В. В. Майшев
ПРАВОВЕДЕНИЕ
Кроме того, стороны пришли к соглашению разработать рекомендации по стандартизации форматов сертификатов открытых ключей, списков отозванных сертификатов, криптографических сообщений с учетом использования алгоритмов и параметров, приведенных в российских ГОСТах.
До появления стандартов участвующие стороны пришли к согласию использовать форматы сертификатов открытых ключей, форматы криптографических сообщений, представленных в документе «Рекомендации к средствам криптографической защиты информации на взаимодействие удостоверяющих центров, реестров сертификатов, сертификаты ключей формата Х.509 и электронные документы формата CMS», разработанном ООО «Крипто-Про».
Среди существующих решений в рассматриваемой предметной области можно выделить предложения и реализации ведущих разработчиков и интеграторов: АНКАД, МО ПНИЭИ, Крипто-Про, ЛАН-Крипто, ЭЛВИС+, Инфотекс, Сигнал-КОМ, АМИКОН, ЛИССИ, ИнформЗащита, RSA-Security и Фактор-ТС.
Анализ предлагаемых на рынке решений и практический опыт построения защищенных информационно-телекоммуникационных систем приводят к обоснованию оптимальности применения технологий, сочетающих в себе как полнофункциональные информационно-телекоммуникационные подсистемы (почтовый сервер, файл-сервер, WWW-сервер, маршрутизатор и т.д.), так и встроенные сертифицированные в соответствии с российскими требованиями подсистемы защиты информации (межсетевой экран, криптографическое ядро и инфраструктура открытых ключей). Примером такой технологии является Технология ДИОНИС, предлагаемая НПП Фактор-ТС.
Подводя итог, можно прогнозировать дальнейший рост интереса к технологиям применения асимметричных криптографических систем, в том числе развитие инфраструктуры открытых ключей и систем виртуальных частных сетей (VPN).
Поступила в редакцию 17.12.04
V. V. Mayshev
Methodology of the choice of the means of cryptographic protection to information for information-telecommunication system
Main criteria and methodology of the choice means of cryptographic protection to information are considered in work in condition of the government regulation of the using the cryptographic systems in Russian Federation.
Майшев Вадим Владимирович Удмуртский государственный университет 426034, Россия, г. Ижевск, ул. Университетская, 1 (корп. 4)
Методология выбора средств криптографической ПРАВОВЕДЕНИЕ
При выборе конкретной технологии помимо финансовых аспектов основными критериями являются функциональность, комплексность защиты, удобство использования и администрирования предлагаемых разработчиками средств защиты (в т.ч. СКЗИ), совместимость с существующими в организации информационно- телекоммуникационными системами, функциями распределения криптографических ключей и соответствие применяемых алгоритмов установленным в России требованиям.
Основной причиной практической невозможности применения зарубежных систем является жесткое регулирование использования криптографических средств: с одной стороны, употребление в России алгоритмов, соответствующих требованиям ФАПСИ, а с другой - ограничения на вывоз из США и других стран продукции так называемой «сильной криптографии».
Важной проблемой является совместимость продуктов, использующих электронную цифровую подпись и соответствующую инфраструктуру открытых ключей в прикладных системах организации (электронный документооборот, электронная почта, электронный бизнес, банковские платежные системы и т.д.) как необходимую основу для их защиты.
Несмотря на принятый в начале 2002 г. закон «Об электронной цифровой подписи», призванный обеспечить правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе и имеет юридическое значение в рамках отношений, указанных в сертификате ключа подписи, процесс развития системы электронной подписи на федеральном уровне движется с большим трудом. Одной из основных проблем является отсутствие единого стандарта на цифровые сертификаты открытых ключей.
В настоящее время сертификаты, выдаваемые удостоверяющими центрами, использующими в своей основе средства криптографической защиты информации различных российских производителей, являются несовместимыми между собой, даже если они придерживаются единого формата X.509 и реализовали один и тот же криптографический стандарт ЭЦП (ГОСТ Р 34.10-94 ). Таким образом, в силу отмеченных причин в России назрела необходимость для принятия единого стандарта на формат представления параметров алгоритма ЭЦП.
В начале декабря 2002 г. ведущие российские компании-разработчики решений в области информационной безопасности ФГУП НТЦ «Атлас», ООО «Крипто-Про», ООО «Фактор-ТС», ЗАО «МО ПНИЭИ» и ОАО «Инфо-текс» договорились об объединении усилий в целях достижения взаимной совместимости продуктов, комплексных решений в области построения защищенных информационных и телекоммуникационных систем, разработанных на основе технологии цифровых сертификатов открытых ключей и сертифицированных СКЗИ, реализующих алгоритмы ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 и ГОСТ 28147-89. В марте 2003 г. к соглашению присоединились еще две организации - ЗАО «Санкт-Петербургский региональный центр защиты информации» и ООО «Криптоком».
ВЕСТНИК УДМУРТСКОГО УНИВЕРСИТЕТА______________
ПРАВОВЕДЕНИЕ
УДК 681.3.06 В.В. Майшев
МЕТОДОЛОГИЯ ВЫБОРА СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЫ
Рассмотрены основные критерии и методология выбора средств криптографической защиты информации (СКЗИ) в условиях государственного регулирования применения шифровальных систем в Российской Федерации.
Ключевые слова: информационно-телекоммуникационные системы (ИТС), средства криптографической защиты информации (СКЗИ), виртуальные частные сети (VPN), орган криптографической защиты.
Рассмотрим современные тенденции построения защищенных систем передачи информации, основанные на использовании средств криптографической защиты информации (СКЗИ).
Для независимости от прикладных протоколов и приложений защищенные сети передачи данных формируются на одном из уровней модели OSI - канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации виртуальных частных сетей (VPN, Virtual Private Network), как PPTP (Point-To-Point Tunneling Protocol), L2F (Layer 2 Forwarding, переадресация на уровне 2) и L2TP (Layer 2 Tunneling Protocol, протокол туннелирования на уровне 2), сетевому уровню - IPSec (Security Architecture for IP, протокол безопасности для IP), SKIP (Simple Key management for Internet Protocol), а сеансовому уровню - SSL/TLS (SSL -Secure Sockets Layer, протокол защищенных соединений, TLS - Transport Layer Security, защита на транспортном уровне) и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при этом уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Однако в этом случае усиливается зависимость от протоколов обмена и приложений.
Определяющим фактором является соответствие нормам и требованиям российского законодательства в области лицензирования и сертификации как составных частей государственного регулирования. В первую очередь сюда относятся системы лицензирования и сертификации ФАПСИ (ФСБ) и Г остехкомиссии.