Средства криптографической защиты информации (СКЗИ)

Иерархия классов защиты (от минимального к максимальному): КС1, КС2, КС3, КВ, КА.

Средства криптографической защиты информации (СКЗИ) Классы защиты

С повышением класса увеличиваются потенциальные возможности нарушителя, соответственно, увеличивается и перечень механизмов защиты.

Для СКЗИ класса КС1 актуальны угрозы только из-за пределов контролируемой зоны.

Для более высоких классов предполагается, что нарушитель имеет физический доступ к оборудованию.

Поэтому предусмотрены дополнительные механизмы защиты:

для КС2 – это, как правило, доверенная загрузка (проверка целостности при старте ОС, дополнительная аутентификация);

для КС3 – замкнутая программная среда (зафиксированный перечень ПО для среды функционирования СКЗИ).

Средства криптографической защиты информации (СКЗИ) Классы защиты

СКЗИ класса КВ применяются, когда злоумышленники могут располагать исходными текстами прикладного ПО, входящего в среду функционирования и взаимодействующего с СКЗИ, а СКЗИ класса КА, – если существует опасность, что преступники имеют возможность доступа к аппаратным компонентам СКЗИ и его среде функционирования.

Для подключения к инфраструктуре НКЦКИ в настоящее время используются СКЗИ класса КС3.

Класс КС3 является де-факто стандартом для государственных информационных систем, например, СКЗИ этого класса широко распространены в Системе межведомственного электронного взаимодействия (СМЭВ).

Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей

В отечественных СКЗИ используются российские криптографические алгоритмы, соответствующие требованиям ГОСТ.

Для формирования электронной подписи и проверки ее целостности ранее использовались ГОСТ 34.10-2001 и 34.11-94. Сейчас осуществляется переход на ГОСТ 34.10/34.11-2012. Переход планируется завершить до конца 2019 года.

Для шифрования чаще всего используется ГОСТ 28147-89. Некоторыми производителями СКЗИ уже реализованы более современные алгоритмы – «Кузнечик» и «Магма» (ГОСТ 34.12-2015). Планируется объявление пятилетнего переходного периода на новые ГОСТ. За это время производители СКЗИ должны будут реализовать поддержку ГОСТ 34.12-2015, а пользователи перейти на них с ГОСТ 28147- 89.

Предлагаемые на рынке СКЗИ различных производителей не всегда совместимы между собой по некоторым причинам технического характера (разные таблицы замен для ГОСТ 28147-89, различные форматы ключевых контейнеров и др.).

Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей

При рассмотрении задачи построения виртуальных частных сетей (VPN) соответствующих ГОСТ, помимо совместимости криптографии, нужно учитывать совместимость протоколов передачи данных.

На российском рынке преимущественно используются продукты нескольких производителей: «ИнфоТеКС» (ViPNet), «Код Безопасности» (Континент), «С-Терра», а также «Элвис-Плюс». «ИнфоТеКС» и «Код Безопасности» используют собственные протоколы, без публичного описания, не совместимые с протоколами других производителей. «С-Терра» и «Элвис-Плюс» применяют стандартный IPsec в соответствии с RFC, совместимый с реализациями других производителей (в частности, «С-Терра» совместима с «КриптоПро»).

По этой причине крупным организациям и государственным сервисам необходимо иметь центральное мультивендорное ядро для подключения к своей инфраструктуре (так, например, было сделано в СМЭВ). Это увеличивает расходы владельца системы на ее обслуживание, но зато позволяет избежать зависимости от одного производителя и сделать подключение более гибким для пользователей.

Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей

В настоящее время для подключения к НКЦКИ используется продукция линейки ViPNet компании «ИнфоТеКС»:

ViPNet Client КС3 для АРМ оператора – для ручной передачи данных через портал;

ViPNet Coordinator КС3 – для автоматизированной передачи данных через API.

В ближайшее время для подключения к НКЦКИ планируется задействовать продукты других компаний, например, «С-Терра», «Код Безопасности» и пр. При этом может быть использован архитектурный подход, аналогичный тому, что был реализован в СМЭВ.

При обсуждении вопросов стандартизации отдельно нужно отметить аспект защиты массового доступа к веб-ресурсам. ГОСТ TLS реализован у нескольких российских производителей, и эти реализации совместимы между собой.

Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта

При сертификации СКЗИ разработчик, производитель, испытательная лаборатория и регулятор (ФСБ России) согласовывают Формуляр и Правила Пользования. Это важнейшие документы, которые существенно влияют на все этапы жизненного цикла СКЗИ.

Формуляр содержит основные характеристики изделия, описание комплекта поставки и другие данные на весь период эксплуатации. Формуляр имеет децимальный номер, который указывается на титульном листе формуляра и в колонтитулах, также номер дублируется в самом сертификате ФСБ России. Например, для ПАК ViPNet Coordinator HW 4 - ФРКЕ.00130-03 30 01 ФО.

Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта

В формуляре следует обратить внимание на следующие сведения:

Основные характеристики. В этом разделе указываются задачи, которые решает изделие. У криптопровайдера это, например, шифрование, вычисление имитовставки, хэширование, создание и проверка электронной подписи данных в областях памяти. У VPN-продукта – шифрование и имитозащита пакетов. Также в этом пункте указывается конкретная версия (сборка, билд), которая прошла сертификацию. Например, для подключения к НКЦКИ используется ViPNet Coordinator HW1000 (маркетинговое название продукта), у которого сертифицирована версия 4.2.0-1958.

Среда функционирования. Речь идет об операционной системе, в которой работает СКЗИ. В некоторых случаях это не имеет принципиального значения для пользователя, например, если СКЗИ поставляется как готовый программно-аппаратный комплекс (тот же криптошлюз ViPNet Coordinator). Но если речь о криптопровайдере или VPN-клиенте, то знание перечня поддерживаемых ОС становится очень важным.

Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта

Перечень исполнений и комплектность. В одном формуляре может быть указано несколько модификаций СКЗИ, эти модификации называются исполнениями. Они могут быть предназначены для разных задач, соответствовать разным классам защиты. Например, исполнение 1 – VPN-клиент класса КС1 для ОС Windows, исполнение 2 – VPN-клиент класса КС2 для ОС Windows, исполнение 3 – VPN-клиент класса КС1 для ОС Linux. Чаще всего исполнения СКЗИ могут иметь различные коммерческие названия. Комплект поставки СКЗИ представляет собой следующий набор: Формуляр, копия сертификата ФСБ России, дистрибутив, комплект документации. Также может быть указано дополнительное средство защиты от несанкционированного доступа (далее – НСД), например, для VPN-клиентов класса КС2 обычно используется аппаратно-программный модуль доверенной загрузки (АПМДЗ).

Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта

Правила Пользования содержат условия, при которых СКЗИ обеспечивают защиту соответствующего класса. Соблюдение этих условий – обязанность администратора безопасности.

Множество требований к СКЗИ основываются на Приказе ФАПСИ от 13 июня 2001 г. № 152 и распространяются на продукцию большинства производителей СКЗИ, хотя в нем встречаются пункты, характерные для конкретного изделия.