Пакет "КРИПТОН Подпись" (http://www.ancud.ru/crypto/crpodpis.htm) предназначен для использования инфраструктуры электронной цифровой подписи (ЭЦП) электронных документов.
Программы пакета КРИПТОН Подпись функционируют на стандартном ПК под управлением ОС Windows-95/98 или Windows NT 4.0.
В стандартной поставке для хранения файлов открытых ключей используются дискеты. Помимо дискет, пакет КРИПТОН Подпись дает возможность использования всех типов ключевых носителей (смарт-карт, электронных таблеток Touch Memory и др.), поддерживаемых текущей версией интерфейса SCAPI, входящего в поставку Crypton API v 2.2 и выше.
8.3. Система криптографической защиты информации "Верба‑О"
Система криптографической защиты информации (СКЗИ) "Верба‑О" разработана Московским отделением Пензенского научно-исследовательского электротехнического института (МО ПНИЭМ, http://www.ntc.spb.ru/def/verbao.htm). СКЗИ "Верба‑О" представляет собой программный комплекс, предназначенный для защиты информации при ее хранении на дисках и (или) передаче по каналам связи.
Система решает следующие задачи:
шифрование/расшифрование информации на уровне файлов;
генерация электронной цифровой подписи (ЭЦП);
проверка ЭЦП;
обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию.
СКЗИ "Верба‑О" может поставляться в двух вариантах:
в виде рабочего места;
в виде модулей, встраиваемых в ПО заказчика.
СКЗИ "Верба‑О" в различных модификациях функционирует под управлением операционных систем MS DOS v5.0 и выше, Windows NT, UNIX (HP UX) на персональных ЭВМ, совместимых с IBM PC/AT. Требуемый объем оперативной памяти не более 155 Кбайт. Кроме того, необходим накопитель на гибком магнитном диске (НГМД).
Алгоритм шифрования выполнен в соответствии с требованиями ГОСТ 28147-89. Цифровая подпись выполнена в соответствии с требованиями ГОСТ Р 34.10-94. Функция хеширования выполнена в соответствии с требованиями ГОСТ Р 34.11-94. Ключи шифрования симметричные. Ключи для подписи асимметричные. При обработке информации на СКЗИ "Верба‑О" обеспечивает следующие показатели при использовании ПЭВМ не ниже PC/AT 486:
1. Скорость шифрования 200 Кб/с или 520 Кб/с.
2. Скорость вычисления хэш-функции 120 Кб/с или 330 Кб/с.
3. Время формирования ЭЦП 0,3 с или 0,04 с.
4. Время проверки ЭЦП 0,7 с или 0,2 с.
СКЗИ "Верба‑О" имеет сертификат ФАПСИ № 124-0264 от 10.04.99 г.
8.4. Программный комплекс "Inter-PRO"
Комплекс "Inter-PRO" Предназначен для криптографической защиты информационных систем, построенных на базе Web-технологий.
Для защиты НТТР-трафика в "Inter-PRO" используются протоколы SSL и TLS, дополненные российскими криптографическими стандартами и возможностью формирования и проверки в режиме on-line цифровой подписи пользователя под электронной HTML-формой.
Прокси-технология, реализованная в комплексе "Inter-PRO", обеспечивает его независимость от применяемых типов Web-браузеров и Web-серверов, между которыми устанавливается защищенное взаимодействие через посредничество программных компонент комплекса "Inter-PRO Client" и "Inter-PRO Server".
Наиболее эффективно применение "Inter-PRO" в электронных платежных системах типа "Банк-Клиент", базирующихся на Web-технологиях и ориентированных на дистанционное обслуживание клиентов через Интернет, или в любых других системах, где необходимо авторизованное подтверждение запроса клиента на обслуживание (в системах электронной торговли, электронного страхования, платного информационного обслуживания и т.д.). При интеграции с такого рода системами "Inter-PRO" обеспечивает:
строгую аутентификацию клиента и сервера на основе цифровых сертификатов Х.509;
конфиденциальность и целостность информации, передаваемой по протоколу НТТР;
формирование и проверку в режиме on-line цифровых подписей HTML‑форм;
фильтрацию трафика и разграничение доступа к ресурсам Web-сервера по параметрам цифровых сертификатов Х.509.
Основные характеристики "Inter-PRO":
соответствие требованиям Федерального Закона РФ № 1-ФЗ от 10.01.2002 "Об электронной цифровой подписи";
функционирование в операционных средах Windows 9x/Me/NT/2000/XP, Linux, FreeBSD, Solaris, SCO Open Server и др.;
использование сертификатов и списков отозванных сертификатов в формате ITU-T X.509 v3 и IETF RFS 3280;
поддержка российских и зарубежных криптографических алгоритмов:
ГОСТ Р 34.10-94, RSA;
ГОСТ Р 34.11-94, SHA-1, MD5;
ГОСТ 28147-89, DES, 3DES, RC2, RC4, IDEA;
наличие встроенной процедуры генерации ключей;
возможность хранения ключевой информации на различных носителях, включая USB Flash Hard Drive, eToken и Touch Memory;
полная прозрачность для приложений;
совместимость с различными прокси-серверами;
поддержка мобильных пользователей.
"Inter-PRO" выполнен с использованием средств криптографической защиты информации (СКЗИ):
"Крипто-КОМ 3.0" – сертификаты ФАПСИ СФ/124-0476, СФ/124-0477 от 10.06.2001;
"Крипто-КОМ 3.1" – сертификаты ФАПСИ СФ/114-0604, СФ/124-0605 от 21.04.2003.
Генерация ключей по ГОСТ Р 31.10-94 формата СКЗИ "Криптон-КОМ 3.0" обеспечивается программой "Admin-PKI@, а их сертификация – удостоверяющим центром "Notary-PRO v.2" или "Microsoft Certification Authority" (при поддержке криптодрайвера "Signal-COM CSP").
Лицензия Гостехкомиссии России № 528. Лицензия ФСБ России № 4605. Лицензии ФАПСИ №№ ЛФ/2983, ЛФ/07-2984, ЛФ/07-2985, ЛФ/07‑2986, ЛФ/07-2987.
8.5. Библиотека криптографических преобразований "SSL-PRO"
Библиотека предназначена для разработчиков защищенных клиент-серверных приложений, обеспечивающих надежную криптографическую защиту потоков данных при их передаче по открытым каналам связи.
"SSL-PRO" реализует протоколы SSL и TLS, расширенные российскими алгоритмами шифрования и цифровой подписи, и обеспечивает:
строгую аутентификацию сервера и (опционально) клиента на основе цифровых сертификатов Х.509;
конфиденциальность и целостность передаваемых данных.
Основные характеристики "SSL-PRO":
поддержка протоколов SSL v3 и TLS v1 (RFC 2246);
поддержка сертификатов и списков отозванных сертификатов в формате ITU-T X.509 v3 и IEFT RFC 3280;
поддержка российских и зарубежных криптографических алгоритмов:
ГОСТ Р 34.10-94, RSA;
ГОСТ Р 34.11-94, SHA-1, MD5;
ГОСТ 28147-89, DES, RC4;
полная независимость от транспортного протокола; допускается использование любого надежного (не нарушающего последовательности передаваемых данных) способа передачи данных между взаимодействующими сторонами;
использование сертифицированного ФАПСИ программного датчика случайных чисел (ДСЧ);
возможность использования аппаратных ДСЧ;
функционирование в операционных средах Windows 9x/Me/NT/2000/XP, Linux, FreeBSD, Solaris, SCO Open Server и др.;
Библиотека "SSL-PRO" выполнена с использованием средств криптографической защиты информации (СКЗИ), аналогичных приведенным выше для системы "Inter-PRO".
8.6. Средства защиты "Message-PRO"
Библиотека криптографических преобразований "Message-PRO" и одноименный исполняемый модуль, предназначены разработчикам приложений и систем защищенного электронного документооборота, требующих высокого уровня безопасности.
"Message-PRO" обеспечивает надежную криптографическую защиту сообщений произвольного формата, хранимых на компьютерах или передаваемых по открытым каналам связи.
Под криптографической защитой подразумеваются услуги: конфиденциальность, целостность и достоверность (авторства) информации. Конфиденциальность информации обеспечивается ее шифрованием, а достоверность и целостность – электронной цифровой подписью (ЭЦП).
Для защиты в "Message-PRO" используется протокол CMS (RFC 3369).
Основные характеристики "Message-PRO":
соответствие требованиям Федерального Закона РФ № 1-Ф3 от 10.01.2002 "Об электронной цифровой подписи";
поддержка международных стандартов и цифровых сертификатов в формате ITU‑T X.509 v3 и IETF RFC 3280;
поддержка российских и зарубежных криптографических алгоритмов:
ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
ГОСТ Р 34.11-94, SHA-1, MD5;
ГОСТ 28147-89;
возможность формирования нескольких ЭЦП под одним документом;
возможность формирования отсоединенных ЭЦП;
возможность многократного и многоадресного шифрования данных;
наличие процедуры генерации ключей;
возможность хранения ключевой информации на различных носителях, включая USB Flash Hard Drive, eToken и Touch Memory;
использование сертифицированного ФАПСИ программного датчика случайных чисел (ДСЧ);
возможность использования аппаратных ДСЧ, сертифицированных ФАПСИ;
функционирование в операционных средах Windows 9x/Me/NT/2000/XP, Linux, FreeBSD, Solaris, SCO Open Server и др.;
поставка как в виде исполняемого модуля, так и в виде библиотеки.
8.7. Криптопровайдер "Signal-COM CSP"
Реализует российские криптографические алгоритмы и обеспечивает к ним доступ из пользовательских приложений через стандартный криптографический интерфейс компании Microsoft – CryptoAPI 2.0.
"Signal-COM CSP" выполнен в соответствии с технологией Cryptographic Service Provider (CSP), благодаря чему российские алгоритмы шифрования и ЭЦП могут использоваться в популярных и широко распространенных приложениях:
Microsoft Certification Authority;
Microsoft Outlook Express;
Microsoft Outlook;
Microsoft Authenticode;
The Bat!;
Secret Disk NG и др.
Основные характеристики "Signal-COM CSP":
поддержка международных стандартов и рекомендаций в области защиты информации (Х.509, PKIX, PKCS, CMS);
формирование и проверка ЭЦП в соответствии с ГОСТ Р 34.10-94;
выработка значения хэш-функции в соответствии с ГОСТ Р 34.11-94;
шифрование данных в соответствии с ГОСТ 28147-89;
формирование ключей шифрования и ЭЦП с помощью сертифицированного ФАПСИ программного датчика случайных чисел;
возможность использования аппаратных ДСЧ, сертифицированных ФАПСИ;
возможность хранения ключевой информации на различных носителях, включая eToken, Touch Memory и USB Flash Drive;
8.8. Программно-аппаратный комплекс "Доверенный удостоверяющий центр"
"Доверенный удостоверяющий центр" – программно-аппаратный комплекс, разработанный совместно ФГУП "НТЦ "Атлас" и ООО "Крипто-Про" – первый удостоверяющий центр, имеющий заключение ФСБ России, позволяющее использовать комплекс не только в корпоративных сетях, но и в общедоступных сетях (в том числе сети Интернет).
"Доверенный удостоверяющий центр" разработан с учетом положений Федерального закона № 1-ФЗ от 10.01.2002 г. "Об электронной цифровой подписи" и соответствует "Временным требованиям к информационной безопасности удостоверяющих центров" по классу защиты.
Удостоверяющий центр обладает устойчивостью к сетевым атакам за счет использования доверенной сертифицированной ФАПСИ (СФ/114-0625 от 16.06.2003 г.) операционной системы (ОС) "Атликс" (разработки ФГУП "НТЦ "Атлас") на базе ОС Linux и входящего в ее состав межсетевого экрана (СФ/525-0624 от 16.06.2003 г.).
В состав комплекса входят компоненты, обеспечивающие безопасную эксплуатацию удостоверяющего центра в публичных сетях:
центр сертификации;
центр регистрации;
сетевой справочник LDAP;
межсетевой экран;
аппаратный криптомодуль.
Безопасное хранение и использование закрытого ключа уполномоченного лица удостоверяющего центра обеспечивается за счет использования аппаратного криптомодуля, выполняющего все криптографические операции, в том числе по генерации ключа уполномоченного лица. Защита ключа уполномоченного лица удостоверяющего центра обеспечивается, в том числе с использованием "разделения секретов", то есть для активизации закрытого ключа одновременно необходимы три из пяти дополнительных закрытых ключей, хранящихся на процессорных картах РИК (российская интеллектуальная карта). Кроме этого, канал взаимодействия центра сертификации защищен и взаимодействие центра сертификации с криптомодулем возможно только после двусторонней криптографической аутентификации.
"Доверенный удостоверяющий центр" использует российские криптографические алгоритмы:
ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 для формирования и проверки ЭЦП;
ГОСТ 28147-89 для шифрования и имитозащиты;
ГОСТ Р 34.11-94 для хеширования данных.
Для формирования сертификатов открытых ключей используются форматы, определенные международными рекомендациями Х.509 v.3. и RFC 3280.
Для взаимодействия пользователя с удостоверяющим центром и взаимодействия компонент удостоверяющего центра между собой используются следующие протоколы (с учетом использования российских криптографических алгоритмов):
протокол SSL;
протокол PKCS#10 – для представления запросов на сертификаты открытых ключей;
протокол CMP (RFC 2510 “Internet X.509 Public Key Infrastructure. Certificate Management Protocols”) – для обеспечения взаимодействия пользователя и компонент удостоверяющего центра в части управления сертификатами открытых ключей;
протокол LDAP версии 3 – для доступа к сетевому справочнику.
Основные характеристики удостоверяющего центра:
1. Изготовление до 1000 сертификатов открытых ключей в сутки.
2. Ведение реестра на 300 тыс. сертификатов открытых ключей.
3. Ведение архива на 2 млн. сертификатов открытых ключей.
4. Идентификация и аутентификация пользователей при локальном и сетевом доступе к компонентам УЦ.
5. Проверка целостности критичного к безопасному функционированию программного обеспечения при инициализации компонент комплекса.
6. Защита от несанкционированного доступа к функциям и информации компонент комплекса.
7. Разграничение доступа к компонентам и ресурсам комплекса на основе ролевой модели доступа.
8. Ввод защитных ключей закрытого ключа уполномоченного лица с ключевых носителей на российской интеллектуальной карте (РИК) "Оскар 1.1" по частям несколькими лицами с учетом ролевой модели доступа.
8.9. Удостоверяющий центр "Notary-PRO"
Предназначен для организации и администрирования одноранговых и иерархических систем управления ключевой информации в сетях конфиденциальной связи, построенных на базе открытого распределения криптографических ключей (PKI).
Удостоверяющий центр (УЦ) выполняет роль электронного нотариуса, заверяющего подлинность открытых ключей, что позволяет их владельцам пользоваться услугами защищенного взаимодействия без предварительной личной встречи.
Цифровая подпись администратора УЦ в составе сертификата обеспечивает достоверность и однозначность соответствия открытого ключа его владельцу.
УЦ "Notary-PRO" выполняет все необходимые функции по управлению цифровыми сертификатами открытых ключей в соответствии с рекомендациями ITU-T X.509 v.3 и IETF RFC 3280:
формирование ключей УЦ;
регистрация пользователей;
регистрация запросов на сертификацию открытых ключей;
формирование сертификатов открытых ключей;
ведение справочника сертификатов;
выпуск списков отозванных сертификатов.
Основные характеристики "Notary-PRO":
соответствие требованиям Федерального Закона РФ № 1-ФЗ от 10.01.2002 "Об электронной цифровой подписи";
поддержка международных стандартов и рекомендаций – Х.509 v3, RFC 3280, RFC 3369, PKCS#7, PKCS#8, PKCS#10, PKCS#12;
возможность построения как одноуровневых, так и иерархических систем администрирования;
поддержка российских и зарубежных криптографических алгоритмов
ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
ГОСТ Р 34.11-94, SHA-1, MD5;
совместимость по форматам запросов с MS Internet Explorer, Netscape Navigator/Communicator, Lotus Notes;
возможность организации взаимодействия с удаленными пользователями через Web-интерфейс (регистрация запросов, получение сертификатов и CRL);
возможность публикации сертификатов и CRL на серверах LDAP;
поддержка SQL-совместимых СУБД (MS SQL Server, Oracle);
возможность организации автоматической обработки запросов;
использование сертифицированного ФАПСИ программного датчика случайных чисел (ДСЧ);
возможность использования аппаратных ДСЧ, сертифицированных ФАПСИ;
рекомендуемые операционные системы – Windows NT/2000.
Инфраструктура УЦ "Notary-PRO" включает ряд опциональных компонент, расширяющих функциональные возможности центра:
"Notary-DIR" – общедоступный сетевой справочник сертификатов, предназначен для публикации и сопровождения хранилища сертификатов пользователей, сертификатов УЦ и списков отозванных сертификатов; доступ к справочнику осуществляется по протоколу LDAP или через WEB-интерфейс; обеспечивается поиск сертификата по его реквизитам; функционирует под управлением Linux, FreeBSD, Solaris;
"Notary-PRO Web Pager" – Web-приложение УЦ, реализующее интерактивное взаимодействие удаленных пользователей с "Notary-PRO" через Web-интерфейс; обеспечивает доставку запросов на сертификацию, передачу пользователям сформированных персональных сертификатов, сертификатов УЦ, списков отозванных сертификатов; оповещает пользователей об ошибках при регистрации запросов и сертификации;
"Notary-PRO/RA" – модуль регистрации пользователей и запросов на сертификацию; при большом количестве запросов позволяет распределить работу по их обработке и регистрации между несколькими доверенными операторами администратора удостоверяющего центра;
УЦ "Notary-PRO" реализован с применением стандартных средств криптографической защиты информации (СКЗИ), сертифицированных ФАПСИ.
Сертификаты Х.905, выпускаемые УЦ "Notary-PRO" могут использоваться не только прикладными системами и криптографическими библиотеками разработки фирмы "Сигнал-КОМ" (Inter-PRO, Net-PRO, Mail-PRO, Message-PRO, File-PRO и др.), но и приложениями сторонних, в том числе зарубежных производителей.
На базе УЦ семейства "Notary-PRO", начиная с 1998 года, реализовано более 70 проектов различных PKI систем, обеспечивающих решение проблем информационной безопасности во многих коммерческих и финансовых структурах.
