Средства защиты электронных сообщений с помощью цифровой подписи

 

Все современные информационные технологии, связанные с обменом электронных документов в своей основе содержат “кирпичик”, который получил название цифровая подпись. К системам, использующим такие технологии, относятся автоматизированные банковские системы типа “Клиент – Банк”, системы для обеспечения электронных платежей в Интернет, платёжные системы на основе smart – карт, другие коммерческие и секретные системы связи.

Любая подпись, как обычная, так и цифровая, выполняет три основные функции:

- удостоверение того, что подписавшийся является тем, за которого мы его принимаем (функция авторизации);

- то, что подписавшийся не может отказаться от документа, который он подписал;

- подтверждение того, что отправитель подписал именно тот документ, который отправил, а не какой-либо иной.

Аутентификациясообщений – это установление приёмником и, возможно, арбитром того факта, что при существующем протоколе (правилах) аутентификации данное сообщение послано санкционированным (законным) передатчиком и что оно при этом не заменено и не искажено. Большинство методов аутентификации электронных сообщений базируются на тех или иных криптографических алгоритмах (преимущественно с открытыми ключами). К ним относятся системы RSA и E Gamal (госстандарт на цифровую подпись в США и в России - ГОСТ 34.10).

В таких системах у каждого участника (абонента) есть два разных, но связанных математически друг с другом ключа: один – совершенно секретный, а второй открытый и доступный всем абонентам. Система устроена так, что сообщение, зашифрованное с помощью открытого ключа, может быть открыто только с помощью секретного ключа и наоборот. Таким образом, ключи являются взаимно обратными друг к другу. Обычно эти ключи для удобства обозначают буквами E и D. Каждый абонент системы имеет свою пару ключей (E и D). Эти ключи он создает сам и, поэтому секретный ключ действительно принадлежит только ему (при этом он должен хранить его в соответствии с требованиями, предъявляемыми к сохранности секретных документов). Свои ключи E все абоненты хранят в секрете, а ключи D делаются доступными для пользователей системы.

Принцип работы цифровой подписи на основе системы с открытыми ключами:

-Если абонент A должен подписать какое-либо сообщение, он с помощью специальной хеш-функции создаёт дайджест (слепок) этого сообщения и зашифровывает его своим секретным ключом E. Свойства хеш-функции таковы, что полученный с помощью её дайджест “жестко” связан с сообщением. Зашифрованный дайджест “прикрепляется” к сообщению и становится цифровой подписью сообщения.

-После этого любой пользователь системы, получив подписанное сообщение, может проверить подпись абонента A. Для этого ему необходимо создать свой вариант дайджеста полученного сообщения, расшифровать прикреплённый дайджест к сообщению с помощью открытого ключа D пользователя A, и сравнить свой вариант дайджеста с расшифрованным дайджестом. Если они совпадают, подпись считается верной. В противном случае сообщение отвергается. Поскольку секретный ключ известен только пользователю A, то ясно, что подписать сообщение мог только он.

Сертификация открытых ключей

При использовании цифровой подписи на основе систем с открытыми ключами существует опасность, заключающаяся в том, что открытый ключ какого либо пользователя X может быть подменён злоумышленником. В этом случае подменивший ключ может выдать себя за пользователя X.

Такая проблема решается с помощью сертификации (освидетельствования) открытых ключей санкционированных пользователей системы. Для этого открытые ключи пользователей заверяются цифровой подписью центра сертификации – специальной организацией создаваемой группой пользователей системы.

Центр сертификации создает сертификаты открытых ключей пользователей, в которые включаются, собственно открытый ключ и идентификатор пользователя, серийный номер сертификата, даты начала и окончания действия сертификата, данные об организации, выдавшей сертификат и другая информация. Все эти данные подписываются с помощью секретного ключа центра сертификации. Открытый ключ центра сертификации делается доступным для всех пользователей системы.

КОМПЛЕКСНЫЕ РЕШЕНИЯ ЗИ ДЛЯ КОРПОРАТИВНЫХ СЕТЕЙ

 

Рис. 56. Структура комплесного средства защиты корпоративной сети

 

Программный комплекс VIPNET

Назначение: технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей с внешними техническими средствами и информационными ресурсами.

Способ: создание в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, включающей следующие компоненты:

-Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак.

-Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.

-Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.

-Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях, обеспечивающую целостность и недоступность информации для несанкционированного использования в процессе ее хранения.

-Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

-Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet.

-Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Основные функции:

- Быстрое развертывание корпоративных защищенных решений на базе имеющихся у корпорации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др.

- Создание внутри распределенной корпоративной сети информационно-независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.

-Защита локальных сетей в целом, их сегментов или отдельных компьютеров и другого оборудования от несанкционированного доступа и различных атак, как из внешних, так и из внутренних сетей.

-Поддержка защищенной работы мобильных и удаленных пользователей корпоративной сети.

-Организацию безопасного для локальных сетей подключения отдельных рабочих станций этих сетей к открытым ресурсам сети Интернет и исключение риска атаки из Интернет на всю локальную сеть через подключенные к открытым ресурсам компьютеры локальной сети.

-Защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети: рабочими станциями (мобильная, удаленная, локальная), серверами, сетевыми устройствами и узлами. При этом становится недоступной для перехвата из сети, в том числе для участников VPN, и любая парольная информация различных приложений, баз данных, почтовых серверов и др., что существенно повышает безопасность этих прикладных систем.

-Защита управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и пр., а также самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

-Контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика для каждого узла отдельно с помощью набора стандартных и индивидуальных настроек.

-Защита от НСД информационных ресурсов корпоративной сети, хранимых на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.

-Организация безопасной работы участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом.

-Аутентификация пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509.

-Оперативное управление распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам.

-Исключение возможности использования недекларированных возможностей операционных систем и приложений для совершения информационных атак, кражи секретных ключей и сетевых паролей.

Состав программного комплекса:

Компоненты:

-ViPNet-драйвер, взаимодействующий непосредственно с драйвером сетевого интерфейса и позволяющий обеспечить независимость программы от операционной системы и ее приложений. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера, и выполняет его фильтрацию по многочисленным параметрам и при необходимости - шифрование и инкапсуляцию.

-Криптографическое ядро "Домен-К", обеспечивающее шифрование всего IP-трафика между компьютерами по алгоритму, рекомендованному ГОСТ 28147-89, а также, при необходимости, по другим алгоритмам (DES, 3DES, RC6). Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип UDP-формата, что полностью скрывает структуру информационного обмена.

Модули:

ViPNet [Администратор] - создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Формирует симметричную ключевую информацию и первичную парольную информацию для объектов сети, выпускает сертификаты открытых ключей для объектов сети. Включает в себя программы:

-Центр Управления Сетью (ЦУС) - является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью, решает следующие основные задачи.

-Задает узлы сети, группы пользователей и пользователей в них.

-Задает допустимые связи между группами пользователей и, соответственно, между узлами, что определяет наличие необходимых ключей разного уровня на узлах и содержимое адресных книг программ управления виртуальной средой и прикладных программ ViPNet.

-Определяет типовые политики безопасности и распределение допустимых полномочий пользователей и локальных администраторов на конкретных узлах по изменению политик безопасности для этих узлов.

-Определяет возможность доступа конкретных компьютеров локальной сети к открытым ресурсам Интернет и других внешних сетей. При этом специальная технология обеспечивает во время доступа во внешнюю сеть блокировку любого трафика этих компьютеров со всеми ресурсами локальной сети и объектами виртуальной сети.

-В соответствии с заданными связями и политиками безопасности формирует соответствующие справочники доступа для узлов и справочники допустимых связей для Ключевого центра.

-Обеспечивает автоматическую защищенную доставку и контроль доставки на развернутые узлы измененных справочников доступа, ключевой информации из КЦ (симметричные ключи, сертификаты пользователей, списки сертификатов, выведенных из действия, сертификаты ключевых центров других сетей ViPNet и др.).

-Обеспечивает обмен с ЦУСами других виртуальных ViPNet-сетей списками объектов своих сетей, которые должны взаимодействовать между собой. Производит взаимное согласование с этими ЦУСами допустимых межсетевых связей между объектами сетей. Обеспечивает обмен корневыми сертификатами этих сетей, списками сертификатов, выведенных из действия.

-Осуществляет автоматическое обновление программного обеспечения ViPNet на объектах сети в удаленном режиме.

-Обеспечивает удаленный просмотр и анализ журналов событий для компонент ViPNet [Клиент] и ViPNet [Координатор], контроль успешности высланных ЦУСом обновлений ключей, справочников и программного обеспечения.

-Ключевой Центр (КЦ) - предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN.

Функции КЦ:

-формирование и автоматическое обновление через ЦУС симметричной ключевой информации и первичной парольной информации для объектов и пользователей сети;

-выполнение функций удостоверяющего центра сертификатов цифровых подписей.

Для установки ViPNet [Администратор] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети.

ViPNet[Координатор] - выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором].

-в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др.;

-обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);

-осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;

-фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

-обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-сервера других производителей.

Подсистемы:

-Сервер IP-адресов - обеспечивает работу с динамическими IP-адресами, ведет в реальном времени базу IP-адресов всех подключенных к VPN в данный момент времени клиентов (рабочих станций, серверов, мобильных и удаленных пользователей и т.д.).

-Почтовый сервер - обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений ЦУСа при взаимодействии объектов сети между собой.

-Proxy-сервер защищенных соединений - обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса.

-Сервер-туннель

-позволяет организовать защиту трафика между локальными сетями, и используется тогда, когда нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в виртуальную сеть. Позволяет также зашифровать трафик между группой незащищенных компьютеров одной локальной сети и группой незащищенных компьютеров другой локальной сети, в том случае, когда не требуется защищать трафик от всех компьютеров локальной сети для передачи его по открытой глобальной сети;

-обеспечивает туннелирование всего IP-трафика между защищаемыми сетями в защищенное соединение между ViPNet [Координаторами] по UDP-протоколу;

-позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за счет использования технологии обратного туннеля.

-Межсетевой экран - обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников, трафик от которых туннелируется, в соответствии с заданной политикой защиты; при наличии нескольких сетевых интерфейсов позволяет по каждому из них определить собственный набор правил фильтрации, что позволяет использовать ViPNet [Координатор] как мультиинтерфейсный сетевой экран для разделения локальной сети на несколько сегментов с разными режимами безопасности.

- Сервер "открытый Интернет" - в этом режиме ViPNet [Координатор] устанавливается в точке присоединения локальной сети к Интернет и обеспечивает фильтрацию и туннелирование (шифрование) открытого трафика при доставке его к компьютеру локальной сети с установленной на нем компонентой ViPNet[Клиент]. В результате, потенциально "опасный" открытый трафик, равно как и работающий с ним компьютер, будут "изолированы" от остальных компьютеров локальной сети.

Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справочниками и маршрутными таблицами.

В виртуальной сети может быть установлено множество ViPNet [Координаторов], взаимодействующих между собой. При этом может быть организовано их взаимное резервирование для повышения надежности развернутой VPN-сети.

Для установки ViPNet [Координатора] необходим IBM-совместимый компьютер с операционной системой Windows NT/2000/XP или Linux, а также не менее 100 Мбайт свободного места на жестком диске. Характеристики компьютера определяются размерностью сети и производительностью каналов связи.

ViPNet[Клиент]- обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей.

При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.

Подсистемы:

-Персональный межсетевой экран - позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети:

-управлять доступом к данным компьютера из локальной или глобальной сети;

-определять адреса злоумышленников, пытающихся получить доступ к информации в компьютере;

-обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается "невидимым" для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ "шпионов";

-формировать "черные" и "белые" списки узлов открытой сети, соединение с которыми соответственно "запрещено" или "разрешено";

-осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование "опасных" сервисов на "сомнительных" узлах открытой сети;

-осуществлять фильтрацию трафика по типам сервисов и протоколов для связанных с данным узлом других защищенных узлов;

-контролировать активность сетевых приложений на данном компьютере, где установлен ViPNet [Клиент], что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ "шпионов", которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.).

Подсистема установления защищенных соединений между компьютерами, оснащенными ViPNet[Клиентом] позволяет:

-шифровать IP-пакеты с добавлением в них информации для обеспечения целостности, контроля времени, идентификации (авторизации) и скрытия первоначальной структуры пакета;

-блокировать шифрованные пакеты при нарушении их целостности, превышении допустимой разницы между временем отправки и текущим временем (защита от переповторов) или при невозможности аутентифицировать пакет;

-организовать схему защищенного использования всевозможных Web-приложений, в том числе Web-trading, Web-ordering, Web-хостинга, Web-вещания и т.д., с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN;

- защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом];

- использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации.

“Деловая почта” позволяет:

-передавать электронные сообщения по открытым каналам связи с защитой на всем маршруте следования от отправителя до получателя, при этом в качестве открытого канала могут быть использованы стандартные сервера SMTP/POP3;

-одновременно с самим сообщением защитить прикрепленные к нему файлы;

-организовать по установленным правилам защищенный автопроцессинг стандартных документов, "рождаемых" другими приложениями и системами управления бизнесом (бухгалтерскими, банковскими, управленческими и пр.);

-осуществлять поиск документа в почтовой базе документов по множеству параметров (отправитель, получатель, тема, дата, период, контекст и т.п.);

-подтверждать личность отправителя, используя электронную подпись, встроенную в общую систему безопасности;

-передать сообщение только тем получателям, для которых оно предназначалось, а также при необходимости автоматически отправить копии сообщений на заданные в ЦУСе узлы;

-подтвердить получение и использование сообщений, а также дату, время получения и личности получателей;

-вести учетную нумерацию сообщений.

Для установки ViPNet [Клиента] необходим IBM-совместимый компьютер с операционной системой Windows 95/98/ME/NT/2000/XP c модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске.

Для того чтобы компьютеры, включенные в виртуальную защищенную сеть, увидели друг друга в глобальной сети, на одном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор]. Каждый компьютер с ViPNet [Клиентом] будет посылать на ViPNet [Координатор] информацию о своем включении и об изменении IP-адреса, получать с него информацию о других связанных с ним компьютерах. Если ViPNet [Координаторов] несколько, то они обмениваются между собой необходимой информацией о подключении и отключении абонентов, а также информацией о подключении/отключении друг друга, осуществляют взаимное резервирование.

Технические характеристики комплекса:

- Количество объектов, которое может быть зарегистрировано в одной сети, практически не ограничено (до 65000 координаторов, до 65000 абонентских узлов на одном координаторе).

-ПО функционирует в операционных средах Windows 95/98/ME/NT/2000/XP, Linux.

-Производительность работы Драйвера защиты трафика в зависимости от операционной системы и мощности компьютера - от 6 до 32 Мбит/сек.

-Для разгрузки процессоров серверов сети и увеличения пропускной способности до 60-96 Мбит/сек в них может быть установлена PCI-плата ViPNet-Turbo 100.

 

19.2. Комплексные решения компании “Сигнал-Ком”

Продукция компании "Сигнал-КОМ" включает широкий спектр программно-аппаратных и инструментальных средств для разработки защищенных информационных систем и создания VPN (Virtual Private Network):

-сертифицированные реализации алгоритма ЭЦП, соответствующие Федеральному закону "Об электронной цифровой подписи";

-криптографические библиотеки, поддерживающие российские и международные криптографические стандарты;

-Удостоверяющий Центр для администрирования одноранговых и иерархических систем с открытым распределением криптографических ключей на базе цифровых сертификатов X.509;

-программные комплексы для организации защищенных систем электронного документооборота на базе Web-приложений и электронной почты;

-межсетевые экраны с функциями криптографической защиты трафика на базе протоколов SOCKS, SSL/TLS, IPSec.

Основным компонентом всех комплексных (специализированных) решений фирмы является библиотека криптографических преобразований "Крипто-КОМ 3.0". Она не поставляется в виде конечного самостоятельного продукта, а используется в качестве сертифицированного криптоядра, встроенного в высокоуровневые криптографические библиотеки ("Message-PRO", "SSL-PRO", "PKI-PRO") и прикладные программные средства защиты информации ("Inter-PRO", "Mail-PRO", "Notary-PRO", "Office-PRO" и др.).

Крипто-КОМ 3.0 - средство криптографической защиты информации

Средство криптографической защиты информации (СКЗИ) "Крипто-КОМ 3.0" предназначено для обеспечения гарантированной защиты информации при её хранении, обработке и передаче по открытым каналам связи.

СКЗИ "Крипто-КОМ 3.0" имеет сертификаты ФАПСИ СФ/124-0476 и СФ/124-0477 от 10.06.01, удостоверяющие, что СКЗИ соответствует требованиям российских государственных стандартов в области криптографической защиты информации ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, требованиям ФАПСИ к стойкости СКЗИ и может использоваться для обеспечения безопасности информации уровня КС1 и КС2, не содержащей сведений, составляющих государственной тайны.

В состав СКЗИ "Крипто-КОМ 3.0" входит:

-Низкоуровневая библиотека криптографических преобразований "Крипто-КОМ 3.0" - реализует российские криптографические стандарты на шифрование (ГОСТ 28147-89), электронную цифровую подпись (ГОСТ Р 34.10-94), вычисление хэш-функции (ГОСТ Р 34.11-94; функционирует на компьютерах с архитектурой Intel x86 в операционных средах MS DOS, MS Windows 95/98/NT/2000, SCO UNIX, Linux, FreeBSD, HP-UX (сертификаты соответствия ФАПСИ распространяются на версии для MS DOS и MS Windows 95/98/NT/2000; для остальных версий имеется положительное заключение Центра сертификационных исследований, аттестованного ФАПСИ).

-Программно-аппаратный комплекс (ПАК) Криптоменеджер - выполняет функции центра управления ключевой системой (ЦУКС) в составе СКЗИ; обеспечивает формирование, регистрацию, обновление, учет и хранение ключевых документов пользователей; для формирования ключевой информации использует надежный аппаратный датчик случайных чисел (ДСЧ) из состава устройства криптографической защиты данных (УКЗД) "КРИПТОН-4К/16" фирмы "АНКАД" или его более поздних модификаций, сертифицированных ФАПСИ.

-Программа автономной генерации пар ключей "GenPair" - предназначена для самостоятельного формирования пользователями СКЗИ собственных криптографических ключей; для генерации ключей использует инициализационный ключевой носитель (дискету или электронную таблетку Touch Memory), содержащий файл инициализации для программного ДСЧ; инициализационные ключевые носители формируются администратором безопасности с помощью ПАК "Криптоменеджер" и выдаются пользователям при первичной регистрации в сети конфиденциальной связи.

СКЗИ "Крипто-КОМ 3.0" является асимметричной криптосистемой с открытым распределением ключей, ориентированной на совместное использование одноключевых и двухключевых алгоритмов. В зависимости от требований политики безопасности эксплуатирующей организации, СКЗИ "Крипто-КОМ 3.0" допускает два режима формирования криптографических ключей пользователей:

-централизованный - ключи формируются на рабочем месте администратора безопасности с помощью ПАК "Криптоменеджер";

-децентрализованный - ключи формируются самими пользователями на своих рабочих местах с помощью программы автономной генерации ключей "GenPair" и инициализационного ключевого носителя, полученного от администратора ПАК "Криптоменеджер".

В криптосистемах, построенных на базе СКЗИ "Крипто-КОМ 3.0", открытые ключи пользователей существуют в виде цифровых сертификатов, которые должны заверяться в Сертификационном Центре "Notary-PRO 2.0" разработки "Сигнал-КОМ".

Notary-PRO - Сертификационный Центр

Сертификационный Центр "Notary-PRO" предназначен для администрирования одноранговых и иерархических систем распределения ключевой информации в сетях конфиденциальной связи, построенных на базе двухключевых криптографических процедур.

Сертификационный Центр "Notary-PRO" функционирует в операционных средах Microsoft Windows 2000/NT, выполняя все необходимые функции по управлению цифровыми сертификатами открытых ключей в соответствии с Рекомендациями ITU-T X.509:

-формирование ключей и сертификатов администратора Сертификационного Центра (Certification Authority - CA);

-регистрацию запросов на сертификацию открытых ключей пользователей;

-формирование сертификатов открытых ключей на основе запросов;

-формирование и выпуск списков отозванных (скомпрометированных) сертификатов (certificate revocation lists - CRL);

-поддержание базы данных по пользователям системы;

-формирование запросов на сертификацию ключей администратора в вышестоящем Сертификационном Центре и создание сертификатов администраторов нижестоящих Сертификационных Центров для организации иерархических систем сертификации.

Цифровая подпись администратора Сертификационного Центра в составе сертификата обеспечивает достоверность и однозначность соответствия открытого ключа и его владельца.

IPSafe-PRO - IP-шифратор для организации VPN с функциями межсетевого экрана

Криптографический комплекс "IPSafe-PRO" предназначен для построения защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN), создаваемых на базе сетей общего пользования (в том числе, Интернет).

"IPSafe-PRO" представляет собой программно-аппаратный комплекс, реализующий функции межсетевого экрана и криптографического маршрутизатора, обеспечивающего защиту конфиденциальной информации путем организации защищенных туннелей между территориально удаленными IP-сетями корпоративных информационно-вычислительных систем.

Базовая конфигурация криптографического комплекса "IPSafe-PRO" представляет собой устройство с двумя Ethernet-интерфейсами, выполненное на основе IBM PC-совместимого персонального компьютера (размера BookSize).

"IPSafe-PRO" устанавливается на выходе из локальной сети и выполняет фильтрацию и криптографическую обработку входящих и исходящих IP-пакетов в соответствии с заданными правилами.

Для защиты данных в "IPSafe-PRO" используется протокол ESP (Encapsulated Security Payload, RFC 2406) в туннельном режиме, предоставляющий следующие необходимые услуги безопасности:

-конфиденциальность данных;

-аутентификацию источника данных;

-целостность данных;

-сокрытие топологии защищаемых локальных корпоративных сетей;

-защиту от анализа трафика.

Выбор алгоритмов криптообработки в комплексе "IPSafe-PRO" осуществляется в соответствии с требованиями политики безопасности защищаемой сети:

Net-PRO – система защиты информации в сетях TCP/IP (Интернет/Интранет)

Система "Net-PRO" предназначена для организации защищенных виртуальных частных IP-сетей (Virtual Private Network - VPN) на базе Интернет/Интранет, обеспечивающих аутентификацию взаимодействующих сторон и надежную защиту (шифрование и контроль целостности) потоков данных, передаваемых по открытым каналам связи.

"Net-PRO" обеспечивает защиту потоков данных в различных вариантах:

-в пределах корпоративной локальной сети;

-при взаимодействии объединенных локальных сетей;

-при взаимодействии с удаленными ресурсами через сети общего пользования (включая Интернет);

-при необходимости организации безопасной работы удаленного компьютера с корпоративной сетью и др.

"Net-PRO" позволяет:

-скрывать реальную топологию защищаемой локальной сети;

-обеспечивать аутентифицированный доступ в защищаемую локальную сеть для удаленных пользователей с динамически выделяемыми адресами;

-контролировать доступ к открытым ресурсам внешних сетей.

"Net-PRO" обеспечивает надежную аутентификацию пользователей, основанную на двухключевых крипто-алгоритмах и сертификатах, не требующих от пользователя запоминания и ввода пароля. Для аутентификации и защиты потоков данных в "Net-PRO" используется модернизированный протокол SSL (Secure Socket Layer), свободный от экспортных ограничений, касающихся длины криптографических ключей. Пользователям предоставляется целый набор методов шифрования (включая отечественный ГОСТ 28147-89); предусмотрено 3 режима аутентификации (двусторонняя, односторонняя и без аутентификации); аутентификация осуществляется на основе применения цифровых сертификатов в формате Х.509.

В системе "Net-PRO" реализован инструментарий управления политикой безопасности, обеспечивающий легкую и быструю настройку и оперативную корректировку:

-параметров аутентификации пользователей;

-алгоритмов крипто-обработки;

-правил разграничения доступа аутентифицированных пользователей к ресурсам внешней или локальной сети, компьютерам или отдельным приложениям;

-типов разрешенных приложений и др.

"Net-PRO" осуществляет контроль и протоколирование событий и внештатных ситуаций.

Система "Net-PRO" включает:

-"Net-PRO VPN Server" - серверный модуль, поддерживающий взаимодействие с клиентскими модулями "Net-PRO VPN Client" и/или с аналогичными серверными модулями "Net-PRO VPN Server"; "Net-PRO VPN Server" устанавливается на входе в защищаемую локальную сеть в виде выносного устройства; реализует протокол SOCKS и используется для защиты рабочих станций и серверов, выступая в роли межсетевого экрана (FireWall), выполняющего процедуры аутентификации и шифрования потока данных, фильтрацию приложений, защиту от "спуфинга" и др.;

-"Net-PRO VPN Client" - клиентский модуль, обеспечивающий защищенное взаимодействие с серверным модулем "Net-PRO VPN Server"; "Net-PRO VPN Client" устанавливается на компьютерах локальной сети, защищаемой с помощью "Net-PRO VPN Server", или на удаленном компьютере, доступ с которого в защищаемую сеть осуществляется через сеть общего пользования (например, Интернет) в режиме прямого или коммутируемого подключения.

Inter-PRO – система защиты WWW-приложений в Интернет/Интранет

Предназначен для защиты HTTP-трафика на базе "расширенных" протоколов SSL/TLS, дополненных российскими криптографическими алгоритмами и возможностью формирования и проверки в режиме on-line электронной цифровой подписи (ЭЦП) под электронной HTML-формой, заполняемой пользователем в процессе взаимодействия с Web-сервером.

Proxy-технология, реализованная в "Inter-PRO", обеспечивает его независимость от используемого типа Web-клиента и Web-сервера, защищенное взаимодействие между которыми устанавливается через посредничество программных модулей "Inter-PRO Client" и "Inter-PRO Server", располагаемых, соответственно, на стороне клиента и на стороне сервера.

Наиболее эффективно использование "Inter-PRO" в электронных платежных системах типа "Банк-Клиент", базирующихся на Web-технологиях и ориентированных на дистанционное обслуживание клиентов через Интернет, или в любых других системах, где необходимо авторизованное подтверждение запроса на обслуживание (в системах электронной торговли, электронного страхования, платного информационного обслуживания и т.д.). При интеграции с такого рода системами "Inter-PRO" обеспечивает:

-строгую взаимную аутентификацию клиентов и банковского с