소프트웨어 « 크립토프로 CSP» 시스템 및 애플리케이션 소프트웨어의 무결성을 모니터링하고, 보안 조치, 승인에 관한 규정에 따라 시스템의 핵심 요소를 관리하고, 사용자 간 전자 문서 교환 시 전자 문서의 법적 중요성을 보장하도록 설계되었습니다. 암호화 공급자 자체 외에도 CryptoPro CSP에는 CryptoPro TLS, CryptoPro EAP-TLS, CryptoPro Winlogon 및 CryptoPro Revocation Provider 제품이 포함되어 있습니다.
솔루션의 목적은 다음과 같습니다.
- 국내 표준 GOST R 34.10-2001 / GOST R 34.10-2012(GOST R 사용)에 따라 전자 서명(ES) 생성 및 확인 절차를 사용하여 사용자 간 전자 문서 교환 시 승인 및 전자 문서의 법적 중요성 보장 34.11-94 / GOST R 34.11-2012);
- GOST 28147-89에 따라 암호화 및 모방 방지를 통해 정보의 기밀성을 보장하고 무결성을 모니터링합니다.
- TLS 프로토콜을 통한 연결의 신뢰성, 기밀성 및 모방 보호를 보장합니다.
- 시스템 및 애플리케이션 소프트웨어의 무결성을 모니터링하여 무단 변경 및 올바른 기능 위반으로부터 시스템을 보호합니다.
- 보호 장비에 관한 규정에 따라 시스템의 핵심 요소를 관리합니다.
구현된 알고리즘
- 해시 함수 값을 생성하는 알고리즘은 GOST R 34.11-94 / GOST R 34.11-2012 "정보 기술"의 요구 사항에 따라 구현됩니다. 암호화 정보 보호. 해시 함수."
- 전자 서명을 생성하고 확인하는 알고리즘은 GOST R 34.10-2001 / GOST R 34.10-2012 "정보 기술"의 요구 사항에 따라 구현됩니다. 암호화 정보 보호. 전자 디지털 서명의 형성 및 검증 프로세스.”
- 데이터 암호화/암호 해독 알고리즘과 모방 삽입 계산은 GOST 28147-89 "정보 처리 시스템"의 요구 사항에 따라 구현됩니다. 암호화 보호."
개인키와 공개키를 생성할 때 GOST R 34.10-2001 / GOST R 34.10-2012에 따라 다양한 매개변수를 사용하여 생성이 가능합니다.
해시 함수 값을 생성하고 암호화할 때 GOST R 34.11-94 및 GOST 28147-89에 따라 다양한 대체 노드를 사용할 수 있습니다.
지원되는 주요 미디어 유형
- 플로피 디스크 3.5;
- PC/SC 프로토콜을 지원하는 스마트 카드 리더를 사용하는 스마트 카드;
- Touch-Memory DS1993 - Accord 4+ 장치, 전자 잠금 장치 "Sobol", "Krypton" 또는 Touch-Memory DALLAS 태블릿 리더를 사용하는 DS1996 태블릿(해당 국가에만 해당) 윈도우 버전);
- 전자 키가 있는 USB 인터페이스(USB 토큰);
- USB 인터페이스를 갖춘 이동식 미디어;
- Windows OS 레지스트리;
- Solaris/Linux/FreeBSD OS 파일.
| CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
|---|---|---|---|---|
| 윈도우 서버 2016 | x64* | x64** | x64 | |
| 윈도우 10 | x86 / x64* | x86 / x64** | x86/x64 | |
| 윈도우 서버 2012 R2 | x64 | x64 | x64 | |
| 윈도우 8.1 | x86/x64 | x86/x64 | x86/x64 | |
| 윈도우 서버 2012 | x64 | x64 | x64 | x64 |
| 윈도우 8 | x86/x64 | x86/x64 | x86/x64 | |
| 윈도우 서버 2008 R2 | x64/아이테아늄 | x64 | x64 | x64 |
| 윈도우 7 | x86/x64 | x86/x64 | x86/x64 | x86/x64 |
| 윈도우 서버 2008 | x86 / x64 / 아이테니엄 | x86/x64 | x86/x64 | x86/x64 |
| 윈도우 비스타 | x86/x64 | x86/x64 | ||
| 윈도우 서버 2003 R2 | x86 / x64 / 아이테니엄 | x86/x64 | x86/x64 | x86/x64 |
| 윈도우 서버 2003 | x86 / x64 / 아이테니엄 | x86/x64 | x86/x64 | x86/x64 |
| 윈도우 XP | x86/x64 | |||
| 윈도우 2000 | x86 |
상황은 GOST 28147-89 암호화 표준이 도입된 1990년에야 바뀌었습니다. 처음에 이 알고리즘은 DSP로 분류되었으며 1994년에야 공식적으로 "완전 개방형"이 되었습니다.
국내 암호학에서 정확히 언제 정보의 돌파구가 만들어졌는지 말하기는 어렵습니다. 아마도 이는 일반 대중이 인터넷에 액세스할 수 있게 되면서 발생했으며 그 후 암호화 알고리즘 및 프로토콜에 대한 설명, 암호화 분석에 관한 기사 및 암호화와 관련된 기타 정보가 포함된 수많은 자료가 인터넷에 게시되기 시작했습니다.
현재 상황에서 암호화폐는 더 이상 국가만의 특권으로 남을 수 없습니다. 게다가 개발 정보 기술통신으로 인해 상업 회사 및 조직에서는 암호화 보호 수단을 사용할 필요가 생겼습니다.
오늘은 암호화정보 보호수단(CIS)에는 다음이 포함됩니다. 암호화 도구, 모방 방지 도구, 전자 디지털 서명 도구, 코딩 도구, 주요 문서 제작 도구그리고 그들 자신 주요 문서.
- 개인 데이터 정보 시스템 보호;
- 회사 기밀 정보 보호;
- 기업 암호화 이메일;
- 디지털 서명 생성 및 확인.
러시아 기업의 암호화 및 CIPF 사용
1. 개인정보 보호 시스템에 암호화폐 도입
거의 모든 활동 러시아 회사오늘날 개인 데이터(PD)의 저장 및 처리와 관련되어 있습니다. 다양한 카테고리, 러시아 연방 법률은 이를 보호하기 위해 여러 가지 요구 사항을 제시합니다. 이를 이행하기 위해 회사 경영진은 우선 조직을 구성해야 하는 상황에 직면해 있습니다. 위협 모델개인 데이터 및 이를 기반으로 한 개발 개인 데이터 보호 시스템, 여기에는 암호화 정보 보호 수단이 포함되어야 합니다.개인정보 보호 시스템에 구현된 CIPF에 대해 다음 요구 사항이 제시됩니다.
- 암호화 도구는 기술적, 기술적 측면과 함께 적절하게 작동해야 합니다. 소프트웨어, 이는 해당 요구 사항의 이행에 영향을 미칠 수 있습니다.
- 처리 중 개인 데이터의 보안을 보장하려면 러시아 FSB 인증 시스템에서 인증된 암호화폐를 사용해야 합니다.
따라서 암호화 보호 도구는 이제 기업과 조직에서 러시아 시민의 개인 데이터를 보호하기 위해 효과적으로 사용되며 개인 데이터 보호 시스템의 가장 중요한 구성 요소 중 하나입니다.
2. 기업정보의 보호
단락 1에서 암호화 수단의 사용이 우선 러시아 연방 법률의 요구 사항에 따라 결정된 경우, 이 경우 회사 자체의 경영진은 암호화 정보 보호 사용에 관심이 있습니다. 암호화의 도움으로 회사는 자신의 정보를 보호할 수 있습니다. 기업정보– 영업 비밀, 지적 재산, 운영 및 기술적 인 정보등등오늘날 기업 환경에서 효과적으로 사용하려면 암호화 프로그램이 다음을 제공해야 합니다.
- 원격 서버의 데이터 암호화;
- 비대칭 암호화 지원;
- 투명한 암호화;
- 네트워크 폴더 암호화;
- 회사 직원 간에 기밀 정보에 대한 접근 권한을 차별화하는 능력;
- 직원이 외부 저장 매체(토큰)에 개인 키를 저장할 수 있는 기능.
3. 전자서명
오늘날 전자 서명(ES)은 자필 서명과 완전히 유사한 형태로 법률 및 법률 기관에서 사용할 수 있습니다. 개인문서를 제공하기 위해 디지털 형식법적 강제. ES의 응용 전자 시스템문서 흐름은 상업 거래 체결 속도를 크게 높이고 종이 회계 문서의 양을 줄이며 직원 시간을 절약합니다. 또한 전자 서명을 통해 회사는 계약 체결, 지불 문서 처리, 정부 기관으로부터 다양한 인증서 획득 등에 드는 비용을 절감할 수 있습니다.암호화 보호 도구에는 일반적으로 전자 서명을 생성하고 확인하는 기능이 포함되어 있습니다. 러시아 법률은 그러한 CIPF에 대해 다음 요구 사항을 제시합니다.
전자 서명을 만들 때 다음을 수행해야 합니다.
- 전자 문서에 서명하는 사람에게 그가 서명하는 정보의 내용을 보여주십시오.
- 전자 서명 생성 작업에 대한 전자 문서에 서명한 사람이 확인한 후에만 전자 서명을 생성합니다.
- 전자 서명이 생성되었음을 명확하게 표시합니다.
- 콘텐츠 표시 전자문서, 전자 서명으로 서명됨
- 서명된 전자 문서의 변경 사항에 대한 정보를 표시합니다.
- 전자 문서에 서명된 디지털 서명 키를 사용하는 사람을 나타냅니다.
4. 이메일 암호화
대부분의 회사에서 이메일은 직원 간의 주요 의사소통 수단입니다. 오늘날 회사 이메일을 통해 어떤 내용이 전송되는지는 비밀이 아닙니다. 엄청난 양기밀 정보: 계약서, 청구서, 제품 정보 및 가격 정책회사, 재무 지표 등. 이러한 정보가 경쟁업체에 공개되면 활동 종료를 포함하여 회사에 심각한 손해를 초래할 수 있습니다.그러므로 보호 기업 메일– 회사의 정보 보안을 보장하는 데 매우 중요한 구성 요소로, 암호화 및 암호화 도구를 사용하여 구현이 가능합니다.
다수 메일 클라이언트, 와 같은 아웃룩, 킨더버드, 배트!등을 사용하면 암호화 보호 도구를 사용하여 생성된 공개 및 개인 키 인증서(각각 X.509 및 PKCS#12 형식의 인증서)를 기반으로 암호화된 메시지 교환을 구성할 수 있습니다.
여기서는 인증 기관(CA)으로 작동하는 암호화 도구의 기능도 언급할 가치가 있습니다. 인증 기관의 주요 목적은 암호화 인증서를 발급하고 암호화 키의 신뢰성을 확인하는 것입니다. 러시아 법률에 따라 CA는 클래스(KS1, KS2, KS3, KB1, KB2, KA1)로 구분되며 각 클래스에는 다양한 요구 사항이 있습니다. 동시에 CA 도구에 사용되는 CIPF 클래스는 해당 CA 클래스보다 낮아서는 안됩니다.
CyberSafe Enterprise 사용
CyberSafe Enterprise 프로그램을 개발할 때 우리는 프로그램의 기능 세트를 포함하여 위에 설명된 모든 기능을 고려하려고 노력했습니다. 따라서 이 문서의 단락 2에 나열된 기능, 이메일 암호화, 디지털 서명 생성 및 확인, 인증 기관으로 작동하는 기능을 지원합니다.CyberSafe의 가용성 공개 키 서버이를 통해 회사는 직원 간 편리한 키 교환을 구성할 수 있으며, 직원 각자는 자신의 공개 키를 게시하고 다른 사용자의 공개 키를 다운로드할 수 있습니다.
다음으로 CyberSafe Enterprise를 개인 데이터 보호 시스템에 도입할 가능성에 대해 자세히 설명하겠습니다. 이 기회는 러시아 연방 FSB가 KS1, KS2 및 KS3 클래스(버전에 따라 다름)의 CIPF로 인증하고 5.1항에 명시되어 있는 암호화 공급자 CryptoPro CSP 프로그램의 지원 덕분에 존재합니다. “암호화 수단을 사용하여 개인 데이터의 보안을 보장하기 위한 방법론적 권장 사항”:
“KS1 및 KS2 클래스의 암호화 자산 삽입은 러시아 FSB의 통제 없이 수행됩니다(이 통제가 제공되지 않는 경우). 위임 사항정보시스템의 개발(현대화)을 위한 것입니다.
따라서 CIPF CryptoPro CSP가 내장되어 있으면 CyberSafe Enterprise 프로그램을 KS1 및 KS2 클래스의 개인 데이터 보호 시스템에서 사용할 수 있습니다.
사용자 컴퓨터에 CryptoPro CSP를 설치한 후 CyberSafe Enterprise에서 인증서를 생성할 때 CryptoPRO 인증서를 생성할 수 있습니다.
CyberSafe 인증서 생성이 완료되면 CryptoPRO 키도 생성되어 번들에 표시되고 사용할 수 있습니다.
CryptoPro 키를 별도의 파일로 내보내야 하는 경우 표준 CyberSafe 키 내보내기 기능을 통해 수행할 수 있습니다.
다른 사용자에게 전송하기 위해 파일을 암호화하려는 경우(또는 전자 서명) 이를 위해 CryptoPro 키를 사용하려면 사용 가능한 암호화 공급자 목록에서 CryptoPro를 선택해야 합니다.
투명한 파일 암호화를 위해 CryptoPro 키를 사용하려면 인증서 선택 창에서 CryptoPro를 암호화 공급자로 지정해야 합니다.
CyberSafe에서는 CryptoPRO 및 GOST 알고리즘을 사용하여 논리 드라이브/파티션을 암호화하고 가상 암호화 드라이브를 생성할 수 있습니다.
또한 CryptoPro 인증서를 기반으로 이메일 암호화를 구성할 수 있습니다. KriptoPro CSP에서는 전자 서명을 생성하고 확인하는 알고리즘이 GOST R 34.10-2012 표준의 요구 사항에 따라 구현되고, 데이터 암호화/복호화 알고리즘은 GOST 28147-89 표준의 요구 사항에 따라 구현됩니다.
현재까지 CyberSafe는 파일, 네트워크 폴더, 논리 드라이브, 이메일 암호화 기능과 암호화 표준 GOST 28147-89 및 GOST R 34.10-2012 지원을 통해 인증 기관으로 작동하는 기능을 결합한 유일한 프로그램입니다.
선적 서류 비치:
1. 2006년 7월 27일자 연방법 "개인 데이터" No. 152-FZ.2. 2007년 11월 17일자 러시아 연방 정부 법령 No. 781에 의해 승인된 개인 데이터 정보 시스템에서 처리하는 동안 개인 데이터의 보안을 보장하는 규정.
3. 자동화 도구를 사용하여 개인 데이터 정보 시스템에서 개인 데이터를 처리할 때 암호화 도구를 사용하여 개인 데이터의 보안을 보장하기 위한 방법론적 권장 사항, 2008년 2월 21일 러시아 FSB 제8센터 경영진의 승인을 받은 No. 149/54- 144.
4. 2005년 2월 9일자 러시아 연방 FSB 명령 제66호에 의해 승인된 암호화(암호화) 정보 보안 수단의 개발, 생산, 판매 및 운영에 관한 규정.
5. 2011년 12월 27일자 러시아 연방 보안국 명령 No. 796에 의해 승인된 전자 서명 수단 요구 사항 및 인증 센터 수단 요구 사항.
러시아 FSB의 요구 사항에 따른 보안 클래스 KS2 및 KS1의 암호화 정보 보호 도구는 공격 소스의 실제 기능과 공격에 대응하기 위해 취한 조치가 다릅니다.
1. 공격 소스의 현재 기능
클래스 KS1의 CIPF(암호화 정보 보호 도구)는 공격 소스의 현재 기능이 존재할 때, 즉 공격 방법을 독립적으로 생성하고 통제된 영역 외부에서만 공격을 준비 및 수행하는 데 사용됩니다.
CIPF 클래스 KS2는 공격 소스의 현재 기능이 다음과 같은 경우에 사용됩니다.
- 독립적으로 공격 방법을 만들고, 통제 구역 밖에서만 공격을 준비하고 수행합니다.
- 독립적으로 공격 방법을 생성하고, 통제된 영역 내에서 공격을 준비 및 수행하지만 CIPF 및 해당 운영 환경(SF)이 구현되는 하드웨어에 물리적으로 액세스할 수 없습니다.
따라서 CIPF 클래스 KS2는 공격 소스 무력화, 공격 방법을 독립적으로 생성, 통제된 영역 내에서 공격을 준비 및 수행하지만 CIPF 및 IP가 구현되는 하드웨어에 물리적으로 액세스할 수 없다는 점에서 KS1과 다릅니다.
2. CIPF 보호 등급 KS3, KS2 및 KS1 구현 옵션
옵션 1은 보호 등급 KS1을 제공하는 기본 CIPF 소프트웨어입니다.
옵션 2는 기본 CIPF 클래스 KS1과 인증된 하드웨어 및 소프트웨어 모듈로 구성된 CIPF 클래스 KS2입니다. 신뢰할 수 있는 다운로드(APMDZ).
옵션 3은 CIPF 클래스 KS3으로, CIPF 클래스 KS2와 특수 클래스로 구성됩니다. 소프트웨어닫힌 루프를 만들고 제어하려면 소프트웨어 환경.
따라서 CIPF 클래스 KS2 소프트웨어는 CIPF 클래스 KS1에 인증된 APMDZ를 추가한다는 점에서만 KS1과 다릅니다. CIPF 클래스 KS3과 클래스 KS1의 차이점은 CIPF 클래스 KS1을 인증된 APMDZ 및 특수 소프트웨어와 함께 사용하여 폐쇄형 소프트웨어 환경을 생성하고 제어한다는 것입니다. 또한 CIPF 클래스 KS3과 클래스 KS2의 차이점은 CIPF 클래스 KS2를 특수 소프트웨어와 함께 사용하여 폐쇄형 소프트웨어 환경을 생성하고 제어한다는 것입니다.
3. 공격에 대한 대응조치
CIPF 클래스 KS2는 CIPF 클래스 KS1을 작동할 때 필수인 반격에 대한 조치를 적용하지 않습니다. 즉:
- 건물에 접근할 수 있는 사람의 목록이 승인되었습니다.
- 암호화 정보 보호 시스템이 위치한 건물에 접근할 수 있는 사람의 목록이 승인되었습니다.
- 근무 시간, 근무 외 시간, 비상 상황 시 암호화 정보 보호 시스템이 위치한 건물에 대한 접근 규칙이 승인되었습니다.
- 자원이 위치한 통제 구역 및 건물에 대한 접근 정보 시스템개인 데이터(ISPD) 및/또는 CIPF는 액세스 제어 체제에 따라 제공됩니다.
- 정보 시스템이 위치한 시설을 보호하기 위한 물리적 조치에 대한 정보는 제한된 수의 직원에게만 제공됩니다.
- CIPF에 대한 문서는 CIPF 책임자가 금속 금고(캐비닛)에 보관합니다.
- CIPF, CIPF 및 SF 구성 요소에 대한 문서가 있는 건물에는 잠금 장치가 있는 출입문이 설치되어 있어 건물의 문이 영구적으로 잠겨 있고 승인된 통로에 대해서만 열리도록 보장합니다.
- CIPF가 위치한 건물(랙)에서 작업할 때 기술, 유지 관리 및 기타 지원 서비스 담당자와 CIPF 사용자가 아닌 직원은 운영 직원이 있는 경우에만 이러한 건물에 있습니다.
- ISPD 사용자이지만 CIPF 사용자는 아닌 직원에게 ISPD의 업무 규칙과 정보 보안 규칙 위반에 대한 책임에 대한 정보를 제공합니다.
- CIPF 사용자에게는 ISDN 작업 규칙, CIPF 작업 규칙 및 정보 보안 규칙 위반에 대한 책임에 대한 정보가 제공됩니다.
- 개인 데이터에 대한 사용자 활동의 등록 및 기록이 수행됩니다.
- 정보 보안 수단의 무결성이 모니터링됩니다.
CryptoPro 회사는 다양한 환경(Windows, Unix, Java)에서 사용하기 위해 전자 서명 및 암호화를 사용하여 정보의 무결성, 작성자 및 기밀성을 보장하기 위해 광범위한 소프트웨어 및 하드웨어 제품을 개발했습니다. 회사 제품의 새로운 방향은 전자 서명을 사용하는 시스템의 보안을 크게 향상시킬 수 있는 스마트 카드와 USB 키를 사용하는 암호화 정보 보호를 위한 소프트웨어 및 하드웨어입니다.
저희 회사는 CryptoPro의 딜러이며 해당 딜러를 보유하고 있습니다.
CryptoPro CSP 제품 비용:
|
2019년에도 CryptoPro 제품을 사용하여 GOST R 34.10-2001로 작업하려면(2019년 1월 1일 이후 GOST R 34.10-2001 키에 액세스할 때 경고 창 비활성화 또는 금지) 다음 권장 사항을 적용해야 합니다.
- 경고 창 비활성화에 대한 권장 사항
- 향상된 키 제어 모드*에서 작동하는 CryptoPro CSP 4.0 사용자를 위한 GOST R.34.10-2001의 차단 작업 날짜 연기에 대한 권장 사항
- CryptoPro JCP 2.0 사용자를 위한 GOST R.34.10-2001 차단 작업 연기에 대한 권장 사항입니다.
*이 버전에서는 기본적으로 비활성화되어 있습니다. 자세한 내용은 ZhTYAI.00087-01 95 01. 이용 약관을 참조하세요.
CryptoPro CSP 3.9, 4.0 및 CryptoPro JCP 2.0의 운영 문서에는 2019년 1월 1일부터 GOST R 34.10-2001에 따라 전자 서명 형성이 금지된다는 내용이 명시되어 있습니다. 그러나 GOST R 34.10-2012로의 전환이 2020년 1월 1일까지 연기됨에 따라 당사는 이 날짜를 수정하는 적절한 통지를 러시아 FSB에 보냈습니다. 통지 승인에 관한 정보는 당사 웹사이트에 게시됩니다.
2019년 1월 1일부터 현재 출시된 모든 인증 버전의 CryptoPro CSP 3.9, 4.0 및 CryptoPro JCP 2.0에서 GOST R 34.10-2001(서명 확인 제외)을 사용하려고 하면 오류 또는 경고가 발생합니다(제품 및 작동 모드에 따라 다름). ), 2014년에 처음 채택된 GOST R 34.10-2012로의 전환 절차에 따라 2019년 1월 1일까지 진행됩니다. GOST R 34.10-2001 키를 사용할 때 오류/경고 창으로 인해 자동/자동 시스템이 작동하지 않을 수 있으므로 언급된 지침을 미리 적용하시기 바랍니다.
우리는 또한 당신에게 그 사실을 알려드립니다. 이 순간 CryptoPro CSP 4.0 R4 및 CryptoPro JCP 2.0 R2의 업데이트 버전에 대한 인증이 완료되었으며, 이는 당사 웹사이트에 발표될 예정입니다. 이러한 버전이 출시되면 업데이트하는 것이 좋습니다.
