Научная статья на тему 'Методология выбора средств криптографической защиты информации для информационно-телекоммуникационной системы'

Методология выбора средств криптографической защиты информации для информационно-телекоммуникационной системы Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
721
136
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СИСТЕМЫ (ИТС) / СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ (СКЗИ) / ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN) / ОРГАН КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Майшев Вадим Владимирович

Рассмотрены основные критерии и методология выбора средств криптографической защиты информации (СКЗИ) в условиях государственного регулирования применения шифровальных систем в Российской Федерации.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Methodology of the choice of the means of cryptographic protection to information for information-telecommunication system

Main criteria and methodology of the choice means of cryptographic protection to information are considered in work in condition of the government regulation of the using the cryptographic systems in Russian Federation.

Текст научной работы на тему «Методология выбора средств криптографической защиты информации для информационно-телекоммуникационной системы»

В. В. Майшев

ПРАВОВЕДЕНИЕ

Кроме того, стороны пришли к соглашению разработать рекомендации по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов, криптографических сообщений с учетом использования алгоритмов и параметров, приведенных в российских ГОСТах.

До появления стандартов участвующие стороны пришли к согласию использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленных в документе «Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS», разработанном ООО «Крипто-Про».

Среди существующих решений в рассматриваемой предметной области можно выделить предложения и реализации ведущих разработчиков и интеграторов: АНКАД, МО ПНИЭИ, Крипто-Про, ЛАН-Крипто, ЭЛВИС+, Инфотекс, Сигнал-КОМ, АМИКОН, ЛИССИ, ИнформЗащита, RSA-Security и Фактор-ТС.

Анализ предлагаемых на рынке решений и практический опыт построения защищенных информационно-телекоммуникационных систем приводят к обоснованию оптимальности применения технологий, сочетающих в себе как полнофункциональные информационно-телекоммуникационные подсистемы (почтовый сервер, файл-сервер, WWW-сервер, маршрутизатор и т.д.), так и встроенные сертифицированные в соответствии с российскими требованиями подсистемы защиты информации (межсетевой экран, криптографическое ядро и инфраструктура открытых ключей). Примером такой технологии является Технология ДИОНИС, предлагаемая НПП Фактор-ТС.

Подводя итог, можно прогнозировать дальнейший рост интереса к технологиям применения асимметричных криптографических систем, в том числе развитие инфраструктуры открытых ключей и систем виртуальных частных сетей (VPN).

Поступила в редакцию 17.12.04

V. V. Mayshev

Methodology of the choice of the means of cryptographic protection to information for information-telecommunication system

Main criteria and methodology of the choice means of cryptographic protection to information are considered in work in condition of the government regulation of the using the cryptographic systems in Russian Federation.

Майшев Вадим Владимирович Удмуртский государственный университет 426034, Россия, г. Ижевск, ул. Университетская, 1 (корп. 4)

Методология выбора средств криптографической ПРАВОВЕДЕНИЕ

При выборе конкретной технологии помимо финансовых аспектов основными критериями являются функциональность, комплексность защиты, удобство использования и администрирования предлагаемых разработчиками средств защиты (в т.ч. СКЗИ), совместимость с существующими в организации информационно- телекоммуникационными системами, функциями распределения криптографических ключей и соответствие применяемых алгоритмов установленным в России требованиям.

Основной причиной практической невозможности применения зарубежных систем является жесткое регулирование использования криптографических средств: с одной стороны, употребление в России алгоритмов, соответствующих требованиям ФАПСИ, а с другой - ограничения на вывоз из США и других стран продукции так называемой «сильной криптографии».

Важной проблемой является совместимость продуктов, использующих электронную цифровую подпись и соответствующую инфраструктуру открытых ключей в прикладных системах организации (электронный документооборот, электронная почта, электронный бизнес, банковские платежные системы и т.д.) как необходимую основу для их защиты.

Несмотря на принятый в начале 2002 г. закон «Об электронной цифровой подписи», призванный обеспечить правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе и имеет юридическое значение в рамках отношений, указанных в сертификате ключа подписи, процесс развития системы электронной подписи на федеральном уровне движется с большим трудом. Одной из основных проблем является отсутствие единого стандарта на цифровые сертификаты открытых ключей.

В настоящее время сертификаты, выдаваемые удостоверяющими центрами, использующими в своей основе средства криптографической защиты информации различных российских производителей, являются несовместимыми между собой, даже если они придерживаются единого формата X.509 и реализовали один и тот же криптографический стандарт ЭЦП (ГОСТ Р 34.10-94 ). Таким образом, в силу отмеченных причин в России назрела необходимость для принятия единого стандарта на формат представления параметров алгоритма ЭЦП.

В начале декабря 2002 г. ведущие российские компании-разработчики решений в области информационной безопасности ФГУП НТЦ «Атлас», ООО «Крипто-Про», ООО «Фактор-ТС», ЗАО «МО ПНИЭИ» и ОАО «Инфо-текс» договорились об объединении усилий в целях достижения взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных СКЗИ, реализующих алгоритмы ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 и ГОСТ 28147-89. В марте 2003 г. к соглашению присоединились еще две организации - ЗАО «Санкт-Петербургский региональный центр защиты информации» и ООО «Криптоком».

ВЕСТНИК УДМУРТСКОГО УНИВЕРСИТЕТА______________

ПРАВОВЕДЕНИЕ

УДК 681.3.06 В.В. Майшев

МЕТОДОЛОГИЯ ВЫБОРА СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЫ

Рассмотрены основные критерии и методология выбора средств криптографической защиты информации (СКЗИ) в условиях государственного регулирования применения шифровальных систем в Российской Федерации.

Ключевые слова: информационно-телекоммуникационные системы (ИТС), средства криптографической защиты информации (СКЗИ), виртуальные частные сети (VPN), орган криптографической защиты.

Рассмотрим современные тенденции построения защищенных систем передачи информации, основанные на использовании средств криптографической защиты информации (СКЗИ).

Для независимости от прикладных протоколов и приложений защищенные сети передачи данных формируются на одном из уровней модели OSI - канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации виртуальных частных сетей (VPN, Virtual Private Network), как PPTP (Point-To-Point Tunneling Protocol), L2F (Layer 2 Forwarding, переадресация на уровне 2) и L2TP (Layer 2 Tunneling Protocol, протокол туннелирования на уровне 2), сетевому уровню - IPSec (Security Architecture for IP, протокол безопасности для IP), SKIP (Simple Key management for Internet Protocol), а сеансовому уровню - SSL/TLS (SSL -Secure Sockets Layer, протокол защищенных соединений, TLS - Transport Layer Security, защита на транспортном уровне) и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при этом уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от протоколов обмена и приложений.

Определяющим фактором является соответствие нормам и требованиям российского законодательства в области лицензирования и сертификации как составных частей государственного регулирования. В первую очередь сюда относятся системы лицензирования и сертификации ФАПСИ (ФСБ) и Г остехкомиссии.

i Надоели баннеры? Вы всегда можете отключить рекламу.