|
|
|
Криптографические продукты
|
Компания «Крипто-Про» была создана в 2000 году из числа прикладных программистов, криптографов и специалистов по инженерно-криптографическому анализу, имеющих богатый опыт разработки средств криптографической защиты информации и прикладных систем с их использованием.
При создании компании ставилась цель максимально учесть существующую тенденцию производителей системного и прикладного программного обеспечения в интеграции средств операционных систем и прикладного программного обеспечения со средствами криптографической защиты. Именно, исходя из этих положений, основное направление деятельности компании разработка средств защиты информации и развитие инфраструктуры открытых ключей (Public Key Infrastructure) на основе использования международных рекомендаций и российских криптографических алгоритмов.
Развивая направление интеграции, компания «Крипто-Про» в 2001 разработала первый криптографический продукт «КриптоПро CSP», основной чертой, отличающей его от аналогичных разработок, является то что, реализуя российские криптографические алгоритмы, продукт разработан в соответствии с криптографическим интерфейсом корпорации Microsoft Cryptographic Service Provider (CSP).
В настоящее время компания продолжает развивать направление интеграции и на основе заложенной базы создает новые продукты и решения, активно участвует в процессе стандартизации криптографических средств, взаимодействует с ведущими российскими и мировыми производителями.
Деятельность компании основывается на лицензиях ФАПСИ, Государственной технической комиссии, ФСБ в области защиты информации.
1. Средства криптографической защиты информации
1.1. Интеграция с операционной системой Windows
При разработке средства криптографической защиты информации «КриптоПро CSP» учитывалась существующая в операционной системе Windows архитектура использования криптографических функций (см. рис. 1). В соответствии с этой архитектурой собственно криптографические функции реализуются через специфицированный корпорацией Microsoft интерфейс Cryptographic Service Providers. При этом возможно подключение дополнительных криптографических модулей, удовлетворяющих формату CSP и SSPI для использования, как в составе стандартного программного обеспечения, так и для встраивания в прикладное программное обеспечение.
Рисунок 1. Архитектура криптографических функций в ОС Windows
В отличие от существующих штатно в операционной системе Windows криптопровайдеров, «КриптоПро CSP» позволяет в качестве носителей личных закрытых ключей использовать самые разнообразные аппаратные средства в число которых входят:
Средство криптографической защиты информации «КриптоПро CSP» имеет сертификаты ФАПСИ, в соответствии с которыми оно может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.
Созданная в 2002 году версия 2.0 средства криптографической защиты информации «КриптоПро CSP» включила в себя модификации, связанные с улучшением внешнего интерфейса продукта, производительностью, поддержкой новых операционных систем и реализацией нового российского ГОСТа на электронно-цифровую подпись, основанную на эллиптических кривых. СКЗИ «КриптоПро CSP v.2.0» так же имеет сертификаты ФАПСИ.
Реализуемые криптографические алгоритмы СКЗИ «КриптоПро CSP»:
1.2. Модуль сетевой аутентификации КриптоПро TLS
Кроме средства криптографической защиты информации компания «Крипто-Про» в соответствии с существующими криптографическими интерфейсами операционной системы Windows (см. рис. 1) реализовала модуль сетевой аутентификации «КриптоПро TLS», который предназначен для обеспечения аутентификации клиентских и серверных компонент распределенных приложений и обеспечения конфиденциальности передаваемых данных при взаимодействии по протоколу HTTP/S.
Данный программный продукт представляет собой реализацию транспортного протокола TLS 1.0 (RFC 2246), с использованием криптографических функций СКЗИ «КриптоПро CSP» и значительно упрощает процесс создания защищенных распределенных приложений и систем, использующих протоколы HTTP/S, TCP/IP и стандартные программные средства обеспечения сетевого взаимодействия Internet Explorer и IIS (Internet Information Server).
1.3. Использование криптографических интерфейсов
Исходя из особенности реализации «КриптоПро CSP», возможны следующие способы использования «КриптоПро CSP».
1.3.1. Использование «КриптоПро CSP» в стандартном программном обеспечении
С использованием «КриптоПро CSP» появляется возможность применения российских криптографических алгоритмов для обеспечения конфиденциальности, целостности и авторства информации в следующих программных продуктах:
1.3.2. Встраивание «КриптоПро CSP»
Иерархическая архитектура криптографических функций в операционной системе Windows позволяет использовать российские криптографические алгоритмы, реализованные в «КриптоПро CSP» на самых различных уровнях.
1.3.2.1. Подключение на уровне CSP
«КриптоПро CSP» может быть непосредственно подключено к прикладному программному обеспечению путем загрузки криптографического модуля. Для этих целей в комплект поставки включается «Руководство программиста», описывающее состав функций и тестовое ПО. При такой реализации прикладному ПО доступен лишь ограниченный набор низкоуровневых криптографических функций, соответствующий интерфейсу Microsoft CSP.
1.3.3. Подключение на уровне CryptoAPI 2.0.
«КриптоПро CSP» может быть подключено к прикладному программному обеспечению (как и любой другой криптопровайдер, поставляемый с ОС Windows) через интерфейс CryptoAPI 2.0, подробное описание которого приведено в программной документацией MSDN (Microsoft Developer Network). В этом случае способ выбора криптографического алгоритма в прикладном ПО может определяться информацией, описывающий алгоритм открытого ключа отправителя/получателя, содержащийся в сертификатах открытых ключей Х.509.
1.3.4. Использование COM интерфейсов
«КриптоПро CSP» может быть использовано из COM интерфейсов, разработанных корпорацией Microsoft: CAPICOM, Certificate Services, Certificate Enrollment Control.
Certificate Enrollment Control
COM интерфейс Certificate Enrollment Control предназначен для использования ограниченного количества функций CryptoAPI 2.0, связанных с генерацией ключей, запросов на сертификаты и обработкой сертификатов, полученных от Центра Сертификации с использованием языков программирования Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi. Именно этот интерфейс используют различные публичные Центры Сертификации (Verisign, Thawte и т. д.) при формировании сертификатов пользователей на платформе Windows.
CAPICOM
CAPICOM предоставляет COM интерфейс, позволяющий использовать основные функции CryptoAPI 2.0. Этот компонент является добавлением к уже существующему COM интерфейсу Certificate Enrollment Control. С выпуском данного компонента стало возможным использование функций формирования и проверки электронной цифровой подписи, построения и проверки цепочек сертификатов, взаимодействия с различными справочниками сертификатов (включая Active Directory) с использованием Visual Basic, C++, JavaScript, VBScript и среды разработки Delphi. Использование CAPICOM позволяет реализовать функциональность «тонкого» клиента в интерфейсе Internet Explorer.
Компонент CAPICOM является свободно распространяемым и поставляется в составе Redistributable инструментария разработчика Microsoft Platform SDK.
1.4. Перспективы развития
Одновременно с разработкой версии 2.0 для операционных систем семейства Windows компания «Крипто-Про» реализовало средство криптографической защиты для операционной системы Solaris, причем с учетом использования как на платформе Solaris, так и на платформе Intel, что позволило значительно расширить область применения сертифицированных средств криптографической защиты информации при создании современных информационных систем.
С начала 2003 года компания «Крипто-Про» проводит работы по реализации криптографического интерфейса «КриптоПро CSP» для операционных систем Windows 2003, Solaris 9, Red Hat Linux 7, 8, FreeBSD 5, AIX. Появление предварительных версий продуктов планируются в 3 квартале.
2. Обеспечение технологии использования сертификатов открытых ключей
Ведущие мировые производители системного и прикладного программного обеспечения активно интегрируют решения, основанные на инфраструктуре открытых ключей в операционные системы и приложения. В этом отношении операционная система Windows не является исключением, а скорее наоборот именно в операционной системе Microsoft Windows 2000 в полном объеме реализована инфраструктура открытых ключей, которая представляет собой интегрированный набор служб и средств администрирования для создания и развертывания приложений, применяющих криптографию с открытыми ключами, а также для управления ими.
Реализация «КриптоПро CSP» в соответствии с интерфейсом Microsoft делает возможным применение российских криптографических алгоритмов для реализации базовых служб ИОК на основе Microsoft Windows, а так же для дальнейшего развития продуктов и решений.
Приведенный ниже рисунок (см. рис. 2) кратко иллюстрирует архитектуру службы сертификации, реализованную в операционной системе Windows 2000. Средства расширения функциональности службы сертификации предоставляют набор методов, позволяющих изменять и развивать функциональность для удовлетворения потребности конкретной прикладной системы или технологии. Эти средства позволяют интегрировать службу сертификации с различными сетевыми справочниками и приложениями, формировать состав сертификатов открытых ключей, модифицировать процесс управления сертификатами.
Рисунок 2. Сервис сертификации ОС Windows 2000
2.1. Удостоверяющий центр «КриптоПро УЦ»
Компания «Крипто-Про», базируясь на основе технологии Microsoft, реализовало программный комплекс, совмещающее преимущества выбранной платформы, международные рекомендации и требования российского законодательства.
Программное обеспечение КриптоПро УЦ позволяет построить многоуровневую распределенную структуру удостоверяющего центра, обеспечивающую:
Удостоверяющий центр «КриптоПро УЦ»
Удостоверяющий центр КриптоПро УЦ состоит из следующих компонент:
2.1.1. Преимущества использования
2.1.1.1. Масштабируемость системы
Наличие в составе программного обеспечения Центра Регистрации программного интерфейса для работы с внешними приложениями третьих фирм позволяет создавать интегрированные решения.
Программный интерфейс предоставляет возможность встроить в сторонние программные продукты функции по управлению объектами Центра Регистрации (учетные записи пользователей, сертификаты, запросы от пользователей и т. д.). Такое встраивание позволяет оптимизировать информационные потоки в прикладных системах за счет совмещения регистрации пользователей в прикладной системе с регистрацией пользователя на Удостоверяющем Центре, упрощения авторизации абонентов в системах защищенного документооборота и так далее.
Реализация программного интерфейса Центра Регистрации с использованием защищенного транспортного протокола TLS и строгой аутентификации взаимодействующих компонентов на основе сертификатов открытых ключей, обеспечивает авторизацию клиентских и серверных частей интегрированного приложения и обеспечивает конфиденциальность передаваемых данных.
2.1.1.2. Обслуживание одним нескольких Центров Регистрации
Поддержка нескольких Центров Регистрации в составе одного комплекса Удостоверяющего Центра становится актуальна в случае наличия различных бизнес-моделей управления регистрационными записями пользователей и их ключевой информации в прикладных системах предприятия. Изменяя настройки и режимы работы в Центрах Регистрации, обслуживающих соответствующие прикладные системы, в соответствии с предъявляемыми требованиями достигается оптимизация системы управления учетной информации пользователей, ключами и сертификатов открытых ключей.
2.1.1.3. Регистрация пользователя
Программное обеспечение комплекса «КриптоПро УЦ» обеспечивает следующие режимы работы комплекса:
Режим централизованной регистрации пользователей. Работа Удостоверяющего Центра в данном режиме обеспечивает более строгую политику идентификации пользователей, являющихся владельцами сертификатов открытых ключей.
Режим распределенной (удаленной) регистрации пользователей. Работа Удостоверяющего Центра в данном режиме обеспечивает обслуживание пользователей, территориально удаленных от Удостоверяющего Центра. Регистрация пользователей происходит на основании запросов на регистрацию, управление которыми осуществляется администратором Центра Регистрации с использованием программного обеспечения своего АРМа.
Централизованное управление ключами и сертификатами открытых ключей пользователей. При работе комплекса в данном режиме, доверенное лицо Удостоверяющего Центра в лице администратора Центра Регистрации, формирует для пользователей ключевые носители, содержащие ключи (подписи и/или шифрования), сертификаты открытого ключа, и передает пользователям лично или по доверенным каналам связи.
Распределенное управление пользователями личными ключами и сертификатами открытых ключей. В данном режиме, пользователи посредством программного обеспечения АРМа пользователя, имеют возможность на своем рабочем месте выполнить генерацию ключей, сформировать запрос на сертификат открытого ключа и отправить данный запрос в Центр Регистрации. Дальнейшее управление запросами и выпуском сертификатов осуществляется администратором Центра Регистрации.
Программное обеспечение комплекса позволяет работать также и в комбинированных режимах (например, совмещая централизованную и распределенную модель регистрации пользователей), достигая необходимых требований политики предприятия.
Взаимодействие компонент Удостоверяющего Центра посредством защищенных соединений с использованием протокола HTTP/S обеспечивает территориально-распределенную модель Удостоверяющего Центра. Использование в качестве системы телекоммуникаций сеть Интернет позволяет значительно удешевить реализацию такой модели Удостоверяющего Центра без существенного ослабления требований по безопасности.
2.1.2. Разбор конфликтных ситуаций
Применение электронной цифровой подписи в автоматизированной системе может приводить к конфликтным ситуациям, заключающимся в оспаривании сторонами (участниками системы) авторства и/или содержимого документа, подписанного электронной цифровой подписью (ЭЦП).
Разбор подобных конфликтных ситуаций в соответствии с действующим законодательством и особенностями формирования самой электронной цифровой подписи требует применения специального программного обеспечения для выполнения проверок и документирования данных, используемых при выполнении процедуры проверки соответствия ЭЦП содержимому электронного документа.
Для разбора конфликтных ситуаций, связанных с использованием ЭЦП, подтверждения подлинности электронной цифровой подписи в электронном документе и в выданных УЦ сертификатов, в состав УЦ входит АРМ разбора конфликтных ситуаций.
Проверка изданного сертификата открытого ключа подписи включает в себя выполнение следующих действий:
При проверке ЭЦП издателя, верификации цепочки сертификатов, отсутствии сертификата в CRL, авторство издателя считается установленным.
3. Совместимость криптографических средств российских разработчиков
Компания «Крипто-Про» последовательно проводит курс на совместимость средств криптографической защиты российских производителей. В 2001 году компанией был разработан проект «Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата X.509 и электронные документы формата CMS», который описывает способ представления открытых ключей и электронной цифровой подписи при использовании ГОСТ Р 34.1094, ГОСТ Р 34.1194 в сертификатах открытых ключей формата X.509.
До настоящего времени, сертификаты, выдаваемые удостоверяющими центрами, поддерживающими средства криптографической защиты информации различных российских производителей, оказывались несовместимы между собой, даже если они придерживались единого формата X.509 и реализовали один и тот же криптографический стандарт ЭЦП. Соответственно, сертификаты удостоверяющего центра, построенного на базе одного СКЗИ, не могли обслуживать криптосистемы, построенные на базе других СКЗИ, а подпись, сформированная одним СКЗИ, не могла быть проверена другим СКЗИ. Таким образом, в силу вышеупомянутых причин, назрела насущная необходимость для принятия единого стандарта на формат представления параметров алгоритма ЭЦП.
Разрешению этих проблем и было посвящено подписание соглашения о сотрудничестве между следующими организациями: ФГУП НТЦ «Атлас» , ООО «Крипто-Про» , ООО «Фактор-ТС» , ЗАО «МО ПНИЭИ» и ОАО «Инфотекс» , ЗАО Санкт-Петербургский Региональный Центр Защиты Информации и ООО «Криптоком».
В рамках соглашения, стороны договорились об объединении усилий в целях достижения взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных средств криптографической защиты, реализующих алгоритмы ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.
Так же, стороны пришли к соглашению разработать рекомендации по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов, криптографических сообщений с учетом использования алгоритмов и параметров, приведенных в ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.1 1-94 и ГОСТ 28147-89.
До появления стандартов стороны пришли к согласию использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленных в документе: «Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS», разработанного ООО «Крипто-Про».
4. Интеграция с международными решениями
Реализация «КриптоПро CSP» в соответствии со стандартизованным интерфейсом и последовательная деятельность компании на совместимость российских криптографических средств привели к тому, что ведущие мировые производители заявили о поддержке российских криптографических алгоритмов в составе своих продуктов.
В настоящее время компания RSA Security, стоящая у истоков «коммерческой» криптографии, выпустила версию программного комплекса RSA Keon 6.5, реализующего функциональность удостоверяющего центра сертификатов открытых ключей с поддержкой российских. Процесс интеграции «КриптоПро CSP» и RSA Keon 6.5 производился при активной поддержке компании Демос.
Другой компанией, объявившей о встраивании «КриптоПро CSP» в свои продукты стала Baltimore Technologies, которая при содействии системного интегратора НИП Информзащита, анонсировала выпуск удостоверяющего центра Unicert.
Совместимость российских средств защиты и интеграция разработок компании «Крипто-Про» с продукцией мировых лидеров открывает возможность стандартизации и использования российских криптографических средств защиты.
Кроме разработки средств криптографической защиты информации компания «Крипто-Про» активно содействует процессу обучения использования данных средств. Основным партнером компании является Учебный Центр «ИНФОРМЗАЩИТА», который является одним из ведущих российских центров обучения по вопросам компьютерной и информационной безопасности.
В апреле этого года в Учебном Центре состоялся выпуск первой группы слушателей нового четырехдневного курса «Использование ЭЦП в PKI на основе Удостоверяющего центра КриптоПро», разработанного совместно с компанией «Крипто-Про». Кроме этого в программе учебного курса присутствуют и другие занятия, раскрывающие теоретические и практические аспекты использования криптографической защиты и PKI с использованием продуктов компании «Крипто-Про».
Являясь поставщиком решений в области криптографических средств защиты информации, «Крипто-Про» активно взаимодействует с разработчиками прикладных систем и системными интеграторами.
К числу прикладных систем, использующих продукты компании относятся.
Системы Клиент банк
Системы Трейдинга
Системы документооборота
Электронный архив
LanDocs система автоматизации делопроизводства, ведения архивов электронных документов и поддержки деловых процессов (Ланит)
Системы передача данных
Курьер-Про (Валидата)
Комплекс MDCryptoMail Интеграция электронной почты Lotus Domino (Мастер Домино)
Системы сдачи отчетности
Комплекс программ СКБ Kонтур (СКБ Контур)
Система обмена электронными документами «Банк-Клиент» КОМИТА КУРЬЕР (КОМИТА)
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP