Энциклопедия мобильной связи

Главная Йота
Йота

Класс защиты КС2 и КС1, в чем разница? Актуальные возможности источников атак.

Компания КриптоПро разработала полный спектр программных и аппаратных продуктов для обеспечения целостности, авторства и конфиденциальности информации с применением ЭП и шифрования для использования в различных средах (Windows, Unix, Java). Новое направление продуктов компании - программно-аппаратные средства криптографической защиты информации с использованием смарткарт и USB ключей, позволяющие существенно повысить безопасность систем, использующих ЭП.

Наша компания является дилером КриптоПро и имеет соответствующий .

Стоимость продуктов КриптоПро CSP:

Наименование

Цена

Лицензия на право использования СКЗИ "КриптоПро CSP" версии 4.0 на одном рабочем месте

Лицензия на право использования СКЗИ "КриптоПро CSP" версии 4.0 на сервере

Сертификат на годовую техническую поддержку СКЗИ "КриптоПро CSP" на рабочем месте

Сертификат на годовую техническую поддержку СКЗИ "КриптоПро CSP" на сервере

Дистрибутив СКЗИ "КриптоПро CSP" версии 4.0 КС1 и КС2 на CD. Формуляры

Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на одном рабочем месте

* Лицензия на рабочее место не позволит использовать КриптоПро CSP в среде серверных операционных систем

Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на сервере

Сертификат на установку и (или) обновление СКЗИ "КриптоПро CSP" на рабочем месте или сервере

*Работы по установке СКЗИ КриптоПро CSP выполняются в офисе ООО «КРИПТО-ПРО» или в режиме удаленного доступа к рабочему месту или серверу

Обращаем внимание, что для продолжения работы с ГОСТ Р 34.10-2001 в 2019 году (отключая предупреждающие окна или запреты при обращении к ключам ГОСТ Р 34.10-2001 после 1 января 2019 года) с использованием продуктов КриптоПро необходимо применить следующие рекомендации:

  • Рекомендации по отключению предупреждающих окон ;
  • Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро CSP 4.0, функционирующем в режиме усиленного контроля ключей* ;
  • Рекомендации по переносу даты блокировки работы с ГОСТ Р.34.10-2001 для пользователей КриптоПро JCP 2.0 .

*По умолчанию в данных версиях отключен. Подробнее в ЖТЯИ.00087-01 95 01. Правила пользования.

В эксплуатационной документации на КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 явно указан запрет на формирование электронной подписи по ГОСТ Р 34.10-2001 с 1 января 2019 года. Но, в связи с переносом сроков перехода на ГОСТ Р 34.10-2012 до 1 января 2020 года, нами были направлены соответствующие извещения в ФСБ России, корректирующие эту дату. Информация о согласовании извещений будет опубликована на нашем сайте.

Попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку или предупреждение (в зависимости от продукта и режима работы), в соответствии с изначально принятым в 2014 году порядком перехода на ГОСТ Р 34.10-2012 до 1 января 2019 года. Ошибки/предупреждающие окна могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001, в связи с чем просим заблаговременно применить упомянутые инструкции.

Также сообщаем, что на данный момент завершается сертификация обновленных версий КриптоПро CSP 4.0 R4 и КриптоПро JCP 2.0 R2, о чем будет сообщено на нашем сайте. Рекомендуем обновиться до этих версий после их выхода.

Немногим более двух десятилетий тому назад криптография в России находилась приблизительно на том же уровне секретности, что и технологии производства оружия – ее практическое применение относилось к сфере деятельности исключительно военных и спецслужб, то есть было полностью подконтрольно государству. В открытом доступе встретить какие-либо издания и научные работы по этому вопросу не представлялось возможным – тема криптографии была закрыта.

Ситуация изменилась лишь в 1990 году, когда в действие был введен стандарт шифрования ГОСТ 28147-89 . Изначально алгоритм имел гриф ДСП и официально «полностью открытым» стал лишь в 1994 году.

Сложно точно сказать, когда именно в отечественной криптографии был совершен информационный прорыв. Скорее всего, это произошло с появлением у широкой общественности доступа в интернет, после чего в сети начали публиковаться многочисленные материалы с описаниями криптографических алгоритмов и протоколов, статьи по киптоанализу и другая информация, имеющая отношение к шифрованию.

В сложившихся условиях криптография больше не могла оставаться прерогативой одного лишь государства. Кроме того, развитие информационных технологий и средств связи обусловило потребность в использовании средств криптографической защиты коммерческими компаниями и организациями.

Сегодня к средствам криптографической защиты информации (СКЗИ) относят: средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и сами ключевые документы .

  • защита информационных систем персональных данных;
  • защита конфиденциальной информации компании;
  • шифрования корпоративной электронной почты;
  • создание и проверки цифровых подписей.

Применение криптографии и СКЗИ в российских компаниях

1. Внедрение криптосредств в системы защиты персональных данных
Деятельность практически любой российской компании сегодня связана с хранением и обработкой персональных данных (ПДн) различных категорий, к защите которых законодательством РФ выдвигается ряд требований . Для их выполнения руководство компании, прежде всего, сталкивается с необходимостью формирования модели угроз персональным данным и разработки на ее основе системы защиты персональных данных , в состав которой должно входить средство криптографической защиты информации.

К СКЗИ, внедренному в систему защиты персональных данных, выдвигаются следующие требования:

  • Криптографическое средство должно штатно функционировать совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к нему требований.
  • Для обеспечения безопасности персональных данных при их обработке должны использоваться сертифицированные в системе сертификации ФСБ России криптосредства.
Криптографическое средство, в зависимости от обеспечиваемого им уровня защиты, может быть отнесено к одному из шести классов (КС1, КС2, КС3, КВ1, КВ2, КА1). Внедрение криптосредства того или иного класса с систему защиты обуславливается категорией нарушителя (субъекта атаки), которая определяется оператором в модели угроз.

Таким образом, средства криптографической защиты сегодня эффективно используются компаниями и организациями для защиты персональных данных российских граждан и являются одной из наиболее важных составляющих в системах защиты персональных данных.

2. Защита корпоративной информации
Если в п.1 использование крпитогарфических средств обусловлено, прежде всего, требованиями законодательства РФ, то в данном случае в применении СКЗИ заинтересовано руководство самой компании. С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и техническую информацию и др.

На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

  • шифрование данных на удаленном сервере;
  • поддержку асимметричной криптографии;
  • прозрачное шифрование;
  • шифрование сетевых папок;
  • возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;
  • возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).
Итак, второе применение СКЗИ – это защита конфиденциальной информации компании. Средство шифрования, поддерживающее вышеперечисленные возможности, способно обеспечить достаточно надежную защиту, однако непременно должно использоваться как составляющая комплексного подхода к защите информации. Такой подход дополнительно подразумевает использование межсетевых экранов, антивирусов и файерволлов, а также включает разработку модели угроз информационной безопасности, выработку необходимых политик ИБ, назначение ответственных за информационную безопасность, контроль электронного документооборота, контроль и мониторинг деятельности сотрудников и др.
3. Электронная подпись
Электронная подпись (ЭП) сегодня является полноценным аналогом собственноручной подписи и может быть использована юридическими и физическими лицами для того, чтобы обеспечить документу в цифровом формате юридическую силу. Применение ЭП в электронных системах документооборота значительно увеличивает скорость заключения коммерческих сделок, уменьшает объем бумажных бухгалтерских документов, экономит время сотрудников. Кроме того, ЭП сокращает расходы предприятия на заключение договоров, оформление платежных документов, получение различных справок от государственных учреждений и многое другое.

Средства криптографической защиты, как правило, имеют в своем составе функции по созданию и проверке электронных подписей. Российским законодательством к таким СКЗИ выдвигаются следующие требования :

При создании ЭП они должны:

  • показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
  • создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
  • однозначно показывать, что ЭП создана.
При проверке ЭП они должны:
  • показывать содержание электронного документа, подписанного ЭП;
  • показывать информацию о внесении изменений в подписанный ЭП электронный документ;
  • указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
4. Шифрование электронной почты
Для большинства компаний электронная почта является основным средством коммуникации между сотрудниками. Ни для кого не секрет, что по корпоративной электронной почте сегодня пересылается огромное количество конфиденциальной информации: договора, счета, сведения о продуктах и ценовых политиках компании, финансовые показатели и др. Если подобная информация окажется доступной для конкурентов, это может нанести значительный ущерб компании вплоть до прекращения ее деятельности.

Поэтому защита корпоративной почты – крайне важная составляющая в обеспечении информационной безопасности компании, реализация которой становится возможной также благодаря использованию криптографии и средств шифрования.

Большинство почтовых клиентов, таких как Outlook, Thinderbird, The Bat! и др., позволяют настроить обмен зашифрованными сообщениями на основе сертификатов открытого и закрытого ключа (сертификаты в форматах X.509 и PKCS#12 соответственно), создаваемых при помощи средств криптографической защиты.

Здесь также следует упомянуть о возможности криптографических средств работать в качестве удостоверяющих центров (УЦ). Основное предназначение удостоверяющего центра - выдача сертификатов шифрования и подтверждение подлинности ключей шифрования. В соответствии с российским законодательством, УЦ подразделяются на классы (КС1, КС2, КС3, КВ1, КВ2, КА1), к каждому из которых выдвигается ряд требований . При этом, класс СКЗИ, использующегося в средствах УЦ, должен быть не ниже соответствующего класса УЦ .

Использование CyberSafe Enterprise

Разрабатывая программу CyberSafe Enterprise мы постарались учесть все вышеописанные возможности, включив их в функциональный набор программы. Так, она поддерживает функции, перечисленные в п.2 данной статьи, шифрование электронной почты, создание и проверку цифровых подписей, а также работу в качестве удостоверяющего центра.

Наличие в CyberSafe сервера публичных ключей позволяет компаниям организовать удобный обмен ключами между своими сотрудниками, где каждый из них может опубликовать свой открытый ключ, а также скачать открытые ключи других пользователей.

Далее более подробно остановимся на возможности внедрения CyberSafe Enterprise в системы защиты персональных данных. Эта возможность существует благодаря поддержке программой криптопровайдера КриптоПро CSP , сертифицированного ФСБ РФ в качестве СКЗИ классов КС1, КС2 и КС3 (в зависимости от исполнения) и оговорена в п. 5.1 «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных» :

«Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы)».

Таким образом, имея в своем составе встроенное СКЗИ КриптоПро CSP, программа CyberSafe Enterprise может быть использована в системе защиты персональных данных классов КС1 и КС2.

После установки КриптоПро CSP на компьютер пользователя при создании сертификата в CyberSafe Enterprise появится возможность создать сертификат КриптоПРО:

После завершения создания сертификата CyberSafe ключи КриптоПРО также созданы, отображаются на вашей связке и доступны для использования:

В том случае, если возникает необходимость экспортировать ключи КриптоПро в отдельный файл, это можно сделать через стандартную функцию экспорта ключей CyberSafe:

Если вы хотите зашифровать файлы для передачи другим пользователям (или подписать их своей цифровой подписью) и использовать для этого ключи КриптоПро, из списка доступных криптопровайдеров необходимо выбрать КриптоПро:

В том случае, если вы хотите использовать ключи КриптоПро для прозрачного шифрования файлов, в окне выбора сертификатов в качестве криптопровайдера также следует указать КриптоПро:

В CyberSafe существует возможность использовать КриптоПРО и алгоритм ГОСТ для шифрования логических дисков/разделов и создания виртуальных зашифрованных дисков:

Также, на основе сертификатов КриптоПро, может быть настроено шифрование электронной почты . В КприптоПро CSP алгоритмы формирования и проверки ЭП реализованы в соответствии с требованиями стандарта ГОСТ Р 34.10-2012, алгоритм шифрования/дешифрования данных реализован в соответствии с требованиями стандарта ГОСТ 28147-89.

На сегодняшний день CyberSafe является единственной программой, которая сочетает в себе функции по шифрованию файлов, сетевых папок, логических дисков, электронной почты и возможность работы в качестве удостоверяющего центра с поддержкой стандартов шифрования ГОСТ 28147-89 и ГОСТ Р 34.10-2012.

Документы:
1. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных , утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781.
3. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации , утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.
4. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации , утвержденное Приказом ФСБ РФ от 9 февраля 2005 г.№ 66.
5. Требования к средствам электронной подписи и Требования к средствам удостоверяющего центра , утвержденные Приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. № 796.

Программное обеспечение «КриптоПро CSP» предназначено для контроля целостности системного и прикладного ПО, управления ключевыми элементами системы в соответствии с регламентом средств защиты, авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями. В «КриптоПро CSP» помимо самого криптопровайдера входят продукты «КриптоПро TLS», «КриптоПро EAP-TLS», «КриптоПро Winlogon» и «КриптоПро Revocation Provider».

Решение предназначено для:

  • авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
  • обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
  • обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
  • контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
  • управления ключевыми элементами системы в соответствии с регламентом средств защиты.

Реализуемые алгоритмы

  • Алгоритм выработки значения хэш-функции реализован в соответствии с требованиями ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  • Алгоритмы формирования и проверки электронной подписи реализованы в соответствии с требованиями ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • Алгоритм зашифрования/расшифрования данных и вычисление имитовставки реализованы в соответствии с требованиями ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая».

При генерации закрытых и открытых ключей обеспечена возможность генерации с различными параметрами в соответствии ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012.
При выработке значения хэш-функции и шифровании обеспечена возможность использования различных узлов замены в соответствии с ГОСТ Р 34.11-94 и ГОСТ 28147-89.

Поддерживаемые типы ключевых носителей

  • дискеты 3,5;
  • смарт-карты с использованием считывателей смарт-карт, поддерживающий протокол PС/SC;
  • таблетки Touch-Memory DS1993 - DS1996 с использованием устройств Аккорд 4+, электронный замок «Соболь», «Криптон» или устройство чтения таблеток Touch-Memory DALLAS (только в Windows версии);
  • электронные ключи с интерфейсом USB (USB-токены);
  • сменные носители с интерфейсом USB;
  • реестр ОС Windows;
  • файлы ОС Solaris/Linux/FreeBSD.
CSP 3.6 CSP 3.9 CSP 4.0 CSP 5.0
Windows Server 2016 x64* x64** x64
Windows 10 x86 / x64* x86 / x64** x86 / x64
Windows Server 2012 R2 x64 x64 x64
Windows 8.1 x86 / x64 x86 / x64 x86 / x64
Windows Server 2012 x64 x64 x64 x64
Windows 8 x86 / x64 x86 / x64 x86 / x64
Windows Server 2008 R2 x64 / itanium x64 x64 x64
Windows 7 x86 / x64 x86 / x64 x86 / x64 x86 / x64
Windows Server 2008 x86 / x64 / itanium x86 / x64 x86 / x64 x86 / x64
Windows Vista x86 / x64 x86 / x64
Windows Server 2003 R2 x86 / x64 / itanium x86 / x64 x86 / x64 x86 / x64
Windows Server 2003 x86 / x64 / itanium x86 / x64 x86 / x64 x86 / x64
Windows XP x86 / x64
Windows 2000 x86


Понравилась статья? Поделитесь с друзьями!
Twitter
распечатать
Была ли эта статья полезной?
Да
Нет
Спасибо, за Ваш отзыв!
Что-то пошло не так и Ваш голос не был учтен.
Спасибо. Ваше сообщение отправлено
Нашли в тексте ошибку?
Выделите её, нажмите Ctrl + Enter и мы всё исправим!
Похожие советы
Что означают буквы«мм»: все возможные значения В контакте русская версия
Что означают буквы«мм»: все возможные значения В контакте русская версия
Электронные самоделки для радиолюбителей и начинающих электриков
Электронные самоделки для радиолюбителей и начинающих электриков
Samsung GT-I9003 сброс до заводских настроек Что такое Hard reset Samsung GT-I9003
Samsung GT-I9003 сброс до заводских настроек Что такое Hard reset Samsung GT-I9003
Samsung GT-I9003 сброс до заводских настроек Как сделать полный сброс данных на телефоне Samsung Galaxy S scLCD GT-I9003 из меню настроек
Samsung GT-I9003 сброс до заводских настроек Как сделать полный сброс данных на телефоне Samsung Galaxy S scLCD GT-I9003 из меню настроек
Что делать, если телефон сам перезагружается
Что делать, если телефон сам перезагружается
Телефон Android не включается дальше логотипа (не хочет загружаться)
Телефон Android не включается дальше логотипа (не хочет загружаться)