Категории шифровальных средств и их особенности
Оформление разрешительных документов для ввоза и вывоза ШКС:
Согласно законодательству ЕАЭС, шифровальные (криптографические) средства (далее – ШКС) – это “аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении” [1] .
Данное определение весьма абстрактно, в связи с чем отнесение или неотнесение конкретного товара к ШКС может вызывать существенные затруднения.
- 1 Список товаров, относящихся к ШКС
- 2 Процедура импорта (экспорта) ШКС
- 3 12 категорий ШКС
- 3.1 Категория №1
- 3.2 Категория №2
- 3.3 Категория №3
- 3.4 Категория №4
- 3.5 Категория №5
- 3.6 Категория №6
- 3.7 Категория №7
- 3.8 Категория №8
- 3.9 Категория №9
- 3.10 Категория №10
- 3.11 Категория №11
- 3.12 Категория №12
Список товаров, относящихся к ШКС
В Положении о ввозе (вывозе) ШКС приведен список функций (компонентов), которые должен содержать товар, чтобы он мог считаться ШКС [2] :
- средства имитозащиты;
- средства электронной цифровой подписи;
- средства кодирования;
- средства изготовления криптографических ключей;
- сами криптографические ключи;
- системы, оборудование и компоненты, разработанные или модифицированные для выполнения крипто-аналитических функций;
- системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты;
- системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.
Однако, на практике нередко возникает ситуация, что таможенные органы, руководствуясь перечнем из раздела 2.19 [3] (и даже только кодом ТН ВЭД из перечня), могут решить, что ввозимый продукт является шифровальным средством (и неважно, есть ли там шифрование на самом деле или нет). В этом случае импортеру придется получать разрешительные документы или доказывать таможне, что в товаре отсутствует шифрование.
Процедура импорта (экспорта) ШКС
В зависимости от таможенной процедуры для ввоза (вывоза) ШКС необходимо оформить различные виды документов:
- Импорт и экспорт – лицензия[4] или нотификация.
- Ввоз для собственных нужд (без их распространения и оказания третьим лицам услуг в области шифрования), процедуры переработки, временного ввоза/вывоза, свободной таможенной зоны и свободного склада, реэкспорт или реимпорт – заключение (разрешительный документ) или нотификация.
12 категорий ШКС
На практике подавляющее большинство товаров с функцией шифрования ввозятся на основании нотификации.
Нотификация может зарегистрирована только на товары, относящиеся к одной или нескольким из 12 категорий шифровальных средств, технические и криптографические характеристики которых подлежат нотификации. Данный перечень приведен в Положении о нотификации.
Ниже каждая из категорий рассмотрена подробнее.
Категория №1
1. Товары, содержащие в своем составе шифровальные (криптографические) средства, имеющие любую из следующих составляющих: 1) симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; 2) асимметричный криптографический алгоритм, основанный на любом из следующих методов: • разложение на множители целых чисел, размер которых не превышает 512 бит; • вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит; • дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.
ШКС данной категории выполняются различные криптографические функции, но определяющим фактором отнесения к данной категории является длина криптографического ключа. Указанные длины ключей существенно меньше рекомендованных минимальных значений для соответствующих групп алгоритмов. Использование таких коротких криптографических ключей делает возможным на современном оборудовании вскрытие зашифрованных сообщений методом полного перебора.
Симметричное шифрование в основном используется для обеспечения конфиденциальности данных, и основано на том, что отправитель и получатель информации используют один и тот же ключ как для зашифровки сообщений, так и для их расшифровки. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват. Примеры симметричных алгоритмов шифрования: RC4, DES, AES.
Из перечисленных алгоритмов только DES (считающийся устаревшим) безусловно попадает в категорию 1; также алгоритм RC4 иногда может использоваться с короткими ключами (например, в протоколе WEP технологии связи Wi-Fi: длина ключа 40 или 128 бит).
В асимметричных алгоритмах шифрования (или криптографии с открытым ключом) для зашифровывания информации используют один ключ (открытый), а для расшифровывания – другой (секретный). Данные алгоритмы широко используются для установления защищенных соединений по открытым каналам связи, для целей ЭЦП . Примеры алгоритмов: RSA, DSA, Протокол Диффи — Хеллмана, ГОСТ Р 34.10-2012.
Указанные методы относятся к математической базе функционирования асимметричных алгоритмов:
- разложение на множители целых чисел — алгоритм RSA
- вычисление дискретных логарифмов в мультипликативной группе конечного поля — алгоритмы DSA, Диффи-Хеллмана, Эль-Гамаля
- дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта — алгоритмы на эллиптических кривых: ECDSA, ECDH, ГОСТ Р 34.10-2012.
Примеры нотифицируемых ШКС: теоретически любой товар может использовать устаревшие алгоритмы, либо короткие ключи в современных алгоритмах. На практике, однако, это имеет мало смысла, т.к. не обеспечивает достаточный уровень защиты. Одним из реальных примеров может быть Wi-Fi в режиме WEP с ключом длины 40 бит.
Категория №2
2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями: 1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;
Проверка подлинности пользователя в рамках данной категории предусматривает сравнение введённого им пароля или других аналогичных идентифицирующих данных с информацией, сохранённой в базе данных авторизованных пользователей, а сам процесс шифрования заключается в защите секретных данных пользователя от копирования и незаконного использования при их передаче от объекта аутентификации (пользователя) контролирующему устройству.
Примеры нотифицируемых ШКС: устройства систем контроля и управления доступом – считыватели паролей, устройства для хранения и формирования баз данных авторизованных пользователей, сетевые устройства аутентификации – шлюзы, роутеры, маршрутизаторы и т.д., устройства с защитой информации, хранящихся на них – жесткие диски с функцией парольного ограничения доступа.
2) электронная цифровая подпись (электронная подпись).
Процесс подписи реализуется путем криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Примеры нотифицируемых ШКС: генераторы ЭЦП, программное обеспечение для сопровождения и реализации механизма применения ЭЦП, устройства хранения ключевой информации ЭЦП.
Категория №3
3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной пользователю.
Операционная система это комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.
Примеры нотифицируемых ШКС: операционные системы и программные комплексы на их основе.
Категория №4
4. Персональные смарт-карты (интеллектуальные карты): 1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 - 8 настоящего перечня; 2) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации.
Смарт-карты это пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти.
Примеры нотифицируемых ШКС: SIM-карты доступа к услугам мобильных операторов, банковские карты, оснащенные чипом-микропроцессором, интеллектуальные карты идентификации ее владельца.
Категория №5
5. Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичная коммерческая аппаратура для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами, отправки счетов или возврата связанной с программой информации провайдерам вещания.
Данная категория относится к товарам, предназначенных для предоставления пользователю доступа к платным кодированным цифровым спутниковым, эфирным и кабельным телеканалам и радиостанциям (радиоканалам) (примеры стандартов: DVB-CPCM, DVB-CSA).
Примеры нотифицируемых ШКС: TV-тюнеры, приемники телесигналов, спутниковые телеприемники.
Категория №6
6. Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующих способов: 1) программное обеспечение исполнено в защищенном от копирования виде; 2) доступом к любому из следующего: • защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации; • информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах; 3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.
Примеры нотифицируемых ШКС: Игровые консоли, процессоры, игры, программное обеспечение и т.п.
Категория №7
7. Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций.
Товары данной категории должны являться аппаратным устройством, т.е. иметь законченный вид банковского оборудования, применение которого не предполагает дополнительной сборки или доработки за исключением целей модернизации.
Примеры нотифицируемых ШКС: Банкоматы, платежные терминалы, пин-пады (банковские карты относят к категории №4).
Категория №8
8. Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (от абонента до абонента).
В данную категорию отнесены все устройства мобильной сотовой связи, работающие в стандартах GSM, GPRS, EDGE, UMTS, LTE, а также некоторые радиостанции. Главным требованием, предъявляемым к товарам данной категории в области выполняемого функционала – отсутствие способности к сквозному шифрованию, т.е. связь между абонентами должна осуществляться через устройство ретрансляции.
Примеры нотифицируемых ШКС: Мобильные устройства связи и устройства, имеющие в своем составе модули сотовой связи вышеуказанных стандартов, радиостанции.
Категория №9
9. Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя.
Сюда относится большинство устройств, которые иначе можно назвать как «радиоэлектронные средства малого радиуса действия». Шифрование происходит при передаче/приеме информации по беспроводному радиоканалу в целях ее защиты от перехвата, проникновения несанкционированных пользователей в сеть связи. Как известно, такую защиту поддерживает большинство беспроводных стандартов передачи данных: Wi-Fi, Bluetooth, NFC, иногда RFID.
Примеры нотифицируемых ШКС: роутеры, точки доступа, модемы, устройства, содержащие в своем составе модули беспроводной радиосвязи ближнего радиуса действия, бесконтактные карты доступа/оплаты/идентификации.
Категория №10
10. Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.
Данная категория описывает товары, которые являются сетевыми устройствами, выполняющие коммутационные и сервисные функции. Как правило большинство данных устройств поддерживают простые сетевые протоколы управления, позволяющие производить мониторинг состояния сети, ее производительность, а также направлять команды администратора сети в ее разные узлы.
Примеры нотифицируемых ШКС: Серверы, коммутаторы, сетевые платформы, шлюзы.
Категория №11
11. Товары, криптографическая функция которых заблокирована производителем.
Данная категория может быть представлена абсолютно разными типами устройств разных назначений и области применения. Решающим фактором отнесения таких товаров к категории №11 является наличие предустановленного программного или аппаратного обеспечения, которое производит целенаправленную блокировку выполняемых товаром криптографических функций.
Категория №12
12. Иные товары, которые содержат шифровальные (криптографические) средства, отличные от указанных в пунктах 1 - 11 настоящего перечня, и соответствуют следующим критериям: 1) общедоступны для продажи населению в соответствии с законодательством государства - члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего: • продажи за наличные; • продажи путем заказа товаров по почте; • электронных сделок; • продажи по телефонным заказам; 2) шифровальные (криптографические) функциональные возможности которых не могут быть изменены пользователем простым способом; 3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком; 4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 - 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.
Товары данной категории можно объединить под общим словом «прочие».
Стоит отметить, что на практике ЦЛСЗ ФСБ России предъявляет повышенные требования к представлению материалов для регистрации нотификаций на товары данной категории. Так, все перечисленные критерии должны быть подтверждены (ссылками на сайт производителя с информацией на русском языке или документально).
Наиболее распространенные категории ШКС
В Едином реестре для каждой нотификации приводится перечень категорий, к которым отнесен товар. Данная информация закодирована в поле «Идентификатор»: поле представляет собой 12-значный код, при этом, если товар относится к категории с номером N из списка выше, то на позиции N в коде будет стоят цифра 1, в противном случае — 0.
Например, код 110000000110 говорит о том, что товар нотифицировался по категориям №№ 1, 2, 10 и 11.
Интересно посмотреть на статистику использования различных категорий.
Распределение ШКС по категориям (по состоянию на конец 2017 года)
Как видно из диаграммы, наиболее распространёнными и часто встречающимися криптографическими функциями в ШКС является шифрование данных в беспроводном радиоканале малого радиуса действия (Wi-Fi, Bluetooth) – 27% от общего числа зарегистрированных ШКС, что логично, учитывая объем производимых мобильных средств связи, персональных компьютеров и других технических устройств, оснащенных модулями, поддерживающими данные технологии связи.
Второе место занимают ШКС, поддерживающие функции аутентификации и осуществления контроля доступа к защищенной информации – 19,5%. Данная тенденция также легко объясняется повышенными стандартами и запросами потребителей к защите персональной информации как на физических носителях (жесткие диски, USB-флеш накопители, серверы и т.п.), так и на сетевых (облачные хранилища, сетевые банки данных и т.п.). Дополнительно стоит отметить, что подавляющее большинство ШКС, используемые в системах контроля и управления доступом (более известные как СКУД) также выполняют криптографический функционал, относящийся к категории № 2.
Поскольку работа в сети является неотъемлемой частью функционирования любой информационной системы, то аспекты администрирования данной сетью связи реализованы в сетевых устройствах управления. Безопасность же организуемого данными устройствами интерфейса управления реализована посредством применения механизмов шифрования технологических каналов связи, что является основание для категорирования такого рода ШКС по категории №10, являющейся третьей по распространенности – 16%.
Важно также отметить, что наименее распространенные функции ШКС распределяются по категориям №5 (0,28%), №12 (0,29%) и №7 (0,62%). Товары реализующие данные криптографические функции являются редкими и при проведении регистрации в ЦЛСЗ документация на них подвергается более детальному анализу, т.к. «не поставлена на поток» и наборы используемых криптографических протоколов и алгоритмов могут быть уникальны в каждом отдельном случае. Именно поэтому товарам данных категорий необходимо уделить максимальное внимание при составлении необходимых документов, поскольку в противном случае риск отказа в регистрации нотификации крайне велик.
Примечания
- ↑п. 3 Положения о ввозе на таможенную территорию Евразийского Экономического Союза и вывозе с таможенной территории Евразийского Экономического Союза шифровальных (криптографических) средств
- ↑пп. а — з, п. 3 Положения о ввозе на таможенную территорию Евразийского Экономического Союза и вывозе с таможенной территории Евразийского Экономического Союза шифровальных (криптографических) средств
- ↑Раздел 2.19 Приложения № 2 Решения Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. № 30
- ↑ см. также Лицензирование внешнеэкономических операций
Ссылки
- Электронная подпись (ЭЦП), — Единый портал Электронной подписи, — http://www.techportal.ru/glossary/identifikatsiya.html
- Криптографические методы защиты информации, — Сборник лекций по основам локальных сетей Национального открытого Университета, — http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
- Понятие операционной системы, — Материалы портала об операционных системах, — http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
- Введение в SNMP, — Материалы по сетевой безопасности, — http://network.xsp.ru/6_1.php
Криптография предполагает наличие трех компонент таких как
Защита данных с помощью криптографических преобразований (преобразование данных шифрованием и(или) выработкой имитовставки) — одно из возможных решений проблемы их безопасности. Криптографическая защита данных представляет собой шифрование данных с целью скрыть их смысл. До тех пор, пока пользователь не идентифицирован по ключу, смысл данных ему не доступен.
Ряд данных критичен к искажениям, которые нельзя обнаружить из контекста, поэтому используемые способы шифрования чувствительны к искажению любого символа. Они гарантируют не только высокую секретность, но и эффективное обнаружение любых искажений или ошибок.
Криптографическая защита, не требуя больших затрат, обеспечивает надежную защиту данных в информационных и телекоммуникационных сетях (ИТКС). Вместе с тем необходимо понимать, что умелая поддержка ряда административных мер должна защитить саму криптографию, ее ключи и людей от возможного обмана или угроз применения физической силы.
Криптография предполагает наличие трех компонент: данных, ключа связи и криптографического преобразования.
При зашифровании исходными данными будет сообщение, а результирующими — зашифрованное сообщение. При расшифровании они меняются местами.
Ключ — конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных. В данном случае термин «ключ» означает уникальный битовый шаблон. Считается, что правила криптографического преобразования известны всем, но, не зная ключа, с помощью которого пользователь закрыл смысл сообщения, требуется потратить невообразимо много усилий на восстановление текста сообщения. Длина ключа, согласно ГОСТ 28147-89, равна 256 бит.
В средствах криптографической защиты информации (СКЗИ) «Верба» ключевая система организована по принципу полной матрицы. Это означает, что формируется матрица, которая содержит все секретные ключи связи, и каждый j-ый абонент получает j-ую строку из этой матрицы, и использует i-ый элемент этой строки при зашифровании/расшифровании в качестве секретного ключа связи с i-ым абонентом.
В СКЗИ «Верба» используется определенный ГОСТ 28147-89 симметричный алгоритм криптографического преобразования данных в режиме гаммирования, который подразумевает процесс наложения по определенному закону гаммы шифра на открытые данные (под гаммой понимается псевдослучайная двоичная последовательность, вырабатываемая по заданному алгоритму). ГОСТ 28147-89 также определяет процесс выработки имитовставки, который единообразен для любого из режимов шифрования данных. Имитовставка — это последовательность данных фиксированной длины, которая вырабатывается по определенному правилу из открытых данных и ключа либо перед шифрованием сообщения, либо параллельно с шифрованием. Имитовставка передается по каналу связи или в память ЭВМ после зашифрованных данных. Выработка имитовставки обеспечивает защиту от навязывания ложных данных, вероятность необнаружения которого зависит от длины имитовставки и равна 10 -9 . Поступившие зашифрованные данные расшифровываются, и из полученных блоков данных вырабатывается новая имитовставка, которая затем сравнивается с имитовставкой, полученной из канала связи или из памяти ЭВМ. В случае несовпадения имитовставок все расшифрованные данные считаются ложными.
Электронная цифровая подпись
Электронная цифровая подпись — средство, позволяющее на основе криптографических методов надежно установить авторство и подлинность документа.
Электронная цифровая подпись позволяет заменить при безбумажном документообороте традиционные печать и подпись. Цифровая подпись не имеет ничего общего с последовательностью символов, соответствующих печати или подписи, приписанной к документу. При построении цифровой подписи вместо обычной связи между печатью или рукописной подписью и листом бумаги выступает сложная математическая зависимость между документом, секретным и общедоступным ключами, а также цифровой подписью. Невозможность подделки электронной цифровой подписи опирается на очень большой объем необходимых математических вычислений.
Каждый абонент, обладающий правом подписи, самостоятельно на автономной ПЭВМ формирует два ключа подписи: секретный и открытый.
Секретный ключ используется для выработки подписи. Только секретный ключ гарантирует невозможность подделки злоумышленником документа и цифровой подписи от имени заверяющего. Каждый пользователь системы цифровой подписи должен обеспечить сохранение в тайне своего секретного ключа.
Открытый ключ вычисляется как значение некоторой функции от секретного, но знание открытого ключа не дает возможности определить секретный ключ. Открытый ключ может быть опубликован и используется для проверки подлинности документа и цифровой подписи, а также для предупреждения мошенничества со стороны заверяющего в виде отказа его от подписи документа. Открытым ключом можно пользоваться только в том случае, если известны его подлинность и авторство, которые подтверждаются сертификатом «центра». Поэтому во избежании попыток подделки или внесения искажений обмен и хранение открытых ключей должны осуществляться в защищенном виде. Для этого при обмене открытыми ключами можно использовать секретный канал связи или в открытом канале связи средства электронной цифровой подписи, а при работе с СКЗИ необходимо контролировать целостность справочника открытых ключей.
Таким образом, каждому пользователю, обладающему правом подписи, необходимо иметь лишь один секретный ключ и справочник регистрационных записей открытых ключей абонентов сети. Если пользователь не обладает правом подписи, но в процессе работы ему необходимо проверять подписи, проставленные под документами, он должен иметь лишь справочник открытых ключей. Для формирования справочника существует несколько возможностей. Например, список открытых ключей может формироваться в «центре» (под «центром» понимается выделенный пользователь, обладающий особыми полномочиями), которому доверяют все пользователи системы. «Центр» получает готовую регистрационную карточку открытого ключа абонента, формирует справочник открытых ключей, рассылает готовый справочник абонентам сети и контролирует его целостность и истинность.
В СКЗИ «Верба» и «Верба-О» реализована система электронной цифровой подписи на базе асимметричного криптографического алгоритма согласно ГОСТ Р 34.10-94. Электронная цифровая подпись вырабатывается на основе текста документа, требующего заверения, и секретного ключа. Согласно стандарту документ «сжимают» с помощью функции хэширования (ГОСТ Р 34.11-94 «ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ФУНКЦИЯ ХЭШИРОВАНИЯ»). Однонаправленная хэш-функция получает на входе сообщение переменной длины и преобразует его в хэш-значение фиксированной длины (256 бит согласно ГОСТ Р 34.11-94). Значение хэш-функции сложным образом зависит от документа, но не позволяет восстановить сам документ. Хэш-функция чувствительна к всевозможным изменениям в тексте. Кроме того, для данной функции нельзя вычислить, какие два исходные сообщения могут генерировать одно и то же хэш-значение, поскольку хэш-значения двух 256-битовых документов могут совпасть в одном из2 256 (10 77 ) случаев. Далее, к полученному хэш-значению применяется некоторое математическое преобразование и получается собственно подпись документа.
При проверке подписи проверяющий должен располагать открытым ключом абонента, поставившего подпись. Проверяющий должен быть полностью уверен в его подлинности, которая подтверждается сертификатом «центра». Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего абонента. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае документ считается измененным, и подпись под ним — недействительной.
Для разрешения споров между отправителем и получателем информации, связанных с возможностью искажения ключа проверки подписи (открытого ключа подписи), достоверная копия этого ключа может выдаваться третьей стороне (арбитру) и применяться им при возникновении конфликта. Предъявляя контролеру открытый ключ — значение некоторой функции, вычисляемое с помощью секретного ключа, пользователь косвенным образом доказывает, что обладает секретным. Наличие у абонента секретного ключа не позволяет ему самому сменить свой номер в сети или выработать подпись под номером другого абонента.
Криптография предполагает наличие трех компонент таких как
КЛЮЧЕВОЕ СЛОВО
в защите информации- О компании
- Контакты
- Схема проезда
- Новости
- Лицензии
- Аккредитация
- Реквизиты
- Вакансии
- КриптоПро CSP
- Использование
- КриптоПро CSP Lite
- КриптоПро TLS c ГОСТ
- КриптоПро Java CSP
- КриптоПро Winlogon
- Считыватели
- История версий
- Сравнение версий
- Совместимость реализаций X.509 и CMS
- Загрузка файлов
- КриптоПро JTLS
- КриптоПро Java CSP
- Загрузка файлов
- Описание
- Платёжный HSM
- Использование
- Информационные материалы
- Мобильные приложения
- Тестовый СЭП
- КриптоПро DSS Lite
- КриптоПро CloudCSP
- Загрузка файлов
- VPN-сервер NGate
- TLS-сервер NGate
- Сервер портального доступа
- IPsec VPN-шлюз NGate
- Общая информация
- Информационные материалы
- Аппаратные платформы
- Загрузка файлов
- КриптоПро УЦ 1.5
- КриптоПро УЦ 2.0
- КриптоПро Службы УЦ
- Задачи
- Развёртывание
- Консалтинг
- Обучение
- Техническая поддержка
- КриптоПро Шлюз УЦ-СМЭВ
- Использование
- Совместимость реализаций IPsec
- Загрузка файлов
- Браузер Chromium-Gost
- КриптоПро ЭЦП Browser plug-in
- Приложение cryptcp
- КриптоПро Office Signature
- КриптоПро PDF
- КриптоПро AirKey
- Защищенная мобильность
- КриптоПро Stunnel
- stunnel-msspi
- КриптоПро SPR 4.0
- Secure Pack Rus (SPR 3.0)
- КриптоПро Шлюз УЦ-СМЭВ
- КриптоПро ЭЦП
- КриптоАРМ ГОСТ
- КриптоПро CRM
- КриптоПро SSF
- КриптоПро HLF
- Электронные замки
- Считыватели смарт-карт
- USB-токены
- Услуги УЦ
- Сервис электронной подписи
- Консалтинг
- CRM решения для УЦ
- Защита информации
- Блокчейн (распределённый реестр)
- Обучение
- Дилеры
- Дистрибьюторы
- Стать дилером
- Вход для дилеров
- Решения партнёров
- Центр загрузки
- Тестовый УЦ
- Портал технической поддержки
- База знаний (FAQ)
- Документация
- Поиск
- Проверка лицензии
- Проверка возможности обновления
- Юридические лица
- Форма заказов
- Оплата
- Доставка
- Форма заказов
- Оплата
- Доставка
- Форма заказов
- Доставка
- Оплата
- Условия возврата
- Форма заказов
- Доставка
- Оплата
- Условия возврата
- Order form
- Payment methods
- Delivery
- Как оформить заказ
- Как скачать
- Как установить
- Как ввести лицензию
Криптографическая защита информации
Современные средства криптографической защиты цифровой информации — базовый сегмент ИТ-индустрии. Данные в компьютерах, ноутбуках и смартфонах часто критически важны для владельцев, поэтому их хранение и обработка регулируются законодательными актами по информационной безопасности.
Требующая защиты информация встречается во всех областях человеческой деятельности:
- в компаниях и организациях, работающих с госзаказами, возможны к использованию сведения, содержащие гостайну,
- в бизнесе обрабатываются разнообразные файлы ограниченного доступа: финансовая информация, клиентские базы, деловая переписка, описания технологий и разработок,
- у рядовых граждан имеется приватная информация и персональные данные, в том числе, находящиеся в распоряжении работодателей и различных организаций.
Цифровые данные обрабатываются и хранятся на различных устройствах, пересылаются по локальным сетям и Интернет, передаются по каналам связи. На этих этапах цифровая информация уязвима: может быть прочитана, подменена или уничтожена. Требуются технические, организационные и специальные меры по защите информации.
Для предотвращения несанкционированного (или злонамеренного) использования данных среди прочих способов используется криптографическая защита информации (КЗИ).
Уязвимости цифровых данных
Средства криптографической защиты информации (СКЗИ) используются для решения задач информационной безопасности.
Для защиты информации применяется шифрование — метод представления открытого текста в виде набора символов, скрывающего его содержания. Шифрование используется повсеместно: зашифровываются документы, информация в БД, пересылаемые по сети сообщения, в зашифрованном виде хранятся пароли пользователей компьютера и т.д. Для зашифровывания и расшифровывания используются программные и аппаратно-программные системы и комплексы криптографической защиты.
КЗИ, как средство обеспечения информационной безопасности, применяется для проверки подлинности и целостности:
- Такая проверка (аутентификация) должна подтвердить, что некто является владельцем представленной (например, переданной по каналу связи) информации, также она должна в максимальной степени затруднить злоумышленнику возможность выдать себя за другое лицо;
- Целостность данных (имитозащита). Получатель должен быть уверен в том, что полученная им информация не изменялась. Злоумышленник, изменяя информацию, не должен суметь выдать её за истинную.
Криптографические методы защиты информации решают проблему неотрицания авторства:
- Владелец данных не должен иметь возможность ложно заявлять, что доставленная от его имени информация ему не принадлежит. Например, после оформления контракта продавец не оспорит указанную в его документах цену на товар, если переданная информация подтверждена СКЗИ (инструмент криптографической защиты — электронная цифровая подпись).
Указанные методы реализуются программными и аппаратными средствами.
Классы защиты информации
Класс криптозащиты компьютерных систем определяется на основе оценки возможностей злоумышленников (модель нарушителя) по осуществлению возможных атак (модель угроз).
Начальными классами защищённости при оценке информационной безопасности IT-инфраструктур являются КС1, КС2, КС3:
- Класс КС1 выбирается в предположении, что атака на систему осуществляется с территорий, находящихся за пределами защищаемой области. Считается, что в число лиц осуществляющих атаку не входят профессионалы по анализу уязвимостей ПО и технических средств (ТС), дополнительно предполагается, что злоумышленники об атакуемой системе имеют информацию только из открытых источников.
- Класс КС2 должен противостоять таким же угрозам, что и КС1, но предполагается, что лица осуществляющие атаку могут иметь доступ в защищаемую зону и располагают документацией о технических способах защиты атакуемых ИС.
- Класс КС3, блокируя угрозы по классу КС2, должен противодействовать и атакам со стороны лиц, имеющих доступ и к оборудованию, обеспечивающему КЗИ.
Определяются и классы защиты систем, на которые могут быть нацелены более сложные атаки:
- КВ — класс, выдерживающий все атаки КС3, но уровень защищённости должен быть выше, поскольку в осуществлении и планировании атак могут участвовать разработчики и аналитики используемых на объекте ПО и ТС. Предполагается, что эти специалисты имели возможность проводить исследования СКЗИ защищаемого объекта.
- КА — это класс, способный противостоять всем угрозам КВ, но и дополнительно отражать атаки с участием лиц, знающих незадекларированные возможности системного ПО и ТС защищаемой системы, имевшие опыт по исследованию атак на системы с таким же оборудованием и ПО.
Точное определение классов защищённости систем приводится в регламентирующих законодательных и нормативных документах по вопросам информационной безопасности и защиты информации.
Создание защищенной IT-инфраструктуры предполагает использование ТС, ПО и средств криптографической защиты, обеспечивающих требуемый класс защищённости объектов.
Классы защищённости, предъявляемые к отдельным компонентам различны — требуемый уровень защиты информации определяется особенностями данных и моделью нарушителя для конкретного компонента.
Соответствие элементов инфраструктуры классам КЗИ устанавливается по результату сертификационных испытаний и подтверждается соответствующим документом. Для проведения определенных видов работ наличие сертификатов соответствия классам КЗИ для компонентов ИТ-инфраструктуры (а также для инфраструктуры в целом) может потребоваться в обязательном порядке.
Средства криптозащиты компании С-Терра
Российская компания С-Терра CSP — разработчик программного обеспечения и программно-аппаратных средств криптографической защиты информации. Продукты компании имеют государственные сертификаты, позволяющие применять их в защищённых локальных и территориально-распределенных ИС.
При построении защищённых систем учитываются такие особенности, влияющие на информационную безопасность:
- В системе имеется одна или несколько (филиальных или кампусных) сетей.
- Если кампусных сетей несколько, то они связываются каналами связи. Каждая такая сеть может быть подключена к Интернет.
- Кампусные сети часто состоят из нескольких сегментов, соединенных коммутационным оборудованием.
- К кампусным сетям подсоединяются пользователи, работающие на удаленных рабочих местах. Таким пользователям нужен доступ к информационным ресурсам.
- К корпоративным сетям подключаются сотрудники, использующие мобильные устройства: смартфоны и планшетные компьютеры.
В ЛВС предприятия (или отдельных сегментах) содержатся данные, требующие защиты установленного уровня.
В подобных структурах применяются как внутренние, так и внешние коммуникации. Внешние подключения к кампусным сетям и коммуникации между филиалами должны быть защищены.
С-Терра предлагает аппаратные решения и программные комплексы для создания защищённых соединений.
Подсоединение клиентских устройств обеспечивает такое ПО:
- продукты линейки S-Terra Клиент используются для установки на серверы, рабочие станции и другие устройства. Эти клиентские комплексы предназначены для защиты устройств и фильтрации входящего трафика, они могут использоваться как в корпоративных, так и в открытых (Интернет) сетях. Программные комплексы С-Терра для защиты клиентских устройств сертифицированы по классам КС1, КС2.
- продукты С-Терра Клиент М применяются для устройств с ОС Android, для установки VPN-соединений с кампусными сетями. Продукт обеспечивает имитозащиту трафика, использует протокол IPSec.
Подключение удаленных пользователей к кампусной сети осуществляется через Интернет. Для защиты информации используется VPN-соединение (туннель), с одной стороны которого находится удаленная рабочая станция, а с другой — VPN-шлюз кампусной сети. К одному шлюзу могут подключиться несколько рабочих станций. VPN-шлюз выполняет зашифровывание, расшифровывание и фильтрацию, проходящих по туннелю пакетов.
Создание VPN-соединений поддерживает линейка продуктов С-Терра VPN с функциями аутентификации устройств, имитозащиты, шифрования и фильтрации трафика.
Пакеты внутрь сети VPN попадают расшифрованными, в результате удаленная рабочая станция воспринимается как внутренний узел локальной сети.
Коммуникация между территориально-разнесенными сетями выполняется через межсетевые шлюзы (криптошлюзы), выполняющие операции, связанные с защитой трафика.
Для создания межсетевых соединений используются такие продукты компании:
- С-Терра Шлюз ST — аппаратно-программный комплекс с функциями аутентификации и имитозащиты, выполняющий шифрование трафика и фильтрацию пакетов. Комплекс сертифицирован по классам КС1, КС2, КС3.
- С-Терра Шлюз 10G — продукт, используемый для защиты высокоскоростных каналов межсетевых коммуникаций. Шлюз сертифицирован по классам КС1, КС2, КС3.
- С-Терра Виртуальный Шлюз ST — программный комплекс для установки на виртуальные машины, сертифицирован по классу КС1. Предназначен для защиты облачного периметра, а также для защищённого взаимодействия виртуальных машин внутри облачной инфраструктуры.
- С-Терра L2 — продукт, встраиваемый в ПО комплексов С-Терра Шлюз для создания защищённого соединения на уровне L2. Применяется для поддержки межсетевых соединений, в том числе, с IP-телефонией, видеосвязью и др.
Внутри сегмента кампусной сети обмен данными между рабочими станциями часто не шифруется (если необходимо, то используют S-Terra клиент), но межсегментный трафик фильтруется и шифруется, такая особенность защищает сеть от внутренних атак.
Межсегментные соединения внутри кампусных сетей строятся на шлюзах С-Терра, а также с применением других решениях, таких как С-Терра CSCO-STVM (для Cisco, с алгоритмами ГОСТ и сертификатом защищённости по классу КС1).
Решения С-Терра применяются для создания основы защищённой инфраструктуры корпоративных сетей в бизнесе, госучреждениях и в банковском секторе. Полный перечень продуктов, направленных на решение вопросов информационной безопасности, представлен на сайте компании ВИСТЛАН.