programvara CryptoPro CSP Det är avsett att kontrollera systemets och applikationsprogramvarans integritet, att hantera viktiga element i systemet i enlighet med regleringen av skyddsmedel, godkännande och säkerställa den juridiska betydelsen av elektroniska dokument vid utbyte av dem mellan användare. Förutom krypto-leverantören inkluderar CryptoPro CSP CryptoPro TLS, CryptoPro EAP-TLS, CryptoPro Winlogon och CryptoPro återkallande leverantör.
Lösningen är avsedd för:
- godkännande och säkerställa den juridiska betydelsen av elektroniska dokument vid utbyte av dem mellan användare, använda förfarandena för att generera och verifiera elektroniska signaturer (EP) i enlighet med nationella standarder GOST R 34.10-2001 / GOST R 34.10-2012 (med GOST R 34.11-94 / GOST P 34.11-2012);
- säkerställa konfidentialitet och övervaka informationens integritet genom dess krypterings- och imiteringsskydd, i enlighet med GOST 28147-89;
- säkerställa äkthet, konfidentialitet och imiteringsskydd av TLS-protokollanslutningar;
- övervaka integriteten för system- och applikationsprogramvara för att skydda den från obehöriga förändringar och fel;
- hantering av viktiga element i systemet i enlighet med regleringen av skyddsutrustning.
Implementerbara algoritmer
- Alstrogrammet för generering av hashfunktionen implementeras i enlighet med kraven i GOST R 34.11-94 / GOST R 34.11-2012 “Informationsteknologi. Kryptografisk informationssäkerhet. Hashfunktionen. "
- Algoritmer för bildning och verifiering av elektroniska signaturer implementeras i enlighet med kraven i GOST R 34.10-2001 / GOST R 34.10-2012 “Informationsteknologi. Kryptografisk informationssäkerhet. Processerna för bildning och verifiering av elektroniska digitala signaturer. ”
- Algoritmen för kryptering / dekryptering av data och beräkning av införingskoden implementeras i enlighet med kraven i GOST 28147-89 “Information Processing Systems. Kryptografiskt skydd. ”
Vid generering av privata och offentliga nycklar är det möjligt att generera med olika parametrar i enlighet med GOST R 34.10-2001 / GOST R 34.10-2012.
När man genererar ett hashfunktionsvärde och kryptering är det möjligt att använda olika ersättningsnoder i enlighet med GOST R 34.11-94 och GOST 28147-89.
Stödda viktiga mediatyper
- disketter 3,5;
- smartkort med smartkortläsare som stöder PC / SC-protokollet;
- beröringsminnestabletter DS1993 - DS1996 med hjälp av Accord 4+-enheter, Sobol, Krypton elektronisk lås eller Touch-Memory DALLAS-tablettläsare (endast Windows-version);
- uSB-donglar (USB-tokens);
- flyttbara medier med USB-gränssnitt;
- windows-registret
- solaris / Linux / FreeBSD OS-filer.
| CSP 3.6 | CSP 3.9 | CSP 4.0 | CSP 5.0 | |
|---|---|---|---|---|
| Windows Server 2016 | x64 * | x64 ** | x64 | |
| Windows 10 | x86 / x64 * | x86 / x64 ** | x86 / x64 | |
| Windows Server 2012 R2 | x64 | x64 | x64 | |
| Windows 8.1 | x86 / x64 | x86 / x64 | x86 / x64 | |
| Windows Server 2012 | x64 | x64 | x64 | x64 |
| Windows 8 | x86 / x64 | x86 / x64 | x86 / x64 | |
| Windows Server 2008 R2 | x64 / itanium | x64 | x64 | x64 |
| Windows 7 | x86 / x64 | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Server 2008 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Vista | x86 / x64 | x86 / x64 | ||
| Windows Server 2003 R2 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows Server 2003 | x86 / x64 / itanium | x86 / x64 | x86 / x64 | x86 / x64 |
| Windows XP | x86 / x64 | |||
| Windows 2000 | x86 |
Situationen förändrades först 1990, då krypteringsstandarden GOST 28147-89 infördes. Ursprungligen hade algoritmen en spånskivhals och blev officiellt "helt öppen" först 1994.
Det är svårt att säga exakt när informationsgenombrottet gjordes exakt i rysk kryptografi. Troligtvis hände detta när Internet blev tillgängligt för allmänheten, varefter många material med beskrivningar av kryptografiska algoritmer och protokoll, artiklar om kryptanalys och annan information relaterade till kryptering började publiceras i nätverket.
Under omständigheterna kunde kryptografi inte längre förbli statens privilegium. Dessutom har utvecklingen av informationsteknologi och kommunikation krävt användning av kryptografiskt skydd av kommersiella företag och organisationer.
Idag till medel för kryptografiskt informationsskydd (CIPF) inkluderar: medel för kryptering, medel för imiteringsskydd, medel för elektronisk digital signatur, medel för kodning, medel för att producera nyckeldokument och dig själv nyckeldokument.
- skydd av personuppgifter informationssystem;
- skydd av företagets konfidentiella information;
- företags e-postkryptering;
- skapande och verifiering av digitala signaturer.
Användning av kryptografi och kryptografiskt skydd i ryska företag
1. Införandet av kryptokurser i skyddssystem för personuppgifter
Verksamheten i nästan alla ryska företag idag är förknippad med lagring och behandling av personuppgifter (PD) för olika kategorier, vars skydd lagstiftningen i Ryssland ställer ett antal krav. För genomförandet står företagets ledning i första hand inför behovet av att bildas hotmodeller personlig information och utveckling baserad på den system för skydd av personuppgifter, som bör innehålla ett kryptografiskt informationssäkerhetsverktyg.Det kryptografiska informationsskyddssystemet som implementerats i skyddet för personuppgifter har följande krav:
- Det kryptografiska verktyget ska fungera smidigt i samband med hårdvara och programvara som kan påverka uppfyllandet av kraven för det.
- För att säkerställa säkerheten för personuppgifter under behandlingen, bör kryptokurser validerade i certifieringssystemet i Rysslands FSB.
Således används kryptografiska skyddsverktyg nu effektivt av företag och organisationer för att skydda personliga uppgifter för ryska medborgare och är en av de viktigaste komponenterna i personuppgiftsskyddssystem.
2. Skydd av företagsinformation
Om användningen av krpitogarficheskie-medel i klausul 1 bestäms, först och främst av kraven i Rysslands lagstiftning, då i detta fall är företagsledningen själv intresserad av tillämpningen av CIPF. Med hjälp av ett krypteringsverktyg kan företaget skydda sin företagsinformation - information som representerar kommersiella hemligheter, immateriella rättigheter, operativ och teknisk information, etc.I dag, för effektiv användning i en företagsmiljö, bör ett krypteringsprogram tillhandahålla:
- datakryptering på en fjärrserver;
- stöd för asymmetrisk kryptografi;
- transparent kryptering;
- kryptering av nätverksmappar;
- förmågan att skilja åtkomsträttigheter till konfidentiell information mellan företagets anställda;
- möjligheten att lagra privata nycklar på externa lagringsmedier (tokens).
3. Elektronisk signatur
Elektronisk signatur (EP) idag är en fullfjädrad analog till en handskriven signatur och kan användas av juridiska och fysiska personer för att tillhandahålla juridisk kraft till ett digitalt dokument. Användningen av elektroniska dokument i elektroniska dokumenthanteringssystem ökar avsevärt hastigheten för att slutföra kommersiella transaktioner, minskar volymen av pappersbokföringsdokument och sparar tid för anställda. Dessutom minskar EP företagets kostnader för att ingå avtal, upprätta betalningsdokument, ta emot olika certifikat från myndigheter och mycket mer.Kryptografiska skyddsverktyg innehåller som regel funktionerna för att skapa och verifiera elektroniska signaturer. Följande krav ställs av sådan lagstiftning genom rysk lagstiftning:
När de skapar ES måste de:
- visa personen som undertecknar det elektroniska dokumentet innehållet i den information som han undertecknar;
- skapa elektronisk signatur först efter bekräftelse av den person som undertecknat operationens elektroniska dokument för att skapa elektronisk signatur;
- visa entydigt att den elektroniska signaturen har skapats.
- visa innehållet i ett elektroniskt dokument undertecknat med elektronisk signatur;
- visa information om ändringar i det signerade elektroniska dokumentets elektroniska dokument;
- ange personen som använder den elektroniska nyckeln som elektroniska dokument är undertecknade på.
4. E-postkryptering
För de flesta företag är e-post det primära kommunikationsmedlet mellan anställda. Det är ingen hemlighet att företagets e-post idag skickar en enorm mängd konfidentiell information: kontrakt, fakturor, information om företagets produkter och prissättningspolicyer, finansiella indikatorer etc. Om sådan information är tillgänglig för konkurrenter kan detta orsaka betydande skador på företaget tills dess verksamhet upphör.Därför är skyddet av företagspost en oerhört viktig komponent för att säkerställa ett företags informationssäkerhet, vars implementering också är möjlig tack vare användningen av kryptografiska och krypteringsverktyg.
De flesta e-postklienter som Outlook, Thinderbird, The Bat! etc., låter dig konfigurera utbyte av krypterade meddelanden baserade på offentliga och privata nyckelcertifikat (certifikat i respektive format X.509 och PKCS # 12) skapade med hjälp av kryptografiska skyddsverktyg.
Det är också värt att nämna möjligheten för kryptografiska verktyg att fungera som certifieringscentra (CA). Huvudsyftet med certifieringscentret är att utfärda krypteringscertifikat och bekräfta äktheten för krypteringsnycklar. I enlighet med rysk lag är CA: er uppdelade i klasser (KS1, KS2, KS3, KV1, KV2, KA1), som var och en har ett antal krav. I detta fall får klassen för krsom används i CA-tillgångarna inte vara lägre än motsvarande CA-klass.
Använda CyberSafe Enterprise
När vi utvecklade CyberSafe Enterprise-programmet försökte vi ta hänsyn till alla ovanstående funktioner, inklusive dem i programmets funktionella uppsättning. Så det stöder de funktioner som anges i punkt 2 i denna artikel, e-postkryptering, skapande och verifiering av digitala signaturer, samt fungerar som ett certifieringscenter.Tillgänglighet på CyberSafe server för offentlig nyckel gör det möjligt för företag att organisera ett bekvämt nyckelutbyte mellan sina anställda, där var och en av dem kan publicera sin offentliga nyckel, samt ladda ner andra användares offentliga nycklar.
Vidare kommer vi att studera mer i detalj om möjligheten att införa CyberSafe Enterprise i skyddssystem för personuppgifter. Denna möjlighet finns tack vare stödet av krypto-leverantörsprogrammet CryptoPro CSP, certifierat av Ryska federationens säkerhetstjänst som kryptografisk informationsskyddsklasser KS1, KS2 och KS3 (beroende på version) och anges i avsnitt 5.1 "Riktlinjer för att säkerställa säkerheten för personuppgifter med cryptocurrency betyder":
"Inbäddning av kryptokurser i klass KC1 och KC2 utförs utan kontroll av Rysslands FSB (om denna kontroll inte föreskrivs i referensvillkoren för informationssystemets utveckling (modernisering))."
Således, med integrering av det integrerade CryptoPro CSP CIP, kan CyberSafe Enterprise-programmet användas i personuppgiftsskyddssystemet i klasserna KC1 och KC2.
När du har installerat CryptoPro CSP på användarens dator när du skapar ett certifikat i CyberSafe Enterprise kommer det att vara möjligt att skapa ett CryptoPro-certifikat:
När skapandet av CyberSafe-certifikatet är klar skapas också CryptoPRO-nycklarna, visas på din länk och är tillgängliga för användning:
I händelse av att det finns ett behov av att exportera CryptoPro-nycklar till en separat fil, kan detta göras med hjälp av standardfunktionen för CyberSafe-nyckelexport:
Om du vill kryptera filer för överföring till andra användare (eller underteckna dem med din digitala signatur) och använda CryptoPro-nycklar för detta, från listan över tillgängliga kryptografiska leverantörer måste du välja CryptoPro:
Om du vill använda CryptoPro-nycklar för transparent filkryptering bör du i certifikatvalfönstret också ange CryptoPro som kryptografisk leverantör:
I CyberSafe är det möjligt att använda CryptoPRO och GOST-algoritmen för att kryptera logiska skivor / partitioner och skapa virtuella krypterade skivor:
Baserat på CryptoPro-certifikat kan e-postkryptering också konfigureras. I KryptoPro CSP implementeras algoritmerna för att generera och verifiera den elektroniska signaturen i enlighet med kraven i standarden GOST R 34.10-2012, datakryptering / dekrypteringsalgoritmen implementeras i enlighet med kraven i standarden GOST 28147-89.
Idag är CyberSafe det enda programmet som kombinerar funktionerna för krypteringsfiler, nätverksmappar, logiska enheter, e-post och förmågan att arbeta som ett certifieringscenter med stöd för krypteringsstandarder GOST 28147-89 och GOST R 34.10-2012.
dokument:
1. Federal lag "om personuppgifter" daterad 27 juli 2006 nr 152-FZ.2. Förordningen om att säkerställa säkerheten för personuppgifter under deras behandling i personuppgifter informationssystem, godkänd genom dekret från Ryska federationen regering av 17 november 2007 nr 781.
3. Metodologiska rekommendationer för att säkerställa säkerheten för personuppgifter med hjälp av cryptocururrency under deras behandling i personuppgifter informationssystem med hjälp av automatiseringsverktyg, godkänd av ledningen för 8: e centret i Rysslands FSB den 21 februari 2008 nr 149 / 54-144.
4. Förordningen om utveckling, produktion, försäljning och drift av krypteringsmedel (kryptografiska) informationsskydd, godkänd av den ryska federationens federala säkerhetstjänst av den 9 februari 2005 nr 66.
5. Krav för elektroniska signaturmedel och Krav för medel för ett certifieringscenter, godkända av order av den ryska federationen för säkerhetstjänst av den 27 december 2011 nr 796.
Metoder för kryptografiskt skydd av information från skyddsklasserna KS2 och KS1 i enlighet med kraven i Rysslands FSB skiljer sig åt de faktiska kapaciteten för attackskällorna och de åtgärder som vidtagits för att motverka attacker.
1. Aktuella kapacitet hos attackkällor
KSPS-klass kr(CPSI) används för de faktiska kapaciteten för attackkällor, nämligen för att självständigt skapa attackmetoder, förbereda och genomföra attacker endast utanför den kontrollerade zonen.
Kryptografisk informationsskyddsklass KS2 används med aktuella funktioner för attackkällor:
- självständigt genomföra skapandet av attackmetoder, förberedelser och genomförande av attacker endast utanför den kontrollerade zonen;
- självständigt genomföra skapandet av attackmetoder, förberedelser och genomförande av attacker inom den kontrollerade zonen, men utan fysisk tillgång till hårdvaran som det kryptografiska informationsskyddssystemet och deras funktionsmiljö implementeras (SF).
Således skiljer sig KS2-klassen kryptografiskt informationsskyddssystem från KS1-klassen när det neutraliserar den faktiska förmågan hos attackkällor att oberoende skapa attackmetoder, förbereda och genomföra attacker inom den kontrollerade zonen, men utan fysisk tillgång till hårdvaran som det kryptografiska informationsskyddssystemet och SF är implementerat på.
2. Varianter av utförande av kryptografisk informationsskyddsklass för skydd KS3, KS2 och KS1
Alternativ 1, detta är den grundläggande programvaran för kryptografisk informationsskydd som ger skyddsklass KS1.
Alternativ 2, detta är en kryptografisk informationsskyddsklass KS2, som består av en grundläggande kryptografisk informationsskyddsklass KS1 tillsammans med en certifierad hårdvaru-mjukvarumodul med pålitlig lastning (APMDZ).
Alternativ 3 är en kryptografisk informationsskyddsklass KS3, bestående av en kryptografisk informationsskyddsklass KS2 tillsammans med specialiserad programvara för att skapa och kontrollera en stängd programvarumiljö.
Således skiljer sig programvaran för KS2-kryptografisk informationsskydd från KS1 endast i tillägget av en certifierad APMDZ till den kryptografiska informationsskyddsklassen KS1. Skillnaderna mellan KS3-klass CPS från KS1-klassen är användningen av KS1-klass CIPF tillsammans med certifierad APMDZ och specialiserad programvara för att skapa och övervaka en stängd mjukvarumiljö. Och skillnaden mellan kryptografisk informationsskyddsklass KS3 och KS2-klassen är användningen av kryptografisk informationsskyddsklass KS2 tillsammans med specialiserad mjukvara för att skapa och övervaka en stängd mjukvarumiljö.
3. Motåtgärder
KS2-kryptografiska informationsskyddsåtgärder vidtar inte åtgärder för att motverka attacker, som är obligatoriska för drift när kryptografisk informationsskydd av KS1-klass används, nämligen:
- listan över personer som har rätt till tillgång till lokalerna har godkänts.
- listan över personer som har rätt till tillgång till lokalerna där kryptografiska informationsskyddsanläggningar finns har godkänts.
- reglerna för tillgång till lokalerna där de kryptografiska informationsskyddsanläggningarna finns, under arbetstid och icke-arbetstid, samt i nödsituationer;
- tillgång till det kontrollerade området och lokalerna där resurserna är belägna informationssystem för personuppgifter (ISPDn) och (eller) CPSI, tillhandahålls i enlighet med åtkomstkontrollsystemet;
- information om fysiska säkerhetsåtgärder för anläggningar där ISPDn finns finns tillgänglig för en begränsad krets av anställda;
- dokumentation om kryptografiskt informationsskyddscertifikat lagras av kryptografisk informationsskyddsansvarig i ett metallskåp (skåp);
- de lokaler där dokumentationen för det kryptografiska informationsskyddssystemet, det kryptografiska informationsskyddssystemet och komponenterna i SF finns är utrustade med ingångsdörrar med lås för att säkerställa att dörrarna till lokalerna är låsta och att dörrarna är låsta för godkänd passering;
- representanter för tekniska tjänster, tjänster och andra supporttjänster när de arbetar i lokalerna (racken) där de kryptografiska informationsskyddsanläggningarna är belägna, och anställda som inte är användare av det kryptografiska informationsskyddssystemet är endast i närvaro av operativ personal;
- anställda som är användare av ISPD, men inte användare av CIPF, informeras om arbetsreglerna på ISPD och ansvaret för bristande efterlevnad av reglerna för att säkerställa informationssäkerhet;
- användare av kryptografiskt informationsskydd informeras om arbetsreglerna i ISPD, reglerna för kryptografiskt informationsskydd och ansvaret för bristande efterlevnad av informationssäkerhetsreglerna;
- registrering och redovisning av användaråtgärder med personuppgifter utförs;
- övervakning av informationssäkerhetens integritet.
CryptoPro har utvecklat ett komplett utbud av programvara och hårdvaruprodukter för att säkerställa integritet, författarskap och konfidentialitet för information med elektronisk signatur och kryptering för användning i olika miljöer (Windows, Unix, Java). En ny linje med företagets produkter är hårdvara och mjukvara kryptografiskt skydd av information med smartkort och USB-nycklar, vilket kan öka säkerheten för system som använder elektroniska enheter betydligt.
Vårt företag är en återförsäljare av CryptoPro och har rätt.
CryptoPro CSP-produkter Kostnad:
|
Observera att för att fortsätta arbeta med GOST R 34.10-2001 2019 (stänga av varningsfönster eller förbud vid åtkomst till GOST R 34.10-2001-nycklar efter 1 januari 2019) med CryptoPro-produkter bör följande rekommendationer tillämpas:
- Rekommendationer för att inaktivera varningsfönster;
- Rekommendationer avseende uppskjutande av datumet för blockeringsarbetet med GOST R.34.10-2001 för användare av CryptoPro CSP 4.0 som fungerar i läget för förbättrad nyckelkontroll *;
- Rekommendationer för överföring av datum för blockeringsarbete med GOST R.34.10-2001 för användare av CryptoPro JCP 2.0.
* Inaktiverad som standard i dessa versioner. Mer information i ZHTYA.00087-01 95 01. Användarvillkor.
Den operativa dokumentationen för CryptoPro CSP 3.9, 4.0 och CryptoPro JCP 2.0 anger uttryckligen ett förbud mot bildandet av en elektronisk signatur enligt GOST R 34.10-2001 från och med 1 januari 2019. Men i samband med uppskjutningen av övergången till GOST R 34.10-2012 fram till 1 januari 2020 skickade vi lämpliga meddelanden till Rysslands FSB och korrigerade detta datum. Information om godkännande av aviseringar kommer att publiceras på vår webbplats.
Ett försök att använda GOST R 34.10-2001 (med undantag för verifiering av signaturen) på alla certifierade versioner av CryptoPro CSP 3.9, 4.0 och CryptoPro JCP 2.0 certifierade hittills, kommer att orsaka ett fel eller varning från 1 januari 2019 (beroende på produkt och driftsläge), i enlighet med med övergången till GOST R 34.10-2012 som ursprungligen antogs 2014 fram till 1 januari 2019. Fel / varningsfönster kan leda till att automatiska / automatiserade system inte fungerar när de använder nycklarna GOST R 34.10-2001, i samband med vilken vi ber dig att tillämpa instruktionerna i förväg.
Vi informerar dig också om att certifiering av uppdaterade versioner av CryptoPro CSP 4.0 R4 och CryptoPro JCP 2.0 R2 för närvarande håller på att slutföras, vilket kommer att meddelas på vår webbplats. Vi rekommenderar att du uppdaterar till dessa versioner efter utgivningen.
