Криптографічний захист інформації

Впровадження засобів та комплексів криптографічного захисту інформації

Захист SAP-системи

Додаткові матеріали
Загальні відомості

Повна назва комплексу: комплекс захисту SAP-системи “ІІТ Захист SAP”.

Призначення комплексу: криптографічний захист інформації у SAP-системі, а саме:
  • автентифікація користувачів SAP-системи та забезпечення конфіденційності і цілісності даних, які передаються між користувачами та сервером системи, з використанням механізмів криптографічного захисту інформації (КЗІ);
  • забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у системі, з використанням електронного цифрового підпису.

Для організації ключової системи (управління ключовими даними) засобів комплексу використовується центр сертифікації ключів (програмно-технічний комплекс ЦСК).

Структура та склад комплексу

Структурна схема комплексу за розміщенням його складових частин на окремих технічних засобах наведена на рисунку.



До складу комплексу входять:
  • програмний комплекс захисту SAP-клієнта "ІІТ Захист SAP. Клієнт" у складі:
    • SNC-бібліотеки (бібліотеки захисту з'єднань) для SAP-клієнта;
    • SSF-бібліотеки (бібліотеки захищеного зберігання та пересилання) для SAP-клієнта;
    • бібліотеки користувача ЦСК зі складу програмного комплексу користувача ЦСК “ІІТ Користувач ЦСК-1”;
    • засобів управління та моніторингу стану захисту клієнта;
  • програмний комплекс захисту SAP-сервера "ІІТ Захист SAP. Сервер" у складі:
    • SNC-бібліотеки для SAP-сервера;
    • SSF-бібліотеки для SAP-сервера;
    • бібліотек користувача ЦСК;
    • засобів управління захистом сервера;
    • агента моніторингу захисту SAP-сервера;
  • програмний комплекс віддаленого моніторингу захисту SAP-сервера "ІІТ Захист SAP. Віддалений монітор сервера".

До складу апаратних засобів можуть входити:
  • електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”);
  • мережний криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”).

Опис складових частин комплексу

Програмні засоби КЗІ реалізують логіку роботи комплексу та інтегровані безпосередньо у клієнтську та серверну частини SAP-системи (SAP-клієнта та SAP-сервер), через визначені у SAP-системі механізми та інтерфейси криптографічного захисту інформації.

Програмні засоби КЗІ комплексу можуть використовувати зовнішні апаратні засоби КЗІ, такі як електронні ключі, мережні криптомодулі тощо.

SNC-бібліотеки (бібліотеки захисту з’єднань) у складі SAP-клієнта та SAP-сервера призначені для реалізації механізмів автентифікації користувачів SAP-системи на сервері під час підключення користувачів до сервера (встановлення з’єднання з сервером), шляхом реалізації протоколу взаємної автентифікації сторін, та забезпечення конфіденційності і цілісності інформації, яка передається між користувачами та сервером SAP-системи під час їх взаємодії, шляхом шифрування інформації та формування і перевіряння криптографічних контрольних сум.

Протокол взаємної автентифікації сторін (встановлення захищеного з'єднання) включає наступні шаги (етапи):
  • формування та передачу запиту від користувача SAP-системи на сервер;
  • обробку запиту від користувача сервером (що включає, в тому числі, перевірку чинності сертифіката користувача), формування та відправку відповіді за результатами обробки запиту;
  • прийом та обробку відповіді від сервера користувачем та прийняття рішення про успішність встановлення захищеного з’єднання (що аналогічно включає і перевірку чинності сертифіката сервера).

SSF-бібліотека (бібліотека захищеного зберігання та пересилання) у складі SAP-клієнта та SAP-сервера призначена для забезпечення цілісності та неспростовності авторства електронних даних та документів, що циркулюють у SAP-системі, шляхом формування та перевіряння електронного цифрового підпису від даних та документів, як на стороні користувача SAP-системи, так і на стороні сервера.

Бібліотеки користувача центру сертифікації ключів (ЦСК) призначені для використання SNC- та SSF-бібліотеками в якості базових засобів КЗІ та виконують наступні функції у їх складі:
  • роботу з носіями ключової інформації (зчитування особистих ключів з носіїв);
  • роботу з файловим сховищем сертифікатів та списків відкликаних сертифікатів (СВС), що включає:
    • зчитування сертифікатів та списків відкликаних сертифікатів із файлового сховища;
    • визначення статусу сертифіката за допомогою списків відкликаних сертифікатів;
    • завантаження списків відкликаних сертифікатів з веб-сторінки ЦСК (з веб-серверу ЦСК);
  • зашифрування та розшифрування даних;
  • формування та перевірку ЕЦП від даних;
  • захист сеансів передачі даних (захист з'єднань), що включає:
    • реалізацію протоколу взаємної автентифікації сторін під час встановлення сеансу захищеної передачі даних (захищеного з'єднання);
    • захист (шифрування та контроль цілісності) сегментів захищеної передачі даних (даних захищеного з'єднання);
  • інтерактивну перевірку статусу сертифікатів у ЦСК за протоколом OCSP (через OCSP-сервер ЦСК);
  • пошук сертифікатів у LDAP-каталозі ЦСК (на LDAP-сервері ЦСК);
  • отримання позначок часу у ЦСК (через TSP-сервер ЦСК) тощо.

Засоби управління та моніторингу стану захисту клієнта призначені для встановлення параметрів SNC- та SSF-бібліотек, параметрів бібліотеки користувача ЦСК, а також моніторингу та відображення стану їх роботи.

Засоби управління захистом сервера призначені для встановлення параметрів SNC- та SSF-бібліотек, а також параметрів бібліотеки користувача ЦСК.

Агент моніторингу захисту SAP-сервера призначений для зберігання інформації про стан та статистику функціонування програмних засобів захисту сервера (списку активних захищених з’єднань SNC-бібліотеки тощо), а також ведення журналів реєстрації подій та надання доступу до цієї інформації засобам віддаленого моніторингу. Інформацію про стан та статистику функціонування до агента моніторингу передають SNC- та SSF-бібліотеки.

Програмний комплекс віддаленого моніторингу захисту SAP-сервера призначений для отримання від агента моніторингу сервера та відображення інформації про стан і статистику функціонування програмних засобів захисту та подій з журналів реєстрації.

SNC-бібліотеки (бібліотеки захисту з'єднань) реалізовані у відповідності до визначених розробником SAP-системи специфікацій програмних інтерфейсів:
  • інтерфейсу GSS-API v2, який реалізує всі механізми КЗІ згідно з міжнародними технічними рекомендаціями RFC-2078;
  • інтерфейс SNC-адаптера, який визначений у внутрішньому технічному документі компанії SAP та призначений для безпосередньої інтеграції бібліотеки у SAP-клієнт та SAP-сервер, і є проміжним інтерфейсом між GSS-API v2 та SAP-системою.

SSF-бібліотеки (бібліотеки захищеного зберігання та пересилання) реалізовані у відповідності до визначеної розробником SAP-системи специфікації програмного інтерфейсу SSF-API. Зазначений інтерфейс визначений у внутрішньому технічному документі компанії SAP.

Електронний ключ призначений для апаратної реалізації криптографічних перетворень усередині пристрою у складі користувача SAP-системи.

Мережний криптомодуль призначений для апаратної реалізації криптографічних перетворень усередині модуля у складі сервера SAP-системи.

Електронний ключ “Кристал-1” (“ІІТ Е.ключ Кристал-1”) призначений для:
  • автентифікації користувача SAP-системи перед початком роботи;
  • зберігання та захисту особистого ключа користувача;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні користувача SAP-системи.

Електронний ключ має електричний USB-інтерфейс для підключення.

Апаратна реалізація електронного ключа забезпечує захищеність виконання усіх криптографічних перетворень усередині пристрою та унеможливлює доступ до особистих ключів користувача з боку РС чи ПК користувача SAP-системи.

Мережевий криптомодуль “Гряда-301” (“ІІТ МКМ Гряда-301”) призначений для:
  • автентифікації сервера SAP-системи перед початком роботи;
  • зберігання та захисту особистого ключа сервера;
  • апаратної реалізації криптографічних перетворень у складі програмних засобів на стороні сервера SAP-системи.

Мережний криптомодуль має мережний електричний інтерфейс Ethernet 100/1000 для підключення до сервера SAP-системи безпосередньо або через комутатори локальної обчислювальної мережі.

Апаратна реалізація мережного криптомодуля забезпечує захищеність виконання усіх криптографічних перетворень усередині модуля та унеможливлює доступ до особистих ключів сервера з боку сервера SAP-системи.

Характеристики комплексу

У засобах комплексу використовуються такі криптографічні алгоритми та протоколи:
  • шифрування за ДСТУ ГОСТ 28147:2009 (режим простої заміни, режим гамування та режим вироблення імітовставки);
  • ЕЦП за ДСТУ 4145-2002;
  • гешування за ГОСТ 34.311-95;
  • протокол розподілу ключових даних Діффі-Гелмана в групі точок еліптичної кривої (направлене шифрування).

Протокол розподілу ключових даних (направлене шифрування) реалізований згідно ДСТУ ISO/IEC 15946-3 (пп. 8.2) та вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. Генерація ключових даних здійснюється згідно методики генерації ключових даних, яка погоджена з Адміністрацією Держспецзв’язку України.

Протокол встановлення захищеного сеансу передачі даних між SAP-клієнтом та SAP-сервером реалізовано на основі протоколу взаємної автентифікації з двома проходами згідно стандарту ДСТУ ISO/IEC 9798-3.

За результатом роботи протоколу на сервері та клієнті встановлюються два сеансових ключа та два вектори початкової ініціалізації для поточного шифрування даних у захищеному з’єднанні у дуплексному режимі.

Шифрування даних у захищеному з’єднанні здійснюється за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі гамування. В якості криптографічної контрольної суми для контролю цілісності даних у захищеному з’єднанні використовуються імітовставки, які обчислюються за алгоритмом шифрування згідно ДСТУ ГОСТ 28147:2009 у режимі вироблення імітовставки.

Шифрування даних та обчислення імітовставок у захищеному з’єднанні здійснюється на основі сеансових ключів та векторів початкової ініціалізації (синхромаркерів), які розподіляються між клієнтом та сервером у результаті виконання протоколу взаємної автентифікації.

Організацію ключової системи засобів комплексу виконує центр сертифікації ключів (ЦСК).

У комплексі використовуються дві підгрупи ключових даних:
  • ключові дані ЦСК;
  • ключові дані користувачів та сервера SAP-системи.

До складу ключових даних ЦСК відносяться сертифікати ЦСК та серверів ЦСК (TSP-сервера та OCSP-сервера), які використовуються для перевірки ЕЦП сертифікатів, списків відкликаних сертифікатів, позначок часу тощо.

До ключових даних користувачів та сервера SAP-системи відносяться особисті ключі та сертифікати відповідно користувачів та сервера.

В якості носіїв ключової інформації для особистих ключів можуть використовуватися:
  • електронні диски (flash-диски);
  • компакт-диски (CD-R, CD-RW, DVD-R або DVD-RW);
  • електронні ключі “Кристал-1”, “Алмаз-1К” (“ІІТ Е.ключ Алмаз-1К”), Технотрейд uaToken, Aladdin eToken/JaCarta, Актив ruToken, Автор SecureToken та СІС Almaz;
  • смарт-карти “Карта-1” (“ІІТ Смарт-карта Карта-1”), Aladdin та Автор;
  • криптомодуль “Гряда-61” (“ІІТ КМ Гряда-61”) та мережний криптомодуль “Гряда-301”;
  • інші носії та криптомодулі з бібліотеками підтримки.

Формати ключових даних та іншої спеціальної інформації відповідають вимогам міжнародних стандартів, рекомендацій та діючих нормативних документів:
  • формати сертифікатів та списків відкликаних сертифікатів – згідно вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, затверджених наказом Міністерства юстиції України та Адміністрації Держспецзв’язку України № 1236/5/453 (вимог до надійних засобів ЕЦП) від 20.08.2012 р. та ISO/IEC 9594-8;
  • формати підписаних даних (даних з ЕЦП) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати захищених даних (зашифрованих даних) – згідно вимог до форматів криптографічних повідомлень, затверджених наказом Адміністрації Держспецзв’язку України № 739 від 18.12.2012 р. та технічних рекомендацій RFC 5652 (PKCS#7);
  • формати запитів на отримання інформації про статус сертифіката та формати відповідей з інформацією про статус сертифіката (протокол OCSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 2560;
  • формати запитів на формування позначок часу та самих позначок часу (протокол TSP) – згідно вимог до надійних засобів ЕЦП та технічних рекомендацій RFC 3161;
  • формати особистих ключів – згідно технічних рекомендацій PKCS#8.

Центр сертифікації ключів (ЦСК) призначений для обслуговування сертифікатів відкритих ключів користувачів та сервера, надання послуг фіксування часу, а також надання (за необхідності) засобів генерації особистих та відкритих ключів.

Програмно-технічний комплекс (ПТК) ЦСК забезпечує:
  • обслуговування сертифікатів клієнтів користувачів та сервера, що включає:
    • реєстрацію користувачів та сервера;
    • сертифікацію відкритих ключів користувачів та сервера;
    • розповсюдження сертифікатів;
    • управління статусом сертифікатів та розповсюдження інформації про статус сертифікатів;
  • надання послуг фіксування часу;
  • надання (за необхідності) засобів генерації особистих та відкритих ключів.

В якості ПТК ЦСК має використовуватися комплекс “ІІТ ЦСК-1”.
Повернутись до списку