Повна назва комплексу: комплекс захисту інформації у ІР-мережах “ІІТ Захист IP-потоку”.
Призначення комплексу: забезпечення конфіденційності та цілісності конфіденційної інформації, яка передається
у розподілених системах на основі ІР-мереж передачі даних.
Комплекс забезпечує:
- конфіденційність та цілісність інформації (мережного ІР-потоку), яка передається мережами
зв'язку між розподіленими локальними обчислювальними мережами (ЛОМ) або між клієнтами та ЛОМ;
- організацію централізованого управління засобами захисту мережного ІР-потоку, організацію
централізованої генерації та розподілу ключових даних для використання у цих засобах.
Зазначені функції комплекс виконує шляхом застосування механізмів криптографічного захисту інформації, яка
передається у вигляді мережного ІР-потоку між розподіленими ЛОМ або між клієнтами та ЛОМ через зовнішні канали зв’язку.
Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр
сертифікації ключів (програмно-технічний комплекс ЦСК).
Структурні схеми комплексу за розміщенням його складових частин на окремих технічних засобах наведені на рисунках.
До складу комплексу входять:
- шифратори ІР-пакетів (далі - ІР-шифратори);
- робоча станція (РС) адміністратора мережі ІР-шифраторів з програмним
комплексом віддаленого управління шифраторами “ІІТ Захист IP-потоку-2. Віддалене управління ІР-шифраторами”;
- програмний комплекс користувача (клієнта) IP-шифраторів “ІІТ Захист IP-потоку-2. Клієнт”.
ІР-шифратор призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються через нього між
різними ЛОМ або між клієнтами та ЛОМ і виконує такі функції:
- шифрування та контроль цілісності ІР-пакетів;
- інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами;
- приймання та передачу технологічної інформації (команд, поточного стану
обробки потоку, резервних копій конфігурації і т.ін.) у/від робочої станції адміністратора;
- прийом та введення в дію ключових даних;
- встановлення захищених з'єднань з іншими ІР-шифраторами.
РС адміністратора мережі ІР-шифраторів призначена для централізованого управління мережею ІР-шифраторів і виконує такі функції:
- налагодження конфігурації кожного ІР-шифратора;
- передачу та приймання управляючої (технологічної) інформації (стан
обробки потоку, резервні копії конфігурації і т. ін.) у/від ІР-шифраторів;
- генерації та завантаження ключових даних у ІР-шифратори.
Клієнт IP-шифраторів призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються між
ним та IP-шифратором(ами) і виконує такі функції:
- встановлення захищених з'єднань з ІР-шифраторами;
- шифрування та контроль цілісності ІР-пакетів.
ІР-шифратори виконують шифрування та контроль цілісності потоків мережних IP-пакетів, що передаються
через них між розподіленими ЛОМ або між клієнтами та ЛОМ.
Для забезпечення транзитної передачі даних ІР-шифратори мають два мережних інтерфейси типу Ethernet – внутрішні
та зовнішні. До внутрішніх інтерфейсів підключається комунікаційне обладнання ЛОМ, а зовнішні підключаються до
зовнішньої мережі передачі даних.
ІР-пакети, отримані через внутрішні мережні інтерфейси із ЛОМ зашифровуються та захищаються контрольною сумою і
маршрутизуються на зовнішній інтерфейс для передачі через зовнішній мережі.
ІР-пакети, отримані через зовнішні інтерфейси із зовнішньої мережі розшифровуються та перевіряються на цілісність
і маршрутизуються на внутрішній інтерфейс для передачі у ЛОМ.
ІР-шифратори підтримують захист ІР-потоку для повнозв’язної топології ЛОМ (“кожний з кожним”).
Віддалене управління ІР-шифраторами з РС адміністратора здійснюється через мережі передачі даних з підключенням
до одного з інтерфейсів.
ІР-шифратори, що входять до складу комплексу, функціонують у автоматизованому режимі з віддаленим управлінням з РС адміністратора.
Комплекс забезпечує характеристики, що наведені у таблиці.
Характеристика |
Значення |
Кількість захищених з'єднань ІР-шифраторів |
не менше 1024 з'єднань (зв'язок ІР-шифратора з 1024 іншими) |
Кількість захищених з'єднань з клієнтами |
не менше 4096 з'єднань (зв'язок ІР-шифратора з 4096 клієнтами) |
Швидкість обробки ІР-потоку (захисту) |
не менше 25 Мбіт/с (до 450 Мбіт/с) |
Кількість ІР-шифраторів, якими управляє один адміністратор мережі |
не менше 1024 |
Типи та характеристики ІР-шифраторів наведені у таблиці.
Тип |
Зовнішній вигляд |
Інтерфейси |
Швидкість шифрування, Мбіт/с |
“Канал-201” (мікро-пристрій) (“ІІТ ІР-шифратор Канал-201 (мікро-пристрій)”) |
|
USB (RNDIS), Ethernet 10/100 |
40 |
"Канал-201" ("ІІТ ІР-шифратор Канал-201") |
|
2 x Ethernet 100/1000 |
125 |
"Канал-301" ("ІІТ ІР-шифратор Канал-301") |
|
2 x Ethernet 100/1000, опціонально - 2 x Ethernet 100/1000BASE-SX (оптичні, LC) |
1000 (1 Гбіт/c) |
"Канал-401" ("ІІТ ІР-шифратор Канал-401") |
|
2 x Ethernet 100/1000, 2 x SFP+ (1000/10000, оптичні SFP-модулі 1000BASE-SX, 10G-SR чи ін.) |
5000 (5 Гбіт/с) |
У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
- алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
- алгоритм ЕП за ДСТУ 4145-2002;
- алгоритм гешування за ГОСТ 34.311-95;
- протокол розподілу ключових даних (направлене шифрування).
Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.
Протокол встановлення захищеного сеансу передачі даних між ІР-шифраторами або між клієнтом та IP-шифратором реалізовано на основі
протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає:
- формування ініціатором (ІР-шифратором чи клієнтом) та передачу даних автентифікації (запиту) на ІР-шифратор;
- обробку запиту IP-шифратором;
- прийом та обробку відповіді ініціатором від IP-шифратора.
За результатом роботи протоколу на IP-шифраторах чи IP-шифраторі та клієнті встановлюються два сеансових ключа
та два вектори початкової ініціалізації для поточного шифрування ІР-пакетів у дуплексному режимі.
Шифрування ІР-пакетів здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування.
Організацію
ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).
У комплексі використовуються дві підгрупи ключових даних:
- ключові дані ЦСК;
- ключові дані ІР-шифраторів, адміністратора та клієнтів.
До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які
використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.
До ключових даних ІР-шифраторів, адміністратора та клієнтів відносяться особисті ключі та сертифікати відповідно ІР-шифраторів,
адміністратора та клієнтів.
Ключові дані ІР-шифраторів, адміністратора та клієнтів призначені для захисту управляючої та службової інформації при передачі
між РС адміністратора та ІР-шифраторами, а також для встановлення захищених з’єднань між ІР-шифраторами або між клієнтами та
IP-шифраторами та безпосередньо захисту ІР-потоку.
В якості носіїв ключової інформації для особистих ключів ІР-шифраторів використовуються електронні ключі “Кристал-1”
(“ІІТ Е.ключ Кристал-1”). IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації
ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату.
Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у IP-шифратор.
IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі
формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат
завантажується у IP-шифратор.
В якості
носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:
- електронні диски (flash-диски);
- оптичні компакт-диски (CD);
- електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”);
- інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.
Формати ключових
даних та іншої спеціальної
інформації відповідають вимогам міжнародних стандартів, рекомендацій та
діючих нормативних документів:
- формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
- формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
- формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
- формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
- формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
- формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.
Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів ІР-шифраторів, адміністратора
та клієнтів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.
Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
- обслуговування сертифікатів ІР-шифраторів, адміністратора та клієнтів, що включає:
- реєстрацію ІР-шифраторів, адміністратора та клієнтів;
- сертифікацію відкритих ключів ІР-шифраторів, адміністратора та клієнтів;
- розповсюдження сертифікатів;
- управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
- надання послуг фіксування часу;
- надання (за необхідності) засобів генерації особистих та відкритих ключів.