Situacija se promijenila tek 1990. godine, kada je uveden standard šifriranja GOST 28147-89. U početku je algoritam bio klasificiran kao DSP i službeno je postao "potpuno otvoren" tek 1994.
Teško je točno reći kada je točno napravljen informacijski proboj u domaćoj kriptografiji. Najvjerojatnije se to dogodilo s pojavom pristupa internetu od strane šire javnosti, nakon čega su se na internetu počeli objavljivati brojni materijali s opisima kriptografskih algoritama i protokola, članci o kriptoanalizi i druge informacije vezane uz enkripciju.
U sadašnjim uvjetima kriptografija više nije mogla ostati samo prerogativ države. Osim toga, razvoj informacijskih tehnologija i komunikacija stvorio je potrebu za korištenjem sredstava kriptografske zaštite od strane gospodarskih društava i organizacija.
Danas do sredstva kriptografske zaštite informacija(CIS) uključuju: alati za šifriranje, alati za zaštitu od imitacije, alati za elektronički digitalni potpis, alati za kodiranje, alati za proizvodnju ključnih dokumenata i sami sebi ključni dokumenti.
- zaštita osobnih podataka informacijski sustavi;
- zaštita povjerljivih podataka tvrtke;
- enkripcija poslovne e-pošte;
- izrada i provjera digitalnih potpisa.
Korištenje kriptografije i CIPF-a u ruskim tvrtkama
1. Uvođenje kriptovaluta u sustave zaštite osobnih podataka
Aktivnosti gotovo svake ruske tvrtke danas su povezane s pohranjivanjem i obradom osobnih podataka (PD) različitih kategorija, za čiju zaštitu zakonodavstvo Ruske Federacije postavlja niz zahtjeva. Da bi ih ispunio, menadžment poduzeća se prije svega suočava s potrebom formiranja modeli prijetnji osobni podaci i razvoj na temelju njih sustavi zaštite osobnih podataka, koji bi trebao uključivati sredstvo kriptografske zaštite informacija.Za CIPF implementiran u sustav zaštite osobnih podataka postavljaju se sljedeći zahtjevi:
- Kriptografski alat mora ispravno funkcionirati zajedno s hardverom i softverom koji mogu utjecati na ispunjavanje zahtjeva za njega.
- Kako bi se osigurala sigurnost osobnih podataka tijekom njihove obrade, moraju se koristiti kriptovalute certificirane u sustavu certificiranja FSB-a Rusije.
Stoga tvrtke i organizacije sada učinkovito koriste alate za kriptografsku zaštitu za zaštitu osobnih podataka ruskih građana i jedna su od najvažnijih komponenti u sustavima zaštite osobnih podataka.
2. Zaštita korporativnih informacija
Ako je u stavku 1. uporaba kriptografskih sredstava određena, prije svega, zahtjevima zakonodavstva Ruske Federacije, tada je u ovom slučaju sama uprava tvrtke zainteresirana za korištenje kriptografske zaštite informacija. Pomoću alata za šifriranje tvrtka može zaštititi svoje korporativne podatke – podatke koji predstavljaju poslovnu tajnu, intelektualno vlasništvo, operativne i tehničke informacije itd.Danas, za učinkovitu upotrebu u poslovnom okruženju, program za šifriranje mora osigurati:
- šifriranje podataka na udaljenom poslužitelju;
- podrška za asimetričnu kriptografiju;
- transparentna enkripcija;
- šifriranje mrežnih mapa;
- sposobnost razlikovanja prava pristupa povjerljivim informacijama između zaposlenika tvrtke;
- mogućnost da zaposlenici pohranjuju privatne ključeve na vanjske medije za pohranu (tokene).
3. Elektronički potpis
Elektronički potpis (ES) danas je punopravni analog vlastoručnog potpisa i mogu ga koristiti pravne i fizičke osobe kako bi dokumentu u digitalnom obliku dali pravnu snagu. Upotrebom elektroničkog potpisa u sustavima za upravljanje elektroničkim dokumentima značajno se povećava brzina sklapanja trgovačkih poslova, smanjuje obim papirnate knjigovodstvene dokumentacije i štedi vrijeme zaposlenika. Osim toga, elektronički potpis smanjuje troškove tvrtke za sklapanje ugovora, obradu dokumenata za plaćanje, dobivanje raznih potvrda od državnih tijela i još mnogo toga.Alati za kriptografsku zaštitu u pravilu uključuju funkcije za izradu i provjeru elektroničkih potpisa. Rusko zakonodavstvo postavlja sljedeće zahtjeve za takav CIPF:
Prilikom izrade elektroničkog potpisa moraju:
- pokazati osobi koja potpisuje elektroničku ispravu sadržaj informacija koje potpisuje;
- izraditi elektronički potpis tek nakon potvrde osobe koja potpisuje elektronički dokument operacije izrade elektroničkog potpisa;
- jasno pokazuju da je elektronički potpis izrađen.
- pokazati sadržaj elektroničkog dokumenta potpisanog elektroničkim potpisom;
- prikaz informacija o promjenama na potpisanom elektroničkom dokumentu;
- navesti osobu čijim su ključem digitalnog potpisa elektronički dokumenti potpisani.
4. Šifriranje e-pošte
Za većinu tvrtki e-pošta je glavno sredstvo komunikacije među zaposlenicima. Nije tajna da se danas ogromna količina povjerljivih informacija šalje putem korporativne e-pošte: ugovori, fakture, informacije o proizvodima i politikama cijena tvrtke, financijski pokazatelji itd. Ako takve informacije postanu dostupne konkurenciji, to može uzrokovati značajnu štetu društva do prestanka djelatnosti.Stoga je zaštita korporativne e-pošte iznimno važna komponenta u osiguravanju informacijske sigurnosti tvrtke, čija implementacija također postaje moguća korištenjem kriptografskih i enkripcijskih alata.
Većina klijenata e-pošte kao što su Outlook, Kinderbird, The Bat! itd., omogućuju vam da konfigurirate razmjenu šifriranih poruka temeljenih na certifikatima javnog i privatnog ključa (certifikati u formatima X.509 odnosno PKCS#12), kreiranih pomoću alata za kriptografsku zaštitu.
Ovdje je također vrijedno spomenuti sposobnost kriptografskih alata da rade kao certifikacijska tijela (CA). Glavna svrha certifikacijskog tijela je izdavanje certifikata za šifriranje i potvrda autentičnosti ključeva za šifriranje. U skladu s ruskim zakonodavstvom, CA su podijeljeni u klase (KS1, KS2, KS3, KB1, KB2, KA1), od kojih svaka ima niz zahtjeva. U isto vrijeme, klasa CIPF-a koja se koristi u CA alatima ne smije biti niža od odgovarajuće klase CA.
Korištenje CyberSafe Enterprise
Prilikom razvoja programa CyberSafe Enterprise pokušali smo uzeti u obzir sve gore opisane značajke, uključujući ih u funkcionalni skup programa. Dakle, podržava funkcije navedene u stavku 2. ovog članka, enkripciju elektroničke pošte, izradu i provjeru digitalnog potpisa, kao i rad kao certifikacijsko tijelo.Dostupnost u CyberSafeu poslužitelji javnih ključeva omogućuje tvrtkama da organiziraju prikladnu razmjenu ključeva između svojih zaposlenika, pri čemu svatko od njih može objaviti svoj javni ključ, kao i preuzeti javne ključeve drugih korisnika.
Zatim ćemo se detaljnije zadržati na mogućnosti uvođenja CyberSafe Enterprisea u sustave zaštite osobnih podataka. Ova mogućnost postoji zahvaljujući podršci programa kriptoprovajdera CryptoPro CSP, certificiranog od strane FSB Ruske Federacije kao CIPF klasa KS1, KS2 i KS3 (ovisno o verziji) i navedeno je u klauzuli 5.1 “Metodološke preporuke za osiguranje sigurnosti osobnih podataka kriptografskim sredstvima”:
"Ugradnja kripto imovine klase KS1 i KS2 provodi se bez kontrole FSB-a Rusije (ako ta kontrola nije predviđena tehničkim specifikacijama za razvoj (modernizaciju) informacijskog sustava)."
Dakle, s ugrađenim CIPF CryptoPro CSP-om, program CyberSafe Enterprise može se koristiti u sustavu zaštite osobnih podataka klasa KS1 i KS2.
Nakon instaliranja CryptoPro CSP-a na računalo korisnika, prilikom kreiranja certifikata u CyberSafe Enterprise, bit će moguće kreirati CryptoPRO certifikat:
Nakon dovršetka izrade CyberSafe certifikata, kreiraju se i CryptoPRO ključevi, prikazuju se na vašem paketu i dostupni su za korištenje:
Ako postoji potreba za izvozom CryptoPro ključeva u zasebnu datoteku, to se može učiniti putem standardne CyberSafe funkcije izvoza ključeva:
Ako želite kriptirati datoteke za prijenos drugim korisnicima (ili ih potpisati svojim digitalnim potpisom) i za to koristiti CryptoPro ključeve, morate odabrati CryptoPro s popisa dostupnih kripto pružatelja:
Ako želite koristiti CryptoPro ključeve za transparentnu enkripciju datoteka, trebali biste također navesti CryptoPro kao pružatelja kripto usluga u prozoru za odabir certifikata:
U CyberSafeu je moguće koristiti CryptoPRO i GOST algoritam za šifriranje logičkih pogona/particija i stvaranje virtualnih šifriranih pogona:
Također, na temelju CryptoPro certifikata, može se konfigurirati enkripcija e-pošte. U KriptoPro CSP, algoritmi za generiranje i provjeru elektroničkih potpisa implementirani su u skladu sa zahtjevima standarda GOST R 34.10-2012, algoritam za šifriranje/dešifriranje podataka implementiran je u skladu sa zahtjevima standarda GOST 28147-89.
Do danas je CyberSafe jedini program koji kombinira funkcije šifriranja datoteka, mrežnih mapa, logičkih pogona, e-pošte i mogućnost rada kao certifikacijsko tijelo s podrškom za standarde šifriranja GOST 28147-89 i GOST R 34.10-2012.
Dokumentacija:
1. Savezni zakon "O osobnim podacima" od 27. srpnja 2006. br. 152-FZ.2. Propisi o osiguravanju sigurnosti osobnih podataka tijekom njihove obrade u informacijskim sustavima osobnih podataka, odobreni Uredbom Vlade Ruske Federacije od 17. studenog 2007. br. 781.
3. Metodološke preporuke za osiguranje sigurnosti osobnih podataka korištenjem kriptografskih alata pri njihovoj obradi u informacijskim sustavima osobnih podataka pomoću alata za automatizaciju, odobreno od strane uprave 8. centra FSB-a Rusije 21. veljače 2008. br. 149/54- 144.
4. Propisi o razvoju, proizvodnji, prodaji i radu šifriranih (kriptografskih) sredstava za zaštitu informacija, odobreni Nalogom FSB-a Ruske Federacije od 9. veljače 2005. br. 66.
5. Zahtjevi za sredstva elektroničkog potpisa i Zahtjevi za sredstva certifikacijskog centra, odobreni Nalogom Federalne sigurnosne službe Ruske Federacije od 27. prosinca 2011. br. 796.
Tvrtka CryptoPro razvila je cijeli niz softverskih i hardverskih proizvoda za osiguranje integriteta, autorstva i povjerljivosti informacija korištenjem elektroničkog potpisa i enkripcije za korištenje u različitim okruženjima (Windows, Unix, Java). Novi smjer proizvoda tvrtke je softver i hardver za kriptografsku zaštitu informacija korištenjem pametnih kartica i USB ključeva, koji mogu značajno povećati sigurnost sustava koji koriste elektronički potpis.
Naša tvrtka je distributer CryptoPro-a i ima odgovarajući.
Cijena CryptoPro CSP proizvoda:
|
Imajte na umu da za nastavak rada s GOST R 34.10-2001 u 2019. (onemogućavanje prozora upozorenja ili zabrana prilikom pristupa ključevima GOST R 34.10-2001 nakon 1. siječnja 2019.) korištenjem proizvoda CryptoPro morate primijeniti sljedeće preporuke:
- Preporuke za onemogućavanje prozora upozorenja;
- Preporuke za odgodu datuma rada na blokiranju iz GOST R.34.10-2001 za korisnike CryptoPro CSP 4.0 koji rade u poboljšanom načinu kontrole ključa*;
- Preporuke za odgodu datuma blokiranja rada s GOST R.34.10-2001 za korisnike CryptoPro JCP 2.0.
*Onemogućeno prema zadanim postavkama u ovim verzijama. Više detalja u ZhTYAI.00087-01 95 01. Uvjeti korištenja.
Operativna dokumentacija za CryptoPro CSP 3.9, 4.0 i CryptoPro JCP 2.0 jasno ukazuje na zabranu formiranja elektroničkog potpisa u skladu s GOST R 34.10-2001 od 1. siječnja 2019. No, zbog odgode prijelaza na GOST R 34.10-2012 do 1. siječnja 2020., poslali smo odgovarajuće obavijesti FSB-u Rusije, ispravljajući ovaj datum. Informacije o odobrenju obavijesti bit će objavljene na našim stranicama.
Pokušaj korištenja GOST R 34.10-2001 (osim za provjeru potpisa) na svim trenutno objavljenim certificiranim verzijama CryptoPro CSP 3.9, 4.0 i CryptoPro JCP 2.0 od 1. siječnja 2019. izazvat će pogrešku ili upozorenje (ovisno o proizvodu i načinu rada ), u skladu s postupkom prijelaza na GOST R 34.10-2012 koji je prvobitno usvojen 2014. do 1. siječnja 2019. Pogreške/prozori upozorenja mogu dovesti do neoperativnosti automatskih/automatiziranih sustava kada koriste ključeve GOST R 34.10-2001, stoga vas molimo da prethodno primijenite navedene upute.
Također vas obavještavamo da je trenutno u tijeku certificiranje ažuriranih verzija CryptoPro CSP 4.0 R4 i CryptoPro JCP 2.0 R2, što će biti objavljeno na našoj web stranici. Preporučujemo ažuriranje na ove verzije kada budu objavljene.
Alati za zaštitu kriptografskih informacija sigurnosnih klasa KS2 i KS1 u skladu sa zahtjevima FSB-a Rusije razlikuju se u stvarnim mogućnostima izvora napada i mjerama poduzetim za suzbijanje napada.
1. Trenutne mogućnosti izvora napada
Alati za kriptografsku zaštitu informacija (CIPF) klase KS1 koriste se kada su prisutne trenutne mogućnosti izvora napada, naime, za samostalno kreiranje metoda napada, pripremu i izvođenje napada samo izvan kontroliranog područja.
CIPF klasa KS2 koristi se kada su trenutne mogućnosti izvora napada:
- samostalno kreirati metode napada, pripremati i izvoditi napade samo izvan kontroliranog područja;
- samostalno kreiraju metode napada, pripremaju i izvode napade unutar kontroliranog prostora, ali bez fizičkog pristupa hardveru na kojem su implementirani CIPF i njihovo operativno okruženje (SF).
Tako se CIPF klasa KS2 razlikuje od KS1 po neutralizaciji izvora napada, samostalnom kreiranju metoda napada, pripremi i izvođenju napada unutar kontroliranog područja, ali bez fizičkog pristupa hardveru na kojem su implementirani CIPF i IP.
2. Mogućnosti implementacije CIPF klasa zaštite KS3, KS2 i KS1
Opcija 1, ovo je osnovni CIPF softver koji pruža klasu zaštite KS1.
Opcija 2 je CIPF klasa KS2, koja se sastoji od osnovne CIPF klase KS1 zajedno s certificiranim hardversko-softverskim pouzdanim modulom opterećenja (APMDZ).
Opcija 3 je CIPF klase KS3, koja se sastoji od CIPF klase KS2 zajedno sa specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja.
Stoga se softver CIPF klase KS2 razlikuje od KS1 samo po dodatku certificiranog APMDZ-a CIPF klasi KS1. Razlika između CIPF klase KS3 i klase KS1 je korištenje CIPF klase KS1 u kombinaciji s certificiranim APMDZ i specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja. Također, razlika između CIPF klase KS3 i klase KS2 je korištenje CIPF klase KS2 zajedno sa specijaliziranim softverom za stvaranje i kontrolu zatvorenog softverskog okruženja.
3. Mjere za suzbijanje napada
CIPF klasa KS2 ne primjenjuje mjere za protunapade, koje su obvezne kada se koristi CIPF klasa KS1, naime:
- odobren je popis osoba koje imaju pravo pristupa prostorijama;
- odobren je popis osoba koje imaju pravo pristupa prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija;
- odobrena su pravila za pristup prostorijama u kojima se nalaze sustavi kriptografske zaštite informacija u radno i neradno vrijeme, kao iu izvanrednim situacijama;
- pristup kontroliranom prostoru i prostorijama u kojima se nalaze resursi informacijskih sustava osobnih podataka (PDIS) i/ili CIPF-a osiguran je u skladu s režimom kontrole pristupa;
- podaci o fizičkim mjerama zaštite objekata u kojima se nalaze informacijski sustavi dostupni su ograničenom broju zaposlenika;
- dokumentaciju za CIPF pohranjuje odgovorna osoba za CIPF u metalni sef (ormar);
- prostori u kojima se nalazi dokumentacija za komponente CIPF, CIPF i SF opremljeni su ulaznim vratima s bravama, čime se osigurava da su vrata prostora stalno zaključana i otvorena samo za ovlašteni prolaz;
- predstavnici tehničkih službi, službi održavanja i drugih pomoćnih službi pri radu u prostorima (regalima) u kojima se nalazi CIPF, te djelatnici koji nisu korisnici CIPF-a, nalaze se u tim prostorijama samo u prisustvu djelatnika operative;
- zaposlenici koji su korisnici ISPD-a, a nisu korisnici CIPF-a, upoznati su s pravilima rada u ISPD-u i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
- Korisnici CIPF-a upoznati su s pravilima rada u ISDN-u, pravilima rada s CIPF-om i odgovornosti za nepoštivanje pravila informacijske sigurnosti;
- provodi se registracija i snimanje radnji korisnika s osobnim podacima;
- nadzire se cjelovitost sredstava informacijske sigurnosti.
Softver "CryptoPro CSP" namijenjen nadzoru cjelovitosti sustava i aplikativnog softvera, upravljanju ključnim elementima sustava u skladu s propisima o sigurnosnim mjerama, autorizaciji i osiguravanju pravne važnosti elektroničkih dokumenata prilikom njihove razmjene između korisnika. Osim samog kriptoprovajdera, CryptoPro CSP uključuje proizvode CryptoPro TLS, CryptoPro EAP-TLS, CryptoPro Winlogon i CryptoPro Revocation Provider.
Rješenje je namijenjeno za:
- autorizacija i osiguranje pravne važnosti elektroničkih dokumenata prilikom njihove razmjene između korisnika, korištenjem postupaka za generiranje i provjeru elektroničkog potpisa (ES) u skladu s domaćim standardima GOST R 34.10-2001 / GOST R 34.10-2012 (koristeći GOST R 34.11-94 / GOST R 34.11-2012);
- osiguravanje povjerljivosti i praćenje cjelovitosti informacija putem njihove enkripcije i zaštite od imitacije, u skladu s GOST 28147-89;
- osiguravanje autentičnosti, povjerljivosti i imitacijske zaštite veza putem TLS protokola;
- nadzor integriteta sustava i aplikacijskog softvera radi zaštite od neovlaštenih promjena i narušavanja ispravnog funkcioniranja;
- upravljanje ključnim elementima sustava u skladu s propisima o zaštitnoj opremi.
Implementirani algoritmi
- Algoritam za generiranje vrijednosti hash funkcije implementiran je u skladu sa zahtjevima GOST R 34.11-94 / GOST R 34.11-2012 „Informacijska tehnologija. Kriptografska zaštita informacija. Hash funkcija."
- Algoritmi za generiranje i provjeru elektroničkog potpisa implementirani su u skladu sa zahtjevima GOST R 34.10-2001 / GOST R 34.10-2012 „Informacijska tehnologija. Kriptografska zaštita informacija. Postupci formiranja i provjere elektroničkog digitalnog potpisa.”
- Algoritam za šifriranje/dešifriranje podataka i izračun imitacijskih umetaka implementirani su u skladu sa zahtjevima GOST 28147-89 „Sustavi za obradu informacija. Kriptografska zaštita."
Prilikom generiranja privatnih i javnih ključeva moguće je generirati s različitim parametrima u skladu s GOST R 34.10-2001 / GOST R 34.10-2012.
Prilikom generiranja vrijednosti hash funkcije i enkripcije, moguće je koristiti različite zamjenske čvorove u skladu s GOST R 34.11-94 i GOST 28147-89.
Podržane ključne vrste medija
- diskete 3,5;
- pametne kartice koje koriste čitače pametnih kartica koji podržavaju PC/SC protokol;
- Touch-Memory tableti DS1993 - DS1996 koji koriste Accord 4+ uređaje, elektroničku bravu “Sobol”, “Krypton” ili Touch-Memory DALLAS tablet čitač (samo verzija za Windows);
- elektronički ključevi s USB sučeljem (USB tokeni);
- prijenosni medij s USB sučeljem;
- Windows OS registar;
- Solaris/Linux/FreeBSD OS datoteke.
| CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
|---|---|---|---|---|
| Windows Server 2016 | x64* | x64** | x64 | |
| Windows 10 | x86 / x64* | x86 / x64** | x86/x64 | |
| Windows Server 2012 R2 | x64 | x64 | x64 | |
| Windows 8.1 | x86/x64 | x86/x64 | x86/x64 | |
| Windows Server 2012 | x64 | x64 | x64 | x64 |
| Windows 8 | x86/x64 | x86/x64 | x86/x64 | |
| Windows Server 2008 R2 | x64 / itanij | x64 | x64 | x64 |
| Windows 7 | x86/x64 | x86/x64 | x86/x64 | x86/x64 |
| Windows Server 2008 | x86 / x64 / itanium | x86/x64 | x86/x64 | x86/x64 |
| Windows Vista | x86/x64 | x86/x64 | ||
| Windows Server 2003 R2 | x86 / x64 / itanium | x86/x64 | x86/x64 | x86/x64 |
| Windows Server 2003 | x86 / x64 / itanium | x86/x64 | x86/x64 | x86/x64 |
| Windows XP | x86/x64 | |||
| Windows 2000 | x86 |
