных ключей к плате конвертера «ДОН-1961»:

Для привязки защищенных ключей необходимо замкнуть перемычку PGM , при этом начинает быстро мигать зеленый светодиод. При прикосновении ключом ТМ считывателя, запускается алгоритм передачи секрета в ключ. При успешной передаче загорается светодиод зеленым цветом на 3 секунды. Отсоединять ключ от считывателя ТМ необходимо в момент свечения светодиода. Во время, когда светодиод не светится, не отсоединяйте ключ от считывателя! Если это произошло, то необходимо еще раз приложить ключ к считывателю до момента зажигания светодиода зеленым. При попытке привязки чужого (не прошедшего привязку к производителю*) ключа светодиод засветится красным на 1 с. Если не загорелся ни красным, ни зеленым цветом, то ключ либо защищен от записи секрета либо неисправен. Такой ключ работать с конвертером не будет!

Каждый новый ключ получает один и тот же секрет от одной и той же платы конвертера ключей. В другой плате конвертера ключей будет записан другой секрет, и соответственно ключи, привязанные к одной плате, не будут распознаваться на другой. Секретный ключ в плате конвертера генерируется случайным образом после заводского программирования платы, либо как описано в п.6 ниже.

После привязки необходимого числа ключей снимается перемычка PGM и конвертер готов к работе. Привязка дополнительных защищенных ключей может быть осуществлена в любое время, при этом ранее привязанные ключи сохранят работоспособность.

Внимание! Процесс привязки секретных ключей должен осуществляться уполномоченным лицом службы безопасности или иным ответственным за безопасность охраняемого объекта!

Работа конвертера в основном режиме:

Чтобы перевести конвертер защищенных ключей в основной режим работы снимите перемычки J1 и PGM, начнет редко вспыхивать зеленый светодиод. При касании считывателя привязанного ключа происходит обмен МАС кодами между ключом DS1961S и конвертером. МАС код вычисляется на основе секретного слова и некоторых данных, которые содержатся в ключе и в микроконтроллере конвертера. Вычисление МАС кода идет по протоколу SHA-1. Если конвертер распознал привязанный секретный ключ, светодиод на плате конвертера загорается зеленым цветом на 1сек. При этом в охранный прибор передается его открытый ROM код, который записывается в охранный прибор по его стандартному алгоритму привязки открытых ключей (ROM код ключа нанесен на его корпусе).

При касании непривязанным ключом также вычисляется МАС код, но они не совпадут, так как ключу не сообщен секрет. В этом случае светодиод мигает красным цветом и в охранный прибор передается случайный ROM код, который в нем не прописан. При каждом последующем касании непривязанным ключом считывателя ТМ в прибор будет передаваться каждый раз новый ROM код. Данная особенность работы исключает программирование в охранный прибор непривязанных защищенных ключей. Это необходимо для того, чтобы прибор выдал на пульт охраны команду «Подбор ключа». Если секретный ключ привязан к плате конвертера, но не зарегистрирован в охранном приборе, при касании таким ключом считывателя в прибор также передастся нанесенный на корпусе ROM код ключа.

Светодиод на плате конвертера загорается зеленым цветом на 1сек, но прибор определит это событие как использование чужого ключа и на пульт охраны отправится команда «Подбор ключа».

В основном режиме светодиодная индикация режимов работы следующая:

Если коснулись привязанным секретным ключом - мигнули зеленым на 1с

Если коснулись не привязанным секретным или любым другим ключом - мигнули красным на 1с

3. Вспыхивает зеленым - работа в основном режиме.

Генерация нового секрета в памяти конвертера:

Для того чтобы «стереть» из памяти конвертера все ранее привязанные ключи необходимо подать питание на плату конвертера при замкнутых перемычках PGM и J1! Индикация при этом будет такая - светодиод мигает красным-зеленым с периодом 1с. При размыкании перемычки J1 светодиод начинает быстро мигать зеленым. Это означает что в памяти контроллера получено новое секретное слово, и соответственно ранее привязанные секретные ключи перестанут распознаваться этим конвертером. Необходимо все ключи привязать к конвертеру заново!

*- привязка осуществляется на спецоборудовании