Особенности сертификации и стандартизации криптографических средств

Процесс синтеза и анализа СКЗИ отличается высокой сложностью и трудоемкостью, поскольку необходим всесторонний учет влияния пере­численных выше угроз на надежность реализации СКЗИ. В связи с этим практически во всех странах, обладающих развитыми криптографическими технологиями, разработка СКЗИ относится к сфере государственного регулирования. Государственное регулирование включает, как правило, лицензирование деятельности, связанной с разработкой и эксплуатацией криптографических средств, сертификацию СКЗИ и стандартизацию алгоритмов криптографических преобразований.

В России в настоящее время организационно-правовые и научно-технические проблемы синтеза и анализа СКЗИ находятся в компетенции ФАПСИ при Президенте Российской Федерации.

Правовая сторона разработки и использования СКЗИ регламентиру­ется в основном указом Президента Российской Федерации от 03.04,95 № 334 с учетом принятых ранее законодательных и нормативных актов РФ.

Дополнительно учитываемой законодательной базой являются зако­ны; "О федеральных органах правительственной связи и информации", "О государственной тайне", "Об информации, информатизации и защите ин­формации", "О сертификации продукции и услуг".

Лицензированию подлежат следующие виды деятельности:

• Разработка, производство, проведение сертификационных испытаний, реа-лизация, "эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.

• Разработка, производство, проведение сертификационных испытаний, экс-плуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации.

• Разработка, производство, проведение сертификационных испытаний, реа-лизация, эксплуатация закрытых систем и комплексов телекомму­никаций органов власти субъектов Российской Федерации, централь­ных органов федеральной исполнительной власти, организаций, пред­приятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлеж­ности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для передачи информации, со­ставляющей государственную или иную охраняемую законом тайну.

• Проведение сертификационных испытаний, реализация и эксплуата­ция шифровальных средств, закрытых систем и комплексов телеком­муникаций, предназначенных для обработки информации, не содер­жащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации.

К шифровальным средствам относятся:

• Реализующие криптографические алгоритмы преобразования инфор­мации аппаратные, программные и аппаратно-программные средства, обеспечивающие безопасность информации при ее обработке, хране­нии и передаче по каналам связи, включая шифровальную технику.

• Реализующие криптографические алгоритмы преобразования инфор­мации аппаратные, программные и аппаратно-программные средства защиты от несанкционированного доступа к информации при ее обра­ботке и хранении.

• Реализующие криптографические алгоритмы преобразования инфор­мации аппаратные, программные и аппаратно-программные средства защиты от навязывания ложной информации, включая средства имитозащиты и "цифровой подписи".

• Аппаратные, аппаратно-программные и программные средства для изготовления ключевых документов к шифровальным средствам неза­висимо от вида носителя ключевой информации.

К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается за­щита информации с использованием шифровальных средств, защищен­ного оборудования и организационных мер.

Дополнительно лицензированию подлежат следующие виды дея­тельности:

• эксплуатация шифровальных средств и/или средств цифровой подпи­си, а также шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт-карт;

• оказание услуг по защите (шифрованию) информации;

• монтаж, установка, наладка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с использованием пластиковых кредитных карточек и смарт- карт;

• разработка шифровальных средств и/или средств цифровой подписи, шифровальных средств для защиты электронных платежей с исполь­зованием пластиковых кредитных карточек и смарт-карт.

Порядок сертификации СКЗИ установлен "Системой сертификации средств криптографической защиты информации POCC.RU.0001.030001 Госстандарта России,

Стандартизация алгоритмов криптографических преобразований включает всесторонние исследования и публикацию в виде стандартов элементов криптографических процедур с целью использования разра­ботчиками СКЗИ апробированных криптографически стойких преобразо­ваний, обеспечения возможности совместной работы различных СКЗИ, а также возможности тестирования и проверки соответствия реализации СКЗИ заданному стандартом алгоритму.

В России приняты следующие стандарты - алгоритм криптографиче­ского преобразования 28147-89, алгоритмы хеширования, простановки и проверки цифровой подписи Р34.10.94 и Р34.11.94. Из зарубежных стан­дартов широко известны и применяются алгоритмы шифрования DES, RC2, RC4, алгоритмы хеширования MD2, MD4 и MD5, алгоритмы проста­новки и проверки цифровой подписи DSS и RSA.

Подводя итоги, можно указать примерные пути развития информаци­онных технологий в рамках защищенных АС, опирающиеся на применение криптографических механизмов.

1. Ориентация на шифрование группового массива данных и защиту целостности отдельных объектов АС типа исполняемые модули (из кото­рых происходит порождение субъектов).

2. Полное управление защитой только со стороны администратора сети. Реализация процедур изоляции ключей пользователей от админист­ратора программными мерами (существование ключей только внутри про­грамм и их уничтожение сразу после использования, хранение ключей в объектах АС, недоступных обычным пользователям).

3. Работа администратора с выделенной рабочей станции с реали­зацией принципов централизованного управления СКЗИ.

4. Разделяемость клиентской части СКЗИ (рабочая станция) на от­дельные модули и индивидуальные структуры данных для этих модулей.

5. Администрирование сетевых криптографически защищенных ре­сурсов преимущественно без участия владельцев индивидуальных клю­чей. Возможность установки защиты самим пользователем.

6. Локальная интеролерабельность- реализация защитных меха­низмов СКЗИ для некоторого подмножества файлово-совместимых ОС на рабочей станции и любого ПО на сервере.

7. Существование у пользователя индивидуальных данных (воз­можность этого задается дополнительными атрибутами защиты - право порождения ключа для защиты локальных данных, возможность отключе­ния администратора СКЗИ от своего криптографически защищенного объекта, возможность создания объекта индивидуального доступа, право допустить к объекту другого пользователя.

8. Использование открытого интерфейса криптографических функ­ций. Организация универсальных структур данных под переменные длины ключей и имитовставок.

9. Реализация процедуры единого выхода во внешнюю сеть - через почтовую СКЗИ-шлюз, либо шифрование объектов транспортной системы АС.

10. Снабжение клиента пользовательским интерфейсом (через функции открытого интерфейса), с помощью которого он может встраивать в свои приложения (в основном клиенты СУБД) криптографические функции.

На основании изложенных выше положений можно сделать вывод о том, что перспективные технологии применения криптографической защи­ты развиваются в направлении применения открытых интерфейсов крип­тографических функций, а также использования собственных вычисли­тельных ресурсов прикладных средств.