Загальні відомості

Повна назва комплексу: комплекс захисту інформації на носіях "ІІТ Захищений диск-4".

Призначення комплексу: забезпечення конфіденційності інформації, яка зберігається на носіях інформації робочих станцій, портативних комп’ютерів та серверів (жорстких дисках, електронних flash-дисках, картах пам’яті тощо) з використанням механізмів та засобів криптографічного захисту інформації.

Структура та склад комплексу

Структурна схема комплексу наведена на рисунку.



До складу комплексу входять:

• програмний комплекс захисту інформації на носіях користувача “ІІТ Захищений диск-4. Користувач”;
• програмний комплекс захисту інформації на носіях сервера “ІІТ Захищений диск-4. Сервер”.

До складу апаратних засобів комплексу також може входити електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”).

Опис складових частин комплексу

Програмні засоби комплексу забезпечують захист інформації на носіях інформації робочих станцій (РС) та серверів (жорстких дисках, електронних flash-дисках, картах пам’яті тощо).

Захист інформації забезпечується прозорим шифруванням областей дискового простору чи створенням віртуальних логічних дисків, які фізично є зашифрованими областями дисків чи файлами-образами.

Засоби захисту носіїв серверів підтримують автоматичне підключення захищених дисків, аварійне відключення та знищення захищених дисків, забезпечення доступу до них з ЛОМ та ін.

Засоби захисту носіїв портативних коп’ютерів забезпечують шифрування даних на вбудованих та на зовнішніх картах пам’яті.

Програмні засоби комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі тощо.

Електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”) призначений для апаратної реалізації криптографічних перетворень усередині пристрою та реалізує:

• автентифікацію користувача перед початком роботи;
• зберігання та захист особистого ключа користувача.

Електронний ключ має електричний USB-інтерфейс для підключення.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:

• алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
• алгоритм гешування за ГОСТ 34.311-95;
• протокол розподілу ключових даних (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Шифрування секторів захищених дисків виконується в двох режимах: спочатку в режимі простої заміни, а потім в режимі гамування із зворотнім зв’язком згідно ДСТУ ГОСТ 28147:2009. Шифрування здійснюється на ключеві шифрування диску, який зберігається разом із диском.

Захист ключа шифрування диску виконується на ключі захисту, який отримується шляхом гешування за ГОСТ 34.311-95 особистого ключа протоколу розподілу ключів.

Довгострокові ключові елементи (ДКЕ) для алгоритму шифрування ДСТУ ГОСТ 28147:2009 постачаються відповідно до вимог Держспецзв’язку України.

До ключових даних комплексу відносяться особисті ключі користувачів і серверів, що використовують захищені диски. В якості особистих ключів можуть використовуватися особисті ключ користувачів центру сертифікації ключів (ЦСК, при цьому, в якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”).

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:

• електронні диски (flash-диски);
• оптичні компакт-диски (CD);
• електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”) та ін.;
• мережний криптомодуль “Гряда-301” (мікро-пристрій) (“ІІТ МКМ Гряда-301 (мікро-пристрій)”) та мережний криптомодуль “Гряда-301”;
• інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів (формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12).