Загальні відомості

Повна назва комплексу: комплекс захисту інформації у ІР-мережах “ІІТ Захист IP-потоку”.

Призначення комплексу: забезпечення конфіденційності та цілісності конфіденційної інформації, яка передається у розподілених системах на основі ІР-мереж передачі даних.

Комплекс забезпечує:

• конфіденційність та цілісність інформації (мережного ІР-потоку), яка передається мережами зв'язку між розподіленими локальними обчислювальними мережами (ЛОМ) або між клієнтами та ЛОМ;
• організацію централізованого управління засобами захисту мережного ІР-потоку, організацію централізованої генерації та розподілу ключових даних для використання у цих засобах.

Зазначені функції комплекс виконує шляхом застосування механізмів криптографічного захисту інформації, яка передається у вигляді мережного ІР-потоку між розподіленими ЛОМ або між клієнтами та ЛОМ через зовнішні канали зв’язку.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура комплексу

Структурні схеми комплексу за розміщенням його складових частин на окремих технічних засобах наведені на рисунках.




До складу комплексу входять:

• шифратори ІР-пакетів (далі - ІР-шифратори);
• робоча станція (РС) адміністратора мережі ІР-шифраторів з програмним комплексом віддаленого управління шифраторами “ІІТ Захист IP-потоку-2. Віддалене управління ІР-шифраторами”;
• програмний комплекс користувача (клієнта) IP-шифраторів “ІІТ Захист IP-потоку-2. Клієнт”.

ІР-шифратор призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються через нього між різними ЛОМ або між клієнтами та ЛОМ і виконує такі функції:

• шифрування та контроль цілісності ІР-пакетів;
• інкапсуляцію ІР-пакетів та їх маршрутизацію між мережними інтерфейсами;
• приймання та передачу технологічної інформації (команд, поточного стану обробки потоку, резервних копій конфігурації і т.ін.) у/від робочої станції адміністратора;
• прийом та введення в дію ключових даних;
• встановлення захищених з'єднань з іншими ІР-шифраторами.

РС адміністратора мережі ІР-шифраторів призначена для централізованого управління мережею ІР-шифраторів і виконує такі функції:

• налагодження конфігурації кожного ІР-шифратора;
• передачу та приймання управляючої (технологічної) інформації (стан обробки потоку, резервні копії конфігурації і т. ін.) у/від ІР-шифраторів;
• генерації та завантаження ключових даних у ІР-шифратори.

Клієнт IP-шифраторів призначений для шифрування та контролю цілісності потоку IP-пакетів, що передаються між ним та IP-шифратором(ами) і виконує такі функції:

• встановлення захищених з'єднань з ІР-шифраторами;
• шифрування та контроль цілісності ІР-пакетів.

Опис комплексу та його складових частин

ІР-шифратори виконують шифрування та контроль цілісності потоків мережних IP-пакетів, що передаються через них між розподіленими ЛОМ або між клієнтами та ЛОМ.

Для забезпечення транзитної передачі даних ІР-шифратори мають два мережних інтерфейси типу Ethernet – внутрішні та зовнішні. До внутрішніх інтерфейсів підключається комунікаційне обладнання ЛОМ, а зовнішні підключаються до зовнішньої мережі передачі даних.

ІР-пакети, отримані через внутрішні мережні інтерфейси із ЛОМ зашифровуються та захищаються контрольною сумою і маршрутизуються на зовнішній інтерфейс для передачі через зовнішній мережі.

ІР-пакети, отримані через зовнішні інтерфейси із зовнішньої мережі розшифровуються та перевіряються на цілісність і маршрутизуються на внутрішній інтерфейс для передачі у ЛОМ.

ІР-шифратори підтримують захист ІР-потоку для повнозв’язної топології ЛОМ (“кожний з кожним”).

Віддалене управління ІР-шифраторами з РС адміністратора здійснюється через мережі передачі даних з підключенням до одного з інтерфейсів.

ІР-шифратори, що входять до складу комплексу, функціонують у автоматизованому режимі з віддаленим управлінням з РС адміністратора.

Характеристики комплексу

Комплекс забезпечує характеристики, що наведені у таблиці.

Характеристика	Значення
Кількість захищених з'єднань ІР-шифраторів	не менше 1024 з'єднань (зв'язок ІР-шифратора з 1024 іншими)
Кількість захищених з'єднань з клієнтами	не менше 4096 з'єднань (зв'язок ІР-шифратора з 4096 клієнтами)
Швидкість обробки ІР-потоку (захисту)	не менше 25 Мбіт/с (до 450 Мбіт/с)
Кількість ІР-шифраторів, якими управляє один адміністратор мережі	не менше 1024

Типи та характеристики ІР-шифраторів наведені у таблиці.

Тип	Зовнішній вигляд	Інтерфейси	Швидкість шифрування, Мбіт/с
“Канал-201” (мікро-пристрій) (“ІІТ ІР-шифратор Канал-201 (мікро-пристрій)”)		USB (RNDIS), Ethernet 10/100	40
"Канал-201" ("ІІТ ІР-шифратор Канал-201")		2 x Ethernet 100/1000	125
"Канал-301" ("ІІТ ІР-шифратор Канал-301")		2 x Ethernet 100/1000, опціонально - 2 x Ethernet 100/1000BASE-SX (оптичні, LC)	1000 (1 Гбіт/c)
"Канал-401" ("ІІТ ІР-шифратор Канал-401")		2 x Ethernet 100/1000, 2 x SFP+ (1000/10000, оптичні SFP-модулі 1000BASE-SX, 10G-SR чи ін.)	5000 (5 Гбіт/с)

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:

• алгоритм шифрування за ДСТУ ГОСТ 28147:2009;
• алгоритм ЕП за ДСТУ 4145-2002;
• алгоритм гешування за ГОСТ 34.311-95;
• протокол розподілу ключових даних (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку №739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку.

Протокол встановлення захищеного сеансу передачі даних між ІР-шифраторами або між клієнтом та IP-шифратором реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3. Протокол взаємної автентифікації включає:

• формування ініціатором (ІР-шифратором чи клієнтом) та передачу даних автентифікації (запиту) на ІР-шифратор;
• обробку запиту IP-шифратором;
• прийом та обробку відповіді ініціатором від IP-шифратора.

За результатом роботи протоколу на IP-шифраторах чи IP-шифраторі та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування ІР-пакетів у дуплексному режимі.

Шифрування ІР-пакетів здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:

• ключові дані ЦСК;
• ключові дані ІР-шифраторів, адміністратора та клієнтів.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних ІР-шифраторів, адміністратора та клієнтів відносяться особисті ключі та сертифікати відповідно ІР-шифраторів, адміністратора та клієнтів.

Ключові дані ІР-шифраторів, адміністратора та клієнтів призначені для захисту управляючої та службової інформації при передачі між РС адміністратора та ІР-шифраторами, а також для встановлення захищених з’єднань між ІР-шифраторами або між клієнтами та IP-шифраторами та безпосередньо захисту ІР-потоку.

В якості носіїв ключової інформації для особистих ключів ІР-шифраторів використовуються електронні ключі “Кристал-1” (“ІІТ Е.ключ Кристал-1”). IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат (разом із ланцюжком сертифікатів) завантажується у IP-шифратор.

IP-шифратори також підтримують генерацію ключів безпосередньо у пристрої. Під час генерації ключів у ІР-шифраторі формується запит на сертифікат, який передається у ЦСК з метою формування сертифікату. Після формування сертифікат завантажується у IP-шифратор.

В якості носіїв ключової інформації для особистих ключів та криптомодулів можуть використовуватися:

• електронні диски (flash-диски);
• оптичні компакт-диски (CD);
• електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”);
• інші носії, електронні ключі, смарт-карти та криптомодулі з бібліотеками підтримки, що відповідають технічним рекомендаціям PKCS#11.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:

• формати сертифікатів та списків відкликаних сертифікатів – згідно ДСТУ ISO/IEC 9594-8:2006 та технічних рекомендацій RFC 5280;
• формати підписаних даних (даних з ЕП) – згідно ДСТУ ETSI EN 319 122-1:2016 і ДСТУ ETSI EN 319 122-2:2016, технічних рекомендацій RFC 5652 (PKCS#7) та 5126;
• формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень та технічних рекомендацій RFC 5652 (PKCS#7);
• формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно технічних рекомендацій RFC 2560;
• формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно ДСТУ ETSI EN 319 422:2016 та технічних рекомендацій RFC 3161;
• формати особистих ключів – згідно технічних рекомендацій RFC 5958 (PKCS#8) та PKCS#12.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів ІР-шифраторів, адміністратора та клієнтів, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:

• обслуговування сертифікатів ІР-шифраторів, адміністратора та клієнтів, що включає:
  • реєстрацію ІР-шифраторів, адміністратора та клієнтів;
  • сертифікацію відкритих ключів ІР-шифраторів, адміністратора та клієнтів;
  • розповсюдження сертифікатів;
  • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
• надання послуг фіксування часу;
• надання (за необхідності) засобів генерації особистих та відкритих ключів.