Апаратні IP-шифратори
- CryptoIP-459
IP-шифратор "CryptoIP-459" (ТУ У 26.2-32248356-022:2014, експертний висновок ДССЗЗІ України 04/03/02-1056 від 29.04.2020) призначений для криптографічного захисту інформації з обмеженим доступом (крім службової інформації та інформації, що становить державну таємницю) та відкритої інформації, вимога щодо захисту якої встановлена законом.
ІР-шифратор забезпечує крізне шифрування IP-трафіку, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації.
У пристрої реалізуються алгоритми криптографічного захисту інформації:
- шифрування — ДСТУ ГОСТ 28147:2009
- функція ґешування — ГОСТ 34.311-95
- електронного цифрового підпису - ДСТУ 4145-2002
- формування сеансового ключа - ДСТУ ISO/IEC 15946-3:2006
На базі пристроїв можуть бути побудовані криптографічні системи:
- з відкритими ключами і підтримкою архітектури PKI
- з відкритими ключами і ручним розподілом сертифікатів абонентів
Пристрій підтримує:
- Два інтерфейси 10/100Base-Т(TX) для підключення до глобальної мережі
- Два інтерфейси 10/100Base-Т(TX) для підключення до локальної мереж
- USB 2.0 — для підключення до ПК локальне управління
- CryptoIP-459D/DL
ІP-шифратори "CryptoIP-459D/DL" призначені для криптографічного захисту службової інформації, забезпечують крізне шифрування IP-трафику, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459D/DO" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації
В пристроях реалізуються алгоритми:
- Шифрування — ДСТУ ГОСТ 28147:2009
- Функція ґешування — ГОСТ 34.311-95
- Електронного цифрового підпису — ДСТУ 4145-2002
- Формування сеансового ключа — ДСТУ ISO/IEC 15946-3:2006
На базі пристроїв можуть бути побудовані криптографічні системи:
- З відкритими ключами і підтримкою архітектури PKI
- З відкритими ключами і ручним розподілом сертифікатів абонентів
- З симетричною криптографією
Пристрої підтримують інтерфейси:
- Два 10/100Base-Т для підключення до глобальної мережі
- Два 10/100Base-Т в "CryptoIP-459D" для підключення до локальної мережі
- Один 100Base-FX в "CryptoIP-459DO" для підключення до локальної мережі
- USB 2.0 — для підключення до ПЕВМ (конфігурація)
Програмний IP-шифратор CryptoIP VPN Client/Server
Програмний ІР-шифратор CryptoIP VPN Client /Server – представлений двома модифікаціями програмного забезпечення, що реалізують два режими роботи:
- CryptoIP VPN Client – режим "станція";
- CryptoIP VPN Server – режим "шлюз".
Модифікації надають різні можливості щодо їх підключення до мережі та не є взаємозамінними.
Режим "станція" передбачає встановлення ПЗ ІР-шифратора безпосередньо на клієнтський ПК, при цьому ПК клієнта підключається до мережі загального користування, але одночасно містить в собі також сегмент мережі, що захищається. З цією метою на ПК встановлюється додатковий логічний мережевий інтерфейс, що призначений для передачі зашифрованої інформації.
Режим "шлюз" передбачає встановлення ІР-шифратора на виділений сервер, який має два фізичних мережевих інтерфейси. Один інтерфейс підключається до мережі загального користування, другий інтерфейс підключається до ЛОМ, в якій обробляється інформація, що підлягає криптографічному захисту. Інформація, що проходить крізь шлюз зашифровуються та розшифровується (в залежності від напрямку) ІР-шифратором в режимі реального часу.
CryptoIP VPN Client/Server здійснює шифрування пакетів IP-трафіку, інкапсуляцію зашифрованих пакетів в нові пакети і передачу останніх IP- шифратору абонента, якому адресуються дані. При цьому забезпечується конфіденційність, цілісність і автентичність змісту IP-пакетів.
Криптографічні алгоритми, що реалізуються:
- Шифрування — ДСТУ 7624:2014 «Калина-128/256», AES-256, ДСТУ ГОСТ 28147:2009
- Функція хешування — ДСТУ 7564:2014 «Купина-256», SHA-256, ГОСТ 34311:95
- Електронний цифровий підпис — ДСТУ 4145-2002
- Формування сеансового ключа — по схемі Діффі-Хеллмана з використанням еліптичних кривих згідно ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для ДСТУ 7624:2014), ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для AES-256), Наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України 18.12.2012 № 739 (для ДСТУ ГОСТ 28147:2009)
У шифраторі реалізована можливість одночасного використання всіх заявлених алгоритмів шифрування у одній захищеній мережі для усіх видів криптографічних систем.
Переваги використання:
- Високий рівень захисту ключової інформації за рахунок використання, спеціального контролера безпеки на рівні Common Сriteria EAL5+
- Високий рівень захисту доступу до захищеної мережі за рахунок використання носія ключової інформації і двофакторної аутентифікації
- Низькі витрати на придбання (порівняно з апаратними шифраторами)
- Зручний інтерфейс користування
- Робота до 4 років без необхідності зміни ключів на носії ключових даних
- Відповідність законодавчій базі України
Інфраструктурне програмне забезпечення
- CryptoProxy
Комп’ютерна програма "Спеціальне програмне забезпечення сервера "CryptoProxy"
Використання протокольного шлюзу CryptoProxy забезпечує простоту реструктуризації і масштабування захищених мереж VPN. Програмне забезпечення CryptoProxy призначене для обслуговування запитів IP-шифраторів абонентів, які належать до однієї захищеної VPN.
CryptoProxy виконує наступні функції:
- приймання запитів IP-шифраторів на здобуття відкритих ключів користувачів VPN, з якими необхідно встановити з'єднання;
- передачу IP-шифраторам запитаних відкритих ключів або відмову в передачі ключів.
CryptoProxy безпосередньо не бере участь в передачі конфіденційної інформації і не забезпечує її конфіденційність. Протокольний шлюз CryptoProxy забезпечує цілісність передачі сертифікатів і самих відкритих ключів до IP-шифраторів.
- CryptoIP-403
Центр генерації та запису ключових даних (ЦГЗКД) "CryptoIP-403" призначений для генерації ключових і інших документів управління ключами криптографічно захищених IP мереж.
ЦГЗКД забезпечує управління ключами захищених IP мереж на базі апаратних та програмних IP-шифраторів, призначених для захисту конфіденційної інформації.
ЦГЗКД задає один з трьох режимів роботи кожної захищеної мережі:
- з відкритими ключами і підтримкою архітектури PKI;
- з відкритими ключами і ручним розподілом сертифікатів абонентів;
- з симетричною криптографією.
ЦГЗКД виконує наступні основні функції:
- введення структури захищеної мережі;
- генерацію і запис ключових даних на носії ключової інформації;
- генерацію файлів запитів на отримання сертифікатів відкритих ключів і генерацію даних про структуру мережі для ЦУ VPN;
- персоналізацію IP-шифраторів;
- збереження інформації про структуру і абонентів мережі;
- формування вихідних документів (звітів) про виконані дії.
- CryptoIP-411D
ПЗ "Центр управління засобами криптографічного захисту ІР-трафіку "CryptoIP-411D"
Складається з двох комп’ютерних програм:
- ЦУ-менеджер (експертний висновок ДССЗЗІ України № 04/03/02-882 від 09.04.2020р)
- ЦУ-монітор (експертний висновок ДССЗЗІ України № 04/03/02-884 від 09.04.2020 р)
Центр управління "менеджер" – це програмно-апаратний засіб, призначений для обслуговування носіїв ключової інформації, що використовуються в системі засобів криптографічного захисту інформації CryptoIP.
Комп’ютерна програма виконує наступні функції:
- введення структури мережі або завантаження і редагування раніше введеної структури мережі, збереження відредагованої структури мережі у файлі;
- генерацію ключових даних для кожного абонента мережі відповідно до схеми зв'язності абонентів і збереження структури;
- завдання режиму і параметрів роботи мережі;
- запис ключових даних на мікропроцесорний НКІ (USB-ключ, SIM-карту, смарт-карту);
- персоналізація IP-шифраторів і збереження ключових даних персоналізації;
- формування і експорт файлу структури мережі для центру управління VPN;
- видачу звіту про генерацію ключових даних і їх запису на носії;
- знищення всіх ключових даних і параметрів після завершення роботи;
- ведення журналу подій.
Загальний вигляд головного вікна складається з трьох вікон:
- Вікно головної форми відображує список всіх абонентів.
- Друге вікно відображує параметри генерації ключових даних.
- Третє вікно відображує структуру мережі і стан процесу формування КД для кожного абонента.
Центр управління "Монітор" призначений для моніторингу криптографічної мережі, побудованої на базі систем засобів CryptoIP
Комп’ютерна програма реалізує безперервний процес управління, протягом якого здійснюється:
- збір інформації про стан елементів VPN;
- відображення стану елементів мережі і історії зміни параметрів для оцінки поточного стану мережі;
- підтримка вироблення рішення про втручання в роботу мережі;
- інтерактивний набір і видачу команд;
- протоколювання подій в мережі і команд управління.