поиск по сайту

Если у вас возникли вопросы, или вам что-то не нравится, вы можете пожаловаться

Интеграция с PKI

Сегодня терминальные решения и криптографическая защита являются безусловными лидерами рейтинга явлений, формирующих «картину мира» информационной безопасности. Однако именно эти два лидера на сегодняшний день достаточно проблематично сочетаются в одной информационной системе.

При внедрении в систему терминального доступа (СТД) системы криптографической защиты информации (СКЗИ) возможно возникновение следующих проблем:

 

  1. СКЗИ может не предусматривать возможности работы в режиме терминального доступа вообще, поскольку не поддерживает процедуры удаленных криптографических преобразований.
  2. Если ключи пользователя хранятся на терминальном сервере (ТС), то они вообще, строго говоря, не являются ключами пользователя, и подпись, выполненная с их помощью, никак не подтверждает авторство пользователя.
  3. Если ключи находятся на стороне терминального клиента (ТК), а выработка ЭЦП выполняется на стороне ТС, а не на стороне пользователя, который находится на ТК, то закрытые ключи ключевых пар передаются в рамках терминальной сессии по сети. Такая подпись тоже не может вполне гарантировать авторство.
  4. В значительном числе случаев, даже при выработке ЭЦП непосредственно на клиенте, в терминальном режиме необходима передача информационных наборов данных по сети. При передаче обработанных на стороне ТС данных, например, после вычисления от этих данных функции хеширования, пользователь, находящийся на стороне ТК, не может быть уверен в их корректности (они могли быть изменены при передаче по сети до вычисления функции хеширования или функция хеширования могла быть вычислена не от переданных данных, переданный корректный хеш мог быть подменен по пути «обратно»).
  5. Даже в случае, когда все вычисления производятся на стороне ТК, во время вычислений закрытый ключ ключевой пары может загружаться в оперативную память ТК или он может оставаться на ТК для долговременного хранения. При том, что терминальные клиенты, как правило, защищены менее тщательно, чем терминальные сервера, это означает, что закрытый ключ может быть несанкционированно скопирован и использован в корыстных целях.

 

Значит, система криптографической защиты информации при работе в условиях терминального доступа должна удовлетворять следующим условиям:

 

  1. СКЗИ должна поддерживать работу в терминальном режиме (Требование 1).
  2. Закрытый ключ ключевой пары ЭЦП должен располагаться на ТК (Требование 2).
  3. Информационные наборы данных должны создаваться на ТК (Требование 3).
  4. Выработка подписи и шифрование данных должны производиться на ТК (Требование 4).
  5. Должно быть исключено несанкционированное использование закрытого ключа ключевой пары в период его применения или хранения на ТК (Требование 5).

 

ПСКЗИ ШИПКА поддерживает операции удаленных криптографических преобразований, поэтому построенная на его основе система удовлетворяет требованию 1.

Вся работа с закрытым ключом ключевой пары производится внутри ШИПКИ, которая подключается к терминальному клиенту, что удовлетворяет требованиям 2 и 3.

ШИПКА аппаратно реализует все российские криптографические алгоритмы и осуществляет безопасное хранение закрытых ключей ключевых пар в памяти устройства. То есть все криптографические операции выполняются в доверенной среде и закрытый ключ ключевой пары никогда не покидает самого устройства и не попадает в оперативную память терминального клиента, что позволяет обеспечить требования 4 и 5.

В качестве терминальных клиентов, используемых в системе терминального доступа с описываемой системой могут выступать клиенты под управлением следующих ОС (для которых реализовано терминальное ПО для ПСКЗИ):

  • Win32 (Windows 98, Windows 2000, Windows XP);
  • WinCE;
  • Linux.

Поддержка различных терминальных ОС позволяет применять тонкие клиенты разных производителей и моделей, что дает определенную свободу заказчику, внедряющему решение (это могут быть клиенты Wyse, КАМИ, Depo и многие другие). Терминальные сервера могут быть как под управлением Windows, так и под управлением Citrix.

О том, как это реализовано, читайте в подразделе «Криптография в терминальной системе» раздела «Практика».


ЦеныЦены
Прайс-лист
ЗаказатьЗаказать
Купить наши изделия
ФорумФорум
Форум на сайте ОКБ САПР
программирование и верстка сайта - shs