Реферат: Системы защиты информации

Пара: секретный и открытый ключи

В последнее время широкое распространение получили криптографические системы с открытым распределением ключей. В таких системах каждый пользователь формирует два ключа: открытый и секретный. Секретный ключ шифрования должен храниться в тайне. Открытый ключ шифрования не является секретным и может быть опубликован для использования всеми пользователями системы, которые обмениваются сообщениями. Знание открытого ключа шифрования не дает практической возможности определить секретный ключ.

Общий секретный ключ связи (длиной 256 бит согласно требованиям ГОСТ 28147-89) вырабатывается после того, как абоненты сети обменялись своими открытыми ключами.

СКЗИ "Верба-ОW" является системой с открытым распределением ключей. Каждый пользователь вырабатывает свой секретный ключ, из которого затем с помощью некоторой процедуры формируется открытый ключ. Открытые ключи объединяются в справочник.

В СКЗИ "Верба-ОW" ключ зашифрования совпадает с ключом расшифрования. При зашифровании сообщения i-ым абонентом для j-ого абонента общий секретный ключ связи вырабатывается на основе секретного ключа шифрования i-ого абонента и открытого ключа шифрования j-ого абонента. Соответственно, для расшифрования этого сообщения j-ым абонентом формируется секретный ключ связи на основе секретного ключа шифрования j-ого абонента и открытого ключа шифрования i-ого абонента. Таким образом, для обеспечения связи с другими абонентами каждому пользователю необходимо иметь:

• собственный секретный ключ шифрования;
• справочник открытых ключей шифрования пользователей сети конфиденциальной связи.

Примем следующее соглашение. Абонента, который зашифровывает сообщение, будем в дальнейшем называть отправителем; абонента, который расшифровывает закрытое сообщение- получателем.

Электронная цифровая подпись

Электронная цифровая подпись- это средство, позволяющее на основе криптографических методов надежно установить авторство и подлинность электронного документа. Электронная цифровая подпись позволяет заменить при безбумажном документообороте традиционные печать и подпись. При построении цифровой подписи вместо обычной связи между печатью или рукописной подписью и листом бумаги выступает сложная математическая зависимость между электронным документом, секретным и общедоступным ключами. Практическая невозможность подделки электронной цифровой подписи опирается на очень большой объем определенных математических вычислений.

Проставление подписи под документом не меняет самого документа, она только дает возможность проверить подлинность и авторство полученной информации.

В СКЗИ "Верба-ОW" реализована система электронной цифровой подписи на базе криптографического алгоритма, соответствующего ГОСТ Р34.10-94. Секретный ключ подписи используется для выработки электронной цифровой подписи. Только сохранение пользователем в тайне своего секретного ключа гарантирует невозможность подделки злоумышленником документа и цифровой подписи от имени заверяющего.

Открытый ключ подписи вычисляется как значение некоторой функции от секретного ключа, но знание открытого ключа не дает возможности определить секретный ключ. Открытый ключ может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего в виде отказа его от подписи документа.

При работе с СКЗИ "Верба-ОW" каждый пользователь, обладающий правом подписи, самостоятельно формирует личные секретный и открытый ключи подписи. Открытые ключи подписи всех пользователей объединяются в справочники открытых ключей сети конфиденциальной связи.

Каждому пользователю, обладающему правом подписи, необходимо иметь:

• секретный ключ подписи;
• справочник открытых ключей подписи пользователей сети.

В СКЗИ "Верба-ОW" реализована система электронной цифровой подписи на базе асимметричного криптографического алгоритма согласно ГОСТ Р 34.10-94. Электронная цифровая подпись вырабатывается на основе электронного документа, требующего заверения, и секретного ключа. Согласно стандарту документ "сжимается" с помощью функции хэширования (ГОСТР34.11-94 "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. ФУНКЦИЯ ХЭШИРОВАНИЯ"). Однонаправленная хэш-функция получает на входе исходное сообщение произвольной длины и преобразует его в хэш-значение фиксированной длины (256 бит согласно ГОСТ Р34.11-94). Значение хэш-функции сложным образом зависит от содержания документа, но не позволяет восстановить сам документ. Хэш-функция чувствительна к всевозможным изменениям в тексте. Кроме того, для данной функции нельзя вычислить, какие два исходные сообщения могут генерировать одно и то же хэш-значение, поскольку хэш-значения двух 256-битовых документов могут совпасть в одном из 2256 (1077) случаев. Далее к полученному хэш-значению применяется некоторое математическое преобразование, в результате которого и получается собственно цифровая подпись электронного документа.

При проверке подписи проверяющий должен располагать открытым ключом пользователя, поставившего подпись. Проверяющий должен быть полностью уверен в подлинности открытого ключа (а именно в том, что имеющийся у него открытый ключ соответствует открытому ключу конкретного пользователя). Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.

Для разрешения споров между отправителем и получателем информации, связанных с возможностью искажения пересылаемого документа или открытого ключа проверки подписи, достоверная копия этого ключа может выдаваться третьей стороне (арбитру) и применяться им при возникновении конфликта между отправителем и получателем. Наличие у абонента секретного ключа не позволяет ему самому сменить свой номер в сети или выработать подпись под номером другого абонента.

Для контроля целостности и подлинности справочников открытых ключей используется процедура выработки имитовставки, определяемая ГОСТ 28147-89. При проверке подписи проверяющий должен располагать открытым ключом пользователя, поставившего подпись. Проверяющий должен быть полностью уверен в подлинности открытого ключа (а именно в том, что имеющийся у него открытый ключ соответствует открытому ключу конкретного пользователя).

Процедура проверки подписи состоит из вычисления хэш-значения документа и проверки некоторых соотношений, связывающих хэш-значение документа, подпись под этим документом и открытый ключ подписавшего пользователя. Документ считается подлинным, а подпись правильной, если эти соотношения выполняются. В противном случае подпись под документом считается недействительной.

АРМ Администратора безопасности

АРМ Администратора безопасности (АРМ АБ), функционирующий под управлением операционной системы MS DOS v5.0 и выше на персональных ЭВМ, совместимых с IBM PC/АТ (процессор 80386 и выше), предназначен для работы с ключевой информацией. Он позволяет:

• на основе исходной ключевой информации, находящейся на лицензионной дискете вырабатывать рабочие ключи (секретные и открытые) шифрования пользователей;
• на основе ключей шифрования формировать секретные и открытые ключи ЭЦП;
• создавать рабочие копии ключевых дискет шифрования и ЭЦП;
• подготавливать ключи шифрования и секретные ключи ЭЦП для хранения на жестком диске.

Ядром АРМ АБ является программа HOST_O.EXE, входящая в состав СКЗИ "Верба-ОW". При работе с ключевой информацией используется также программный датчик случайных чисел - резидентный драйвер CYPRASW.EXE. Правила работы с ключевой информацией и этими программами описаны в документах "ЯЦИТ.00007-01 90 01. Администратор безопасности.

Ключевая система.

Идентификация абонента в сети.

Каждая подсеть однозначно определяется внутри всей информационной сети номером SSSSSS, который может принимать значение от 000000 до 999999. Этот номер присваивается ключевому диску с исходной ключевой информацией и называется номером серии. Абоненты внутри всей сети различаются по номерам вида XXXXSSSSSSYY, а внутри отдельной подсети- по номерам вида XXXXYY. Номера внутри отдельной подсети распределяются пользователем при создании носителей ключевой информации. Составляющая XXXX обозначает номер ключевого диска для шифрования и может принимать значение от 0000 до 9999. Ключевой диск для подписи создается с использованием ключевого диска для шифрования. На каждом ключевом диске для шифрования можно создавать от 0 до 99 ключевых дисков для подписи, которые идентифицируются по личному коду YY. Таким образом, абоненты, обладающие правом шифровать документы, идентифицируются внутри отдельной подсети по номерам вида XXXX, где XXXX - номер ключевой дискеты; абоненты, обладающие правом подписи - по номерам вида XXXXYY, где XXXX - номер ключевой дискеты, YY - личный код.

Носители ключевой информации

Типы ключевых дисков

В СКЗИ "Верба-ОW" используются следующие типы носителей ключевой информации:

• ключевой диск для шифрования;
• ключевой диск для подписи;
• совмещенный ключевой диск (с ключами шифрования и подписи) и их рабочие копии.

При создании рабочих копий ключевых дисков необходимо использовать средства СКЗИ "Верба-ОW". Полученный с помощью СКЗИ "Верба-ОW" рабочий диск не является точной копией исходного, но полностью выполняет его функции. Нельзя создать рабочую копию исходного диска с ключевой информацией простым копированием файлов с исходного ключевого диска.

Создание носителей ключевой информации.

Исходные ключевые диски для шифрования изготавливаются ФАПСИ по заявке пользователя и содержат соответствующий данному абоненту вектор ключей шифрования, номер серии и другую служебную информацию. Ключевой диск для подписи формируется пользователем на основе диска для шифрования или его рабочей копии. После завершения выработки ключей сформируется файл, содержащий ключ подписи, его номер, а также индивидуальные ключи шифрования секретных ключей подписи и шифрования для хранения их на ЖМД. Секретные ключи пользователя должны храниться в тайне.

Временное хранение секретных ключей на жестком диске.

ПО "Верба-ОW" предусматривает возможность хранения секретных ключей на жестком диске, что удобно при частом обращении к ключевой информации.

Секретные и открытые ключи шифрования и подписи хранятся в защищенном виде. При хранении на ключевом ГМД ключи перешифровываются на так называемом главном ключе, при временном хранении на ЖМД- на главном ключе и на индивидуальных ключах шифрования секретных ключей.

Типы ключей.

Определены следующие типы открытых ключей:

• действующий;
• скомпрометированный;
• резервный.

Смена ключей.

Смена ключей возможна в следующих ситуациях:

• плановая смена ключей;
• компрометация ключа;
• ввод в действие нового ключа;
• удаление ключа.

Плановую смену ключей рекомендуется производить не реже одного раза в год. При плановой смене ключей, при их компрометации и удалении абонента из сети конфиденциальной связи, все секретные ключи (шифрования и подписи) должны быть уничтожены, а выведенные из действия открытые ключи должны храниться в течение определенного "центром" времени для разбора конфликтных ситуаций. После уничтожения ключевой информации (при компрометации ключа) вводятся в действие резервные ключи. Все изменения должны немедленно отражаться в справочниках ключей и немедленно рассылаться всем абонентам сети.

Уничтожение ключевой информации.

Для уничтожения ключевой информации предусмотрена специальная процедура форматирования ключевой дискеты, которая прописывает несекретную информацию для того, чтобы содержащиеся на ней данные исчезли физически.

Технические характеристики

В 2000 г. длина открытых ключей шифрования и подписи увеличена до 1024 бит.

При обработке информации на ПЭВМ СКЗИ “Верба-ОW” обеспечивает следующие показатели (без учета времени обращения к устройствам ввода-вывода):

Операции Intel Celeron 266 МГц

Шифрование/расшифрование 2,0 МБайт/с

Вычисление хэш-функции 1,9 МБайт/с

Формирование ЭЦП 0,01 с

Проверка ЭЦП 0,04 с

6. Устройства криптографической защиты данных (УКЗД) серии КРИПТОН

Устройства криптографической защиты данных (УКЗД) серии КРИПТОН — это аппаратные шифраторы для IBM PC-совместимых компьютеров. Устройства применяются в составе средств и систем криптографической защиты данных для обеспечения информационной безопасности (в том числе защиты с высоким уровнем секретности) в государственных и коммерческих структурах.
Устройства КРИПТОН гарантируют защиту информации, обрабатываемой на персональном компьютере и/или передаваемой по открытым каналам связи.
Устройства КРИПТОН выполнены в виде плат расширения ISA и PCI персонального компьютера с процессором i386 и выше.

Преимущества устройств серии КРИПТОН

• аппаратная реализация алгоритма криптографического преобразования гарантирует целостность алгоритма;
• шифрование производится и ключи шифрования хранятся в самой плате, а не в оперативной памяти компьютера;
• аппаратный датчик случайных чисел;
• загрузка ключей шифрования в устройство КРИПТОН со смарт-карт и идентификаторов Touch Memory (i-Button) производится напрямую, минуя ОЗУ и системную шину компьютера, что исключает возможность перехвата ключей;
• на базе устройств КРИПТОН можно создавать системы защиты информации от несанкционированного доступа и разграничения доступа к компьютеру;
• применение специализированного шифрпроцессора для выполнения криптографических преобразований разгружает центральный процессор компьютера; возможна также установка на одном компьютере нескольких устройств КРИПТОН, что еще более повысит скорость шифрования (для устройств с шиной PCI);
• использование парафазных шин в архитектуре шифрпроцессора исключает угрозу снятия ключевой информации по возникающим в ходе криптографических преобразований колебаниям электромагнитного излучения в
  цепях “земля - питание” микросхемы.

Устройства КРИПТОН разработаны, производятся и реализуются Фирмой АНКАД. Они построены на разработанных Фирмой АНКАД специализированных 32-разрядных шифрпроцессорах серии БЛЮМИНГ.
За 10 лет работы Фирма АНКАД поставила более 15 тысяч устройств КРИПТОН заказчикам в Центральном Банке, Федеральном агентстве правительственной связи и информации при Президенте РФ, министерствах обороны и внутренних дел, Министерстве по налогам и сборам, Федеральном казначействе, коммерческих банках, финансовых и страховых компаниях, многим корпоративным клиентам.
Сеть кооперационного производства устройств КРИПТОН охватывает наиболее известные предприятия российской электроники (ОАО “Ангстрем” и др.). Устройства серии КРИПТОН имеют сертификаты соответствия требованиям ФАПСИ (в том числе в составе абонентских пунктов и автоматизированных рабочих мест для защиты информации, содержащей сведения, составляющие государственную тайну).
Программное обеспечение устройств КРИПТОН позволяет:

• шифровать компьютерную информацию (файлы, группы файлов и разделы дисков), обеспечивая их конфиденциальность;
• осуществлять электронную цифровую подпись файлов, проверяя их целостность и авторство;
• создавать прозрачно шифруемые логические диски, максимально облегчая и упрощая работу пользователя с конфиденциальной информацией;
• формировать криптографически защищенные виртуальные сети, шифровать IP-трафик и обеспечивать защищенный доступ к ресурсам сети мобильных и удаленных пользователей;
• создавать системы защиты информации от несанкционированного доступа и разграничения доступа к компьютеру.

Основные технические данные и характеристики

Алгоритм шифрования .................................................................ГОСТ 28147-89
Размерность ключа шифрования, бит..............................................................256
(количество возможных комбинаций ключей — 1077)
Количество уровней ключевой системы..............................................................3
(главный ключ — пользовательский/сетевой ключ — сеансовый ключ)
Датчик случайных чисел………....................................................аппаратный
(аттестован экспертной организацией)
Отклонение распределения значения случайных чисел
от равновероятного распределения, не более…………….................0,0005
Поддерживаемые операционные системы.......................... MS-DOS, Windows 95(98)/ME/NT 4.0/2000/XP UNIX (Solaris/Intel) (возможно создание оригинальных программных драйверов для работы устройств)

КРИПТОН-4 (Рис. 6.1.)

 Рис. 6.1.

устройство криптографической защиты данных
Шина..............................................................................................................ISA-8
Реализация алгоритма шифрования...........................................аппаратная
Скорость шифрования, Кбайт/с............................................................до 350
Носители ключей .........дискеты, смарт-карты (СК) с открытой памятью
Сертификаты ФАПСИ................................... № СФ/110-0359 от 01.11.2000;

№ СФ/110-0368 от 05.12.2000;
№ СФ/110-0377 от 10.01.2001

http://www.ancud.ru/catalog/kr4pci.gif

КРИПТОН-4/PCI (Рис. 6.2.)

                                                                                                Рис. 6.2.

устройство криптографической защиты данных
и ограничения доступа к компьютеру
Шина..................................................................................................PCI (Target)
Реализация алгоритма шифрования...........................................аппаратная
Скорость шифрования, Кбайт/с...........................................................до 1100
Носители ключей .................................................... дискеты, СК с открытой
и защищенной памятью, микропроцессорные СК, ТМ
Устройство КРИПТОН-4/PCI представлено на сертификацию в ФАПСИ.
 

КРИПТОН-8/PCI Рис. 6.3.)

 Рис. 6.3.

устройство криптографической защиты данных
и ограничения доступа к компьютеру
Шина............................................................................PCI (Bus Master, Target)
Реализация алгоритма шифрования............................................аппаратная
Скорость шифрования, Кбайт/с...........................................................до 8500
Носители ключей.......дискеты, СК с открытой и защищенной памятью,
микропроцессорные СК, ТМ
Устройство КРИПТОН-8/PCI представлено на сертификацию в ФАПСИ.
 

КРИПТОН-9/PCI (Рис. 6.4.)

                                                                                                                             Рис. 6.4.

                                                                             
устройство криптографической защиты данных
и ограничения доступа к компьютеру
Шина ------------------------------------------- PCI (Bus Master)
Реализация алгоритма шифрования -------------- аппаратная
Скорость шифрования, Кбайт/с -------------------------------------- до 10000
Носители ключей --------------------------------- дискеты, СК с открытой и защищенной памятью, микропроцессорные СК, ТМ
 

6.1. КРИПТОН-ЗАМОК/PCI
аппаратно-программный модуль доверенной загрузки (Рис. 6.5.)

   Рис. 6.5.

АПМДЗ «КРИПТОН-ЗАМОК/PCI» - это комплекс аппаратно-программных средств, который предназначен для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (сервера и рабочие станции), на которых будет обрабатываться информация, в том числе и с высоким грифом секретности, разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32 и NTFS (Windows NT 4.0 и Windows 2000).
«КРИПТОН-ЗАМОК/PCI» обладает следующими возможностями:

-   идентификация и аутентификация пользователей до запуска BIOS компьютера(большой выбор типов ключевых носителей (смарт-карты с открытой и защищенной памятью, микропроцессорные смарт-карты, Тouch Мemory),

-   создание нескольких профилей защиты, надежное разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками администратора для каждого пользователя;

-   блокировка компьютера при НСД, накопление и ведение электронного журнала событий (в собственной энергонезависимой памяти);

-   подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм (рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94), экспорт/импорт списка проверяемых объектов на гибкий магнитный диск;

-   интеграция в другие системы безопасности (сигнализация, пожарная охрана и пр.);

-   организация бездисковых рабочих мест на основе встроенного Флеш-диска 16 Мбайт.

Алгоритм кодирования аутентифицирующей информации в «КРИПТОН-ЗАМОК/PCI» - в соответствии с требованиями ГОСТ 28147-89.
Администратор имеет возможность разрешить некоторым пользователям осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD ROM. Во всех других случаях «КРИПТОН-ЗАМОК/PCI» загружает ОС только через сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на жёстком магнитном диске (НЖМД) компьютера, который специально подготовлен администратором.
Одна из главных отличительных особенностей «КРИПТОН-ЗАМОК/PCI» - это его модульная структура, которая позволяет настраивать и дорабатывать его под разнообразные требования заказчиков.
«КРИПТОН-ЗАМОК/PCI» поставляется в нескольких модификациях:

-   одноконтурная модель - для рабочего места одного пользователя;

-   многоконтурная модель - создание нескольких контуров безопасности, т.е. осуществляется загрузка конфигурации компьютера в соответствии с индивидуальными настройками системы для каждого пользователя, разделение пользователей по физическим дискам (информация одного пользователя не доступна другому).

-   модель с функциями работы со сменными дисками(компьютер должен быть оснащен контейнером Mobile Rack для шины IDE) - загрузка программной среды с того или иного сменного НЖМД и доступ пользователя к нему разрешается только после успешной идентификации диска, список зарегистрированных сменных дисков хранится в памяти "КРИПТОН-ЗАМОК/PCI", количество сменных магнитных дисков на одном устройстве "КРИПТОН-ЗАМОК/PCI" - до 32.
 

6.2. Crypton ArcMail

Средство криптографической защиты информации (СКЗИ) Crypton ArcMail обеспечивает конфиденциальность, проверку авторства и целостности файлов, каталогов и областей памяти. Crypton ArcMail в едином сервисе предоставляет функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования.
Crypton ArcMail создает подписанный и/или зашифрованный архив, который можно отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети Интернет.
Мастер ключей (доступен в версии Администратора) позволяет создавать секретные и открытые ключи и сертифицировать открытые ключи. Для генерации ключей используется датчик случайных чисел программного шифратора Crypton Emulator или аппаратного устройства КРИПТОН, в комплекте с которыми (по выбору потребителя) поставляется Crypton ArcMail.
Применяя программу интерактивной обработки файлов, можно по щелчку правой кнопки мыши вызывать функции создания зашифрованных и/или подписанных архивов, проверки подписи и расшифрования архивов, поступивших от других абонентов.
Утилита командной строки позволяет встраивать функции архивирования, шифрования и ЭЦП в продукты других разработчиков.
Crypton ArcMail поставляется как в виде прикладной программы для конечных пользователей, так и в виде библиотеки функций.

Основные характеристики

Алгоритм шифрования .......................................................... ГОСТ 28147-89
Алгоритм ЭЦП ....................................................................... ГОСТ Р 34.10-94
Алгоритм функции хэширования ...................................... ГОСТ Р 34.11-94
Длина секретного ключа, бит ................................................................. 256
Длина открытого ключа, бит ................................................... 512 или 1024
Схема управления ключами ................... асимметричная, симметричная
Возможность сертификации открытых ключей позволяет использовать Сrypton ArcMail в архитектуре PKI (Public Key Infrastructure - инфраструктура открытых ключей).

6.3. КРИПТОН-Шифрование

Позволяет шифровать файлы, обеспечивая их конфиденциальность. Зашифрованную информацию можно хранить на любых носителях (в т.ч. дисках персонального компьютера), передавать по сети Internet и другим открытым каналам связи, не опасаясь, что с содержимым зашифрованных файлов ознакомятся посторонние.
Алгоритм шифрования ..................................................... ГОСТ 28147-89
Длина ключа шифрования, бит ............................................................ 256
(количество возможных комбинаций ключей - 1077)
Количество уровней ключевой системы …………….………............. 3
(главный ключ - пользовательский/сетевой ключ - сеансовый ключ)
Схема управления ключами ............................................. симметричная
Длина пароля, символов, не менее ......................................................... 4
Мастер ключей шифрования (поставляется в версии Администратора) позволяет создавать ключи и управлять ими.
Расширение Проводника Windows обеспечивает возможность интерактивной обработки файлов: достаточно щелкнуть правой кнопкой мыши, чтобы зашифровать, расшифровать, перешифровать или уничтожить файл (с невозможностью восстановления).
Утилита командной строки позволяет встраивать функции шифрования в другие продукты (почтовые системы, системы "банк -клиент" и т.п.).

6.4. КРИПТОН-Подпись

Реализует функции электронной цифровой подписи (ЭЦП), обеспечивая проверку авторства и целостности файлов.
Электронная цифровая подпись служит аналогом подписи ответственного лица и печати организации; один и тот же файл может быть подписан несколько раз (бухгалтером, главбухом, директором и т.д.).
Возможность сертификации открытых ключей позволяет использовать КРИПТОН-Подпись в архитектуре PKI (Public Key Infrastructure - инфраструктура открытых ключей).
Алгоритм ЭЦП .................................................................. ГОСТ Р 34.10-94
Алгоритм функции хэширования ............................ ГОСТ Р 34.11-94
Длина секретного ключа, бит ............................................................... 256
Длина открытого ключа, бит ............................................ 1024
Схема управления ключами .......................................... асимметричная
Длина пароля секретного ключа, символов, не менее .................... 4
Мастер ключей подписи (поставляется в версии Администратора) позволяет создавать секретные и открытые ключи и сертифицировать открытые ключи.
Расширение Проводника Windows по щелчку правой кнопкой мыши вызывает функции простановки, проверки и удаления подписи.
Утилита командной строкипозволяет встраивать функции ЭЦП в другие продукты.

6.5. КРИПТОН-IP
Аппаратно-программный комплекс
Криптографический IP-маршрутизатор
для MS-DOS

         Криптографический маршрутизатор КРИПТОН-IP предназначен для построения защищенных виртуальных частных сетей (VPN), позволяющих объединять локальные компьютерные сети путем передачи данных через глобальные сети открытого доступа (например, Internet).
КРИПТОН-IP обеспечивает маршрутизацию IP-пакетов в глобальных сетях и их конфиденциальность, а также защищает локальные сети от вторжения извне.

Криптографическая защита данных реализована методом прозрачного шифрования IP-пакетов при обмене ими по открытым каналам связи. Для защиты от НСД локальных компьютерных сетей используются методы фильтрации IP-пакетов по определенным правилам с аутентификацией их источников и получателей, а также методы сокрытия IP-адресов.
КРИПТОН-IP позволяет также осуществлять криптографическую защиту файлов данных. Для контроля целостности и авторства файлов формируется их электронная цифровая подпись (ЭЦП).

Криптографическим ядром КРИПТОН-IP является аппаратный шифратор КРИПТОН-4К/16 (в программно-аппаратной конфигурации) или программный шифратор Crypton LITE (в программной конфигурации).

Программно-аппаратная конфигурация КРИПТОН-IP обладает дополнительными функциями:

• Загрузка ключей со смарт-карт, минуя шину данных системного блока КМ;
• Наличие энергонезависимой памяти для хранения уникальных данных (ключей шифрования);
• Мониторинг целостности системного и прикладного ПО до загрузки ОС и в процессе работы;
• Разграничение доступа к программным средствам и данным с регистрацией процесса доступа в электронном журнале.

Возможна работа комплекса с двумя типами ключевых систем: асимметричной (с использованием открытых ключей) или симметричной (на основе полной матрицы ключей).

При использовании асимметричной ключевой системы ключевая информация генерируется и обрабатывается с помощью программ работы с ЭЦП.

При работе с симметричной ключевой системой необходимо дополнительно использовать программно-аппаратный комплекс, предназначенный для генерации/конвертации ключевой информации и создания ключевых носителей для всех используемых в данной сети комплексов КРИПТОН-IP. ПО рекомендуется устанавливать на выделенном персональном компьютере.
В ПО применено средство криптографической защиты информации (СКЗИ) "Crypton ArcMail", имеющее сертификат ФАПСИ (регистрационный номер СФ/120-0278 от 30 июня 1999 года, выдан ООО фирма "АНКАД").

КРИПТОН-IP принят на сертификацию в ФАПСИ (в том числе для применения его в целях защиты сведений, составляющих государственную тайну).

Основные функционально-технические характеристики КРИПТОН-IP:

Программно-аппаратная конфигурация комплекса КРИПТОН-IP

• Программа криптографической маршрутизации.
  Реализует методы криптографической защиты и автоматическую маршрутизацию пакетов при их приеме/передаче по сети обмена данными.
• Устройство криптографической защиты данных (УКЗД) КРИПТОН-4К/16.
  УКЗД имеет свое локальное программное обеспечение (BIOS), которое выполняет: загрузку ключей шифрования данных до загрузки операционной среды компьютера; контроль целостности операционной среды до загрузки MS-DOS; аппаратное шифрование данных.
• Адаптер смарт-карт SA-101i .
  Обеспечивает ввод ключевой информации в УКЗД со смарт-карт, минуя шину компьютера.
• Система криптографической защиты информации от НСД КРИПТОН-ВЕТО 2.0.
  Обеспечивает управление процессом контроля целостности операционной среды компьютера; шифрование данных и ЭЦП; разграничение доступа к ресурсам компьютера; регистрацию событий в аппаратном журнале. Система сертифицирована Гостехкомиссией по классу 1В.

Программно-аппаратная конфигурация комплекса КРИПТОН-IP

• Программа криптографической маршрутизации.
• Crypton Emulator для MS DOS.
  Комплекс обеспечивает шифрование данных (программную эмуляцию функций УКЗД КРИПТОН) и ЭЦП.

Crypton ArcMail (сертификат ФАПСИ)

• Устройство криптографической защиты данных (УКЗД) КРИПТОН-4К/16.
• Адаптер смарт-карт SA-101i с открытой памятью.
• Система криптографической защиты информации от НСД КРИПТОН-ВЕТО 2.0.
• Программа Keys Convert Utility v2.0, конвертор ключевых систем.
  Программа обеспечивает генерацию полной матрицы ключей и/или их конвертацию в нужные форматы.
• Программа Crypton ArcMail v1.3 защиты электронных документов.
  Программа обеспечивает сертификацию ключей и создание баз данных ключей.

Типичная схема подключения локальной компьютерной сети к глобальной сети (Internet) с использованием криптографического маршрутизатора (КМ) КРИПТОН-IP (Рис. 6.5.1.).

Crypton API v2.25.

Рис. 6.5.1.

Данный пакет программ обеспечивает программный интерфейс к устройствам криптографической защиты данных (УКЗД) серии “Криптон” для приложений Win32 и программ ДОС в режиме эмуляции ДОС в операционных средах Windows 95/98/NT 4.0, Solaris 2.x, 7, 8 ( x86, Sparc). В состав данного пакета программ входят драйверы УКЗД для Windows 95/98/NT 4.0, драйверы поддержки ДОС-приложений в режиме эмуляции ДОС, Win32-приложение, тестирующее УКЗД.

Рис. 6.5.2.

Универсальность интерфейса, предоставляемого пакетом программ Crypton API, состоит в том, что предоставляемый программам интерфейс идентичен независимо от конкретного УКЗД серии "Криптон" (или даже его программного эмулятора) и независимо от типа ключевого носителя, подключаемого через интерфейс SCApi. Эмулятор подключается к Crypton API аналогично драйверу УКЗД серии "Криптон". Схема работы Cripton API представлена Рис. 6.5.2.

6.6. КРИПТОН AncNet
Аппаратно-программный комплекс

Аппаратно-программный комплекс «КРИПТОН AncNet» предназначен для защищенной передачи данных в сети (в том числе и с высоким уровнем грифа секретности) и защиты компьютера сети от несанкционированного вмешательства посторонних лиц в его работу.

Комплекс КРИПТОН AncNet обеспечивает :

-   прием и передачу кадров формата Ethernet II по протоколам семейства TCP/IP версия 4;

-   шифрование данных в соответствии с ГОСТ 28147-89;

-   контроль целостности передаваемой информации;

-   защиту от НСД аппаратно-программных ресурсов компьютера;

-   идентификацию и аутентификацию пользователя при запуске компьютера до запуска BIOS;

-   контроль целостности загружаемой ОС;

-   блокировку запуска компьютера при НСД;

-   регистрацию событий НСД;

-   аппаратную блокировку от несанкционированной загрузки операционной системы с гибкого диска и CD-ROM диска.

Основные технические характеристики :
http://www.ancud.ru/catalog/ksia.jpgСкорость передачи данных по сети ….10/100Мбит/с;
Поддерживаемые протоколы ….Fast Ethernet 802.3,
2000 Edition; 802.3U;802.3X
Сетевая среда.............100 Base-FX, 10/100Base-TX, 10Base-T, 10Base-FL
(с использованием стандартных трансиверов)
Режимы работы в сети …………….............................……Full/Half duplex
Способ защиты данных ..................................... Прозрачное шифрование
http://www.ancud.ru/catalog/zamok.jpgинформационной части IP пакета
Стандарт системной шины …….................…PCI Local bus Rev. 2.1, 2.2
Режим обмена по шине PCI……….....................................…………Bus Master
Алгоритм шифрования........................................................ ГОСТ 28147-89
Скорость шифрования ……....................……..............................9 Мбайт/с
Носитель ключевой информации.........................................Touch Memory

В состав комплекса «КРИПТОН AncNet» входят: модуль сетевого шифратора и подсистема защиты от НСД на базе аппаратно-программного модуля доверенной загрузки.
Подсистема защиты данных при передаче в сети реализована на базе Модуля сетевого шифратора и обеспечивает абонентское шифрование информации, передаваемой между компьютерами, объединенными в сеть с помощью активного и пассивного сетевого оборудования. Шифрование информационной части IP пакета реализуется аппаратно, с последующей передачей пакета в канал.
Система защиты от НСД комплекса КРИПТОН AncNet строится на базе АПМДЗ, который устанавливается на компьютер, подключенный к вычислительной сети, и обеспечивает контроль доступа пользователя к компьютеру и контроль загружаемой операционной системы (ОС).
Разграничение доступа пользователей к аппаратным ресурсам рабочего места настраивается администратором на основе настройки индивидуальных прав (полномочий) каждого пользователя.

6.7. КРИПТОН-IDE
Аппаратно-программный комплекс

Аппаратно-программный комплекс «КРИПТОН-IDE» предназначен для защиты информации на жестком магнитном диске (в том числе и с высоким уровнем грифа секретности) и защиты компьютера от несанкционированного вмешательства посторонних лиц в его работу.

Комплекс «КРИПТОН-IDE» обеспечивает :

-   "прозрачное" шифрование (криптографическое преобразование) информации, передаваемой между хост-контроллером на системной плате компьютера и жёстким магнитным диском;

-   шифрование данных в соответствии с ГОСТ 28147-89;

-   защиту от НСД аппаратно-программных ресурсов компьютера;

-   идентификацию и аутентификацию пользователя при запуске компьютера до запуска BIOS;

-   контроль целостности загружаемой ОС;

-   блокировку запуска компьютера при НСД;

-   регистрацию событий НСД;

-   аппаратную блокировку от несанкционированной загрузки операционной системы с гибкого диска, CD-ROM диска DVD-диска и с USB FLASH диска.

Основные технические характеристики :
http://www.ancud.ru/catalog/ide.jpgИнтерфейс ЖМД ………............ ATA/ATAPI -6 для IDE устройств и ANSI x3.298-1997;
Способ защиты данных ........Прозрачное шифрование
Электропитание……......………………от источников питания компьютера
Алгоритм шифрования........................................................ ГОСТ 28147-89
Скорость шифрования ……………….......................................... 70 Мбит/с
Носитель ключевой иформации................................................Touch Memory

http://www.ancud.ru/catalog/zamok.jpg

В состав комплекса «КРИПТОН - IDE» входят: модуль шифратора жёсткого диска и подсистема защиты от НСД на базе аппаратно-программного модуля доверенной загрузки.
Подсистема защиты данных при работе с жестким диском реализована на базе платы шифратора жёсткого диска и обеспечивает «прозрачное» шифрование информации, передаваемой между хост-контроллером на системной плате компьютера и жестким магнитным диском. Шифрование реализуется аппаратно.
Система защиты от НСД комплекса «КРИПТОН-IDE» строится на базе АПМДЗ, который устанавливается на компьютер и обеспечивает контроль доступа пользователя к компьютеру и контроль загружаемой операционной системы (ОС).
Разграничение доступа пользователей к аппаратным ресурсам рабочего места настраивается администратором на основе настройки индивидуальных прав (полномочий) каждого пользователя.

6.8. Crypton Disk

Средство защиты информации от несанкционированного доступа Crypton Disk подключается к шифратору (программному эмулятору или аппаратному КРИПТОНу) и позволяет создавать секретные логические диски, содержимое которых шифруется в прозрачном (незаметном для пользователя) режиме и доступно только для владельца диска. При чтении какой-либо программной информации с секретного диска эта информация расшифровывается, а при записи - зашифровывается.
Crypton Disk не требует от пользователя дополнительных усилий: для доступа к секретному диску его владельцу достаточно предъявить носитель ключей и ввести пароль. Секретный диск существует в виде файла-контейнера (можно запретить незарегистрированным пользователям случайное или преднамеренное уничтожение файлов-контейнеров); для законного владельца секретный диск предстает в виде еще одного логического диска.
Crypton Disk позволяет пользователям закрывать доступ ко всем логическим дискам по истечении установленного времени и/или комбинации горячих клавиш.

6.9. Crypton Lock

Случалось ли Вам забывать пароль для входа в операционную систему? А, может, от Вас уходил системный администратор, который не оставил своего пароля?
Или Ваши сотрудники раздают пароли для входа в сеть направо и налево, и Вы никогда не знаете, сколько пользователей находится в сети и кто они?
ВЫ МОЖЕТЕ   ЗАБЫТЬ  О     ПРОБЛЕМАХ С ПАРОЛЕМ (Рис. 6.9.1.).
Модуль санкционированного доступа Crypton Lock для Windows NT 4.0/2000 позволит Вам:

-   хранить пароль в защищенной памяти брелока e Token для шины USB;

-   обеспечить вход в систему только зарегистрированных пользователей по предъявлении брелока;

-   блокировать систему на время отсутствия

Рис. 6.9.1.

оператора на рабочем месте. Администратору безопасности достаточно один раз ввести пароли в память брелоков и раздать брелоки пользователям; сообщать пароли пользователям не нужно.
От пользователя потребуется лишь получить брелок (так же, например, как ключи от помещения) и предъявить его при входе в систему, сообщив свое имя для регистрации. ПАРОЛЬ ТЕПЕРЬ МАТЕРИАЛЕН, его можно хранить и учитывать, как любой материальный объект.
Для работы модуля Crypton Lock необходимы операционная система Windows NT 4.0 или 2000 и сам брелок.
При покупке брелока в Фирме АНКАД предоставляется возможность также хранить в его памяти ключи шифрования и электронной цифровой подписи для продуктов серии КРИПТОН/Crypton: КРИПТОН®Шифрование, КРИПТОН®Подпись, Crypton ArcMail, Crypton Word, Crypton Excel.