Система криптозащиты 'Криптоком'
Министерство образования и науки РФ
Федеральное государственное бюджетное
образовательное учреждение
высшего профессионального образования
Самарский государственный
архитектурно-строительный университет
Факультет информационных систем и
технологий
Кафедра прикладной математики и
вычислительной техники
Реферат
на тему
Система криптозащиты «Крипто Ком»
Выполнил: Осипов А.А.
студент ГИП-111
Проверил: Ворожейкин В.Н.
Самара - 2013
О КОМПАНИИ
Компания «Криптоком» специализируется на создании и внедрении средств
криптографической защиты информации (СКЗИ).
Компания основана в 1999 году и имеет большой опыт по разработке средств
криптографической защиты информации и сертификации данных продуктов по линии
ФСБ. Среди разработок компании «Криптоком» - создание и сопровождение на
протяжении 10 лет программного комплекса "МагПро для МЦИ",
предназначенного для обеспечения криптографической защиты электронных
документов в автоматизированной системе банковских расчетов Московского
региона, обслуживаемой МЦИ при Банке России. Данный программный комплекс
обслуживает более 700 банков России.
Компания «Криптоком» участвует в ряде Open Source-проектов по разработке
средств криптографической защиты: OpenSSL, PostgreSQL, XMLSec. Сотрудниками
компании «Криптоком» решена задача добавления российских криптоалгоритмов в
Open Source-библиотеку OpenSSL, реализована работа с защищенными сообщениями по
RFC 4490, функциональность PKI по RFC 4491 и шифрсьюты TLS на базе российских
алгоритмов.
Компания «Криптоком» участвовала в создании российской паспортно-визовой
системы выдачи документов нового поколения (ПВДНП) в части защиты информации.
Компания имеет опыт согласования нормативных документов по защите
информации в ФСБ РФ.
Компания «Криптоком» входит в состав Технического комитета №26
"Криптографическая защита информации", деятельность которого
курируется ФСБ России, и в состав Технического комитета №362 «Защита
информации" Федерального агентства по техническому регулированию и
метрологии», являющегося постоянно действующим органом, обеспечивающим на
государственном уровне разработку, согласование, подготовку к утверждению и
экспертизу документов в области стандартизации по защите информации и
обеспечения информационной безопасности в Российской Федерации.
Компания «Криптоком» разработала проекты национальных стандартов ГОСТ Р
«Информационная технология. Защита информационных технологий и
автоматизированных систем от угроз информационной безопасности, реализуемых с
использованием скрытых каналов. Часть 1. Общие положения» и Часть 2.
«Рекомендации по организации защиты информации, информационных технологий и
автоматизированных систем от атак с использованием скрытых каналов». Данные
стандарты были утверждены в соответствии с приказами Федерального агентства по
техническому регулированию и метрологии.
Сотрудники компании принимали участие в разработке российских и
международных стандартов в области защиты информации (ГОСТ Р 34.10-94, ГОСТ Р
34.11-94, ГОСТ Р 53113-2008, PKCS#11). Коллективом сотрудников компании
«Криптоком» в рамках глобального проекта по интернационализации российских
криптографических стандартов были подготовлены к публикации Интернет-стандарты
RFC 5830, 5831, 5832, представляющие собой авторизованные переводы российских
криптографических стандартов ГОСТ 28147-89, Р 34.11-94, Р 34.10-2001. Данные
Интернет-стандарты были опубликованы в марте 2010 года.
Специалисты компании «Криптоком», совместно со специалистами из ICANN,
ISC, NLNetLabs, NeuStar, провели работу по адаптации протокола DNSSec к
стандартам, действующим в РФ. Одним из результатов этой работы стала подготовка
проекта стандарта IETF и его публикация.
РЕШЕНИЯ
Предлагаемые нами прикладные криптографические системы позволяют решить
ряд задач:
· защитить информационные ресурсы компании от несанкционированного доступа
· защитить передачу конфиденциальной информации через Internet
и внутри локальной сети организации
· обеспечить аутентификацию участников обмена информацией
· построить Virtual Private Network организации
· перейти к ЭП (электронной подписи), отказавшись от ручной
подписи документов
· обеспечить безопасное хранение конфиденциальной информации
· обеспечить хранение ключевой информации на USB-токенах
ЗАЩИТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
Закон "О персональных данных" требует от операторов или третьих
лиц, имеющих доступ к персональным данным, обеспечения конфиденциальности
информации. Распространение персональных данных без согласия субъекта
персональных данных или наличия иного законного основания недопустимо.
Изначально в законе присутствовало требование об обязательном использовании
шифровальных (криптографических) средств для защиты персональных данных. Хотя
это требование позднее было отменено (Федеральный закон от 27 декабря 2009 г.
№363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных
данных»), но в ряде случаев невозможно обеспечить надежную защиту персональных
данных без использования средств шифрования. В частности, когда речь идет о
передаче персональных данных по информационным каналам передачи данных, то
шифрование становится одним из главных способов защиты.
Согласно Постановлению 781: «В отношении разработанных шифровальных
(криптографических) средств защиты информации, предназначенных для обеспечения
безопасности персональных данных при их обработке в информационных системах,
проводятся тематические исследования и контрольные тематические исследования в
целях проверки выполнения требований по безопасности информации». Проведение
таких тематических исследований относится к компетенции ФСБ. Таким образом,
использование несертифицированных ФСБ средств криптографической защиты
персональных данных противоречит законодательству РФ.
Использование средств криптографической защиты информации часто строится
на базе криптосервиспровайдера (CSP) - программного модуля, осуществляющего
криптографические преобразования в системах и обеспечивающего доступ к данным
преобразованиям из пользовательских приложений. Данная технология разработана
корпорацией Microsoft и ее применение ограничено в основном информационными
системами, построенными на базе продуктов этой корпорации. В частности, такие
популярные пользовательские приложения, как Mozilla Firefox и Thunderbird не
поддерживают эту технологию.
Компания «Криптоком» предлагает использовать для обеспечения
конфиденциальности информации свой продукт «МагПро КриптоТуннель»», основанный
на альтернативной технологии. Основным назначением «МагПро КриптоТуннель»
является защита соединений по протоколу HTTP, терминального доступа по
протоколу RDP, доступа к почтовому серверу и т.п.
Использование «МагПро КриптоТуннель» значительно облегчает применение
средств шифрования для защиты данных. В отличие от использования CSP, «МагПро
КриптоТуннель» не требует установки и длительной настройки на местах
пользователей и позволяет работать непосредственно со съемного носителя
(например, USB-Flash) на любом компьютере без необходимости получения прав
системного администратора.
Программный продукт «МагПро КриптоТуннель» достаточно универсален и
позволяет использовать для установки защищенного web-соединения любой браузер
(Internet Explorer, Mozilla FireFox, Google Chrome, Opera, Safari Apple и
другие), а для RDP-соединений - любую версию RDP-клиента из состава Windows.
Использование «МагПро КриптоТуннель» не ограничивается только
операционными системами Microsoft, а охватывает практически весь спектр
операционных систем (Windows, семейство Linux, а также FreeBSD и Sun Solaris).
Отдельно необходимо сказать о принципиально отличном от использования
криптопровайдера подходе к выдаче лицензий на продукт. При использовании CSP
лицензия привязана к компьютеру, и для использования CSP на еще одном рабочем
месте требуется приобретение дополнительной лицензии. В случае же с «МагПро
КриптоТуннель» речь идет о лицензии пользователя, когда сам программный продукт
можно использовать практически на любом компьютере пользователя. Таким образом,
мы получаем большую по сравнению с CSP мобильность предлагаемого решения.
Таким образом, «МагПро КриптоТуннель» обладает следующими преимуществами:
· простота использования:
o не требует установки на пользовательских местах;
o не требует специального обучения пользователей;
o минимизирует количество возможных ошибок пользователя;
· мобильность:
o позволяет работать непосредственно со съемного носителя
(например, USB-Flash) на любом компьютере;
o позволяет использовать любой Интернет-браузер для защищенного
web-соединения;
o не привязан к специфике операционной системы
(кросс-платформенное решение);
· безопасность:
o защита от атак «человек посередине» (шифрование трафика и
аутентификация сервера);
o аутентификация клиента.
Программный комплекс «МагПро КриптоТуннель» является надстройкой над
сертифицированным ФСБ средством криптографической защиты информации (СКЗИ)
«МагПро КриптоПакет» (по классам КС1 и КС2) и не требует отдельной сертификации.
На базе программного комплекса «МагПро КриптоТуннель» созданы коробочные
клиент-серверные решения «МагПро КриптоПортал» и «МагПро Защита RDP».
Программный комплекс «МагПро КриптоПортал» позволяет обеспечить защиту
данных и провести строгую аутентификацию пользователей в информационных
системах, построенных на базе web-технологий.
Программный комплекс «МагПро Защита RDP» используется для шифрования
трафика при использовании удаленного рабочего стола.
Кроме того, в данные решения встроен инструмент автоматического создания
всех необходимых ключей и сертификатов, что позволяет в ряде случаев отказаться
от услуг внешнего удостоверяющего центра (УЦ) и от разворачивания полноценного
внутреннего УЦ.
Еще одной разработкой компании «Криптоком» является продукт OpenVPN-ГОСТ,
который позволяет строить виртуальные частные сети и тем самым защищать
информацию при передаче по каналам связи в информационных системах любой
сложности.
Внедрение OpenVPN-ГОСТ подразумевает наличие серверной и клиентской
частей, а также организацию PKI (инфраструктуры открытых ключей) для
обслуживания участников файлового обмена. Генерация ключевой пары для сервера и
клиента осуществляется СКЗИ «МагПро КриптоПакет», входящим в состав
поставляемого продукта OpenVPN-ГОСТ.
Продукты компании «Криптоком» создавались таким образом, чтобы
максимально облегчить использование российской криптографии для решения задач
по защите информации.
ПРОДУКТЫ
Программный
комплекс «МагПро КриптоТуннель»
С помощью данного сертифицированного криптографического средства Вы
сможете с наименьшими затратами времени и средств обеспечить защиту обмена
конфиденциальной информацией между Вашим Интернет-сервисом и его
пользователями.
Основным назначением МагПро КриптоТуннель является защита соединений по
протоколу HTTP, терминального доступа по протоколу RDP, электронной почты и
т.п. МагПро КриптоТуннель поддерживает электронную подпись данных и документов
при передаче их через Web-форму.
МагПро КриптоТуннель удобен тем, что:
· не требует установки на пользовательских местах;
· не требует специального обучения пользователей;
· позволяет работать непосредственно со съемного носителя
(например, USB-Flash) на любом компьютере;
· позволяет использовать любой Интернет-браузер для защищенного
web-соединения;
· имеет минималистичный и интуитивно-понятный пользовательский
интерфейс;
· может устанавливать соединение с любым сервером, защищенным с
помощью алгоритмов ГОСТ (IIS с КриптоПро CSP, Apache с МагПро КриптоПакет и
т.д.);
· может подписывать данные и документы, переданные пользователем
через Web-форму, юридически значимой электронной подписью;
· позволяет пользователю не вводить URL сайта, что защищает от
интернет-мошенничества в виде фишинга, DNS-спуфинга и т.п.
В качестве серверного программного обеспечения мы рекомендуем
использовать продукт МагПро КриптоСервер
Сертификат
ФСБ
ПК "МагПро КриптоТуннель" является надстройкой над
сертифицированным СКЗИ "МагПро КриптоПакет" и не требует отдельной
сертификации.
СКЗИ "МагПро КриптоПакет" сертифицирован ФСБ России по классу
КС1 (Cертификат ФСБ №СФ/114-1820 от 14 мая 2012 г.) и по классу КС2 (Cертификат
ФСБ №СФ/124-1821 от 14 мая 2012 г.).
Законодательство
Программный комплекс «МагПро КриптоТуннель» удовлетворяет требованиям
российского законодательства к техническим средствам защиты персональных данных
и закону "Об электронной подписи".
Применение
· Защита данных и аутентификация пользователей, а также электронная подпись
в системах "интернет-банк";
· Защита данных и аутентификация пользователей, а также
электронная подпись в корпоративных системах электронного документооборота;
· Защита данных при терминальном доступе (Remote Desktop);
· Защищенный обмен файлами через сеть Интернет, в т.ч. по
протоколу WebDAV;
· Защита электронной почты;
· Обеспечение безопасного канала передачи данных и двусторонней
аутентификации между клиентом и сервером, общающимися по произвольному
протоколу.
Платформы
· Семейство Windows:
o Windows 2000/XP/Vista
o Windows Server 2000/2003/2008
· Семейство Linux:
o Debian GNU/Linux sarge/etch/lenny
o AltLinux Master 2.4, AltLinux 4.0, 5.0
o Red Hat Enterprise Linux 4, 5
o Fedora 5, 10, 11
o SUSE Linux 9, 10, 11
o ASP Linux 9.2, 10, 11, 12, 14
o ASP Linux Server IV, V
o Mandriva PowerPack 2006, 2008.1, 2009.1
o Mandriva Flash 2008.1, 2009.1
o Mandriva Corporate Server 4 update 3
o Maemo Linux 2008
o Ubuntu 8.04, 9.04
· FreeBSD 4.x 5.x 6.x 7.x
· Sun Solaris 8, 9, 10
Программный
комплекс «МагПро КриптоПортал»
«МагПро КриптоПортал» - это программный комплекс, позволяющий
устанавливать защищенное web-соединение между любым web-сервером и
web-клиентом. Защита соединения происходит по протоколу SSL/TLS c
использованием сертифицированной криптографии ГОСТ.
· В состав программного комплекса «МагПро КриптоПортал» входят «МагПро
КриптоТуннель» (клиентский комплект) и «МагПро КриптоСервер» (серверный
комплект). В качестве web-сервера может использоваться Apache, IIS, nginx и
другие.
· В «МагПро КриптоПортал» встроена автоматическая система
создания и управления сертификатами X.509 SSL/TLS, поэтому покупка сертификатов
SSL/TLS у Удостоверяющих Центров не требуется.
· Для организации рабочего места пользователя используется
«МагПро КриптоТуннель», который не требует установки на рабочих местах
пользователей и распространяется простым копированием файлов, например, на
съемный носитель с последующей раздачей данного носителя пользователям.
· Информация о пользователе, полученная КриптоСервером при
аутентификации пользователя из пользовательского сертификата X.509, передается
web-серверу в специальных заголовках http-запроса и может быть использована для
разграничения доступа, например, скриптами на web-страницах целевого сайта.
· КриптоСервер позволяет устанавливать требование клиентской
аутентификации на группу сайтов, отдельный сайт, раздел сайта, отдельные
документы с помощью управляемого модуля CryptoServerModule.
Архитектура программного комплекса отражена на рисунке:
Сертификат
ФСБ
ПК "МагПро КриптоПортал" является надстройкой над сертифицированным
СКЗИ "МагПро КриптоПакет" и не требует отдельной сертификации.
СКЗИ "МагПро КриптоПакет" сертифицирован ФСБ России по классу
КС1 (Cертификат ФСБ №СФ/114-1820 от 14 мая 2012 г.) и по классу КС2 (Cертификат
ФСБ №СФ/124-1821 от 14 мая 2012 г.).
Законодательство
Программный комплекс «МагПро КриптоПортал» удовлетворяет требованиям
российского законодательства к техническим средствам защиты персональных
данных.
Программный
комплекс «МагПро КриптоСервер»
Программный комплекс МагПро КриптоСервер предназначен для защиты
различных интернет-сервисов от несанкционированного доступа и перехвата данных,
передающихся между сервисом и клиентом. МагПро КриптоСервер представляет собой
сертифицированное криптографическое средство. Защита обеспечивается с помощью
протокола SSL/TLS, в рамках которого осуществляется аутентификации клиента по
сертификату X.509 и шифрование трафика между клиентом и сервером.
Таким образом, МагПро КриптоСервер:
· позволяет произвольному web-серверу (IIS, Apache, nginx и т.д.) защищать
сайты по протоколу HTTPS;
· обеспечивает безопасный доступ на терминальный сервер по
протоколу RDP;
· обеспечивает защиту почтовых серверов и серверов баз данных и
т.д.
Внедрение ПК МагПро КриптоСервер не требует существенных изменений на
стороне Вашего сетевого сервиса.
В качестве программного обеспечения для клиентской части мы рекомендуем
использовать программный комплекс МагПро КриптоТуннель.
Сертификат
ФСБ
ПК "МагПро КриптоСервер" является надстройкой над
сертифицированным СКЗИ "МагПро КриптоПакет" и не требует отдельной
сертификации.
СКЗИ "МагПро КриптоПакет" сертифицирован ФСБ России по классу
КС1 (Cертификат ФСБ №СФ/114-1820 от 14 мая 2012 г.) и по классу КС2 (Cертификат
ФСБ №СФ/124-1821 от 14 мая 2012 г.).
Законодательство
Программный комплекс «МагПро КриптоСервер» полностью отвечает требованиям
Закона о защите персональных данных к техническим средствам защиты персональных
данных.
Применение
· Защита данных и аутентификация пользователей в системах
"интернет-банк";
· Защита данных и аутентификация пользователей в корпоративных
системах электронного документоборота;
· Защита данных при терминальном доступе (Remote Desktop);
· Защищенный обмен файлами через сеть Интернет, в т.ч. по
протоколу WebDAV;
· Защита электронной почты;
· Обеспечение безопасного канала передачи данных и двусторонней
аутентификации, между клиентом и сервером, общающимися по произвольному
протоколу.
Платформы
· Семейство Windows:
o 2000/XP/Vista/Windows 7,
o Windows Server 2000/2003/2008
· Семейство Linux:
o Debian GNU/Linux sarge/etch/lenny,
o AltLinux Master 2.4, AltLinux 4.0, 5.0,
o Red Hat Enterprise Linux 4, 5,
o Fedora 5, 10, 11,
o SUSE Linux 9, 10, 11,
o ASP Linux 9.2, 10, 11, 12, 14,
o ASP Linux Server IV, V,
o Mandriva PowerPack 2006, 2008.1, 2009.1,
o Mandriva Flash 2008.1, 2009.1,
o Maemo Linux 2008,
o Ubuntu 8.04, 9.04
· FreeBSD 4.x 5.x 6.x 7.x,
· Sun Solaris 8, 9, 10.
USB-токен
«ВЬЮГА»
Аппаратный компонент «Вьюга» является съемным устройством, совмещающим в
себе:
· датчик случайных чисел
· энергонезависимое хранилище массива данных объемом до 128
байт, предназначенное для хранения закрытых ключей.
Аппаратный компонент «Вьюга» представляет собой компактное устройство в
пластмассовом корпусе.
Для работы устройство подключается к USB-шине компьютера. Запуск
устройства при включении производится автоматически при наличии напряжения на
шине USB. Таким образом, устройство «Вьюга» легко как подключить к компьютеру,
так и отключить от него.
Устройство работает под управлением специального программного
обеспечения.
В качестве аппаратного датчика случайных чисел устройство удобно тем, что
не требует усилий для подключения к компьютеру. Устройство может быть
подключено любым пользователем к любому компьютеру, имеющему свободный слот
USB-шины, непосредственно в процессе работы компьютера.
Хранилище данных предназначено в первую очередь для хранения секретных
(закрытых) ключей. В отличие от данных на дискетах, на которые традиционно
производится запись секретных ключей, данные в аппаратном компоненте «Вьюга»
подвергаются существенно меньшему риску случайного затирания (т.к. производить
запись в устройство «Вьюга» могут только специально предназначенные для этого
программы), механического повреждения носителя (пластмассовый корпус надежно
изолирует устройство от внешней среды) и компрометации (так как для считывания
информации с устройства «Вьюга» необходимо специальное программное обеспечение,
а закрытые ключи в нем хранятся в зашифрованном виде).
Список литературы
1. Официальный
сайт системы криптозащиты «Крипто Ком»