Апмдз криптон как скинуть
Перейти к содержимому

Апмдз криптон как скинуть

  • автор:

Апмдз криптон как скинуть

В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в публичных требованиях к СКЗИ, п.6.1.3). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры — Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент — в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.

Справедливости ради нужно сказать, что в составе СКЗИ используются не все функции АПМДЗ, а только часть (но остальные тоже могут понадобиться – смотрите пункт 3). Начнем с указания параметров, наиболее важных для сравнения.

1) Сертификат ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже класса 3Б. Наличие сертификата говорит о том, что реализация мер защиты от НСД уже проверена и необходимости в повторной проверке при тематических исследованиях СКЗИ нет. Это упрощает сертификацию СКЗИ и уменьшает её срок.

Чем больше срок действия сертификата АПМДЗ — тем лучше. Если предполагаемый срок эксплуатации СКЗИ выходит за пределы срока действия сертификата на АПМДЗ, то требуется уточнить — возможно ли продление сертификата на АПМДЗ, планируется ли оно. Если сертификат на АПМДЗ истек, то сертификат на СКЗИ, строго говоря, недействителен.

2) Форм-фактор (шина подключения). В серверных платформах это обычно PCI или PCI-E. А вот если рассматривать ноутбуки или тонкие клиенты в рамках задач защиты удаленного доступа, то требуется более компактный размер — mini pci-e, mini pci-e half size и М.2.

3) Сертификат ФСТЭК. Для криптошлюзов в наличии такого сертификата необходимости нет, а для конечных устройств при удаленном доступе будет плюсом. В таком случае он используется и для СКЗИ, и для реализации других мер по защите от НСД, указанных в приказах ФСТЭК. Но обратите внимание, у многих производителей АПМДЗ во ФСТЭК и ФСБ сертифицируются разные модификации одного и того же продукта, в таком случае выполнить требования обоих регуляторов одним продуктом не получится.

4) Способ подключения сторожевого таймера. Сторожевой таймер позволяет блокировать (чаще всего перезагружать) АРМ при условии, что после его включения управление не передано АПМДЗ. Обычно у большинства производителей подключение осуществляется через пины RESET и POWER на материнской плате. Для этого требуется дополнительный провод и переходник, плюс при этом увеличивается время на установку. Но самое главное — не у всех материнских плат есть указанные пины. Альтернативный способ блокировки шины – передача сигналов на шину или в оперативную память, приводящая к зависанию и/или перезагрузке. Реализаций такого способа на рынке АПМДЗ крайне мало, хотя он удобнее для пользователей и позволяет решить задачи по защите от НСД на платах без пинов RESET и POWER.

5) Идентификаторы пользователей. Для криптошлюзов под пользователем следует понимать администратора безопасности. В большинстве случаев используется внешний считыватель с iButton, а вот для компактных форм-факторов он может не подойти. Наиболее удобная альтернатива — USB переходники для считывателя с iButton или токены.

6) Наличие физического датчика случайных чисел (ФДСЧ). Конечно, можно генерировать случайные числа вручную с помощью биологического датчика случайных чисел, но это довольно трудоемко. Вторая альтернатива — доверенная доставка ранее сформированной на другом АПМДЗ внешней гаммы — не менее сложная и трудоемкая для небольшого количества устройств, но хорошо масштабируемая. С ФДСЧ процесс удобный, быстрый и надежный.

7) Автозагрузка. Очень интересный пункт. Актуален для ситуаций, когда заказчик приобрел СКЗИ класса КС2 «на всякий случай» без понимания основного ограничения — для приведения СКЗИ в состояние готовности требуется локальное участие администратора (приложить идентификатор и ввести пароль). По факту это означает, что при любой перезагрузке (для небольших региональных филиалов самая частая причина — перебои с питанием) требуется участие администратора, а это возможно далеко не всегда.
Автозагрузка противоречит сценарию применения АПМДЗ. Большинство производителей даже реализовывать её не стали, а некоторые (Код Безопасности) — сделали, описав в документации с пометкой, что это запрещено. Поищите в Руководстве Администратора на Соболь ключевое слово «AUTOLOAD».

8) Импорт/Экспорт настроек. Если предстоит настроить N-нное количество устройств, то эта функция будет очень кстати. Например, указать перечень файлов, целостность которых надо контролировать.
Идентификаторы пользователей (о них выше, в п.5) в любом случае делаются персонально.

9) Контроль целостности файловой системы. В случае использования АПМДЗ в составе СКЗИ такая проверка может осуществляться либо только средствами АПМДЗ при загрузке ОС, либо АПМДЗ и дополнительно утилитами в составе СКЗИ непосредственно в ОС. Такой функционал поддерживается всеми АПМДЗ из перечня, указанного ниже.

Будут рассмотрены следующие АПМДЗ:
• Соболь от Код Безопасности,
• Аккорд-GX/GXMH от ОКБ САПР,
• Криптон-Замок от АНКАД,
• Максим-М1 от РусБИТех,
• Тринити-С от SETEC.

Апмдз криптон как скинуть

Наша защита — Ваша увереность

+7 (4012) 33-60-23

  • Главная
  • О компании
    • Наши клиенты
    • Наши партнеры
    • Защита информации
      • Защита персональных данных
        • Предпроектная стадия
        • Проектирование и реализация СЗПДн
        • Ввод в действие СЗПДн
        • Техническое обслуживание и сопровождение СЗИ
        • Аудит web-приложений
        • Тестирование на проникновение
        • Системы защиты информации
        • Шифрование
          • КРИПТОН-Шифрование
          • КРИПТОН
          • Crypton Disk
          • Crypton ArcMail
          • Crypton Office (защищенный офис)
          • Crypton Lock ver.3.5
          • Комплект разработчика
          • АПМДЗ «КРИПТОН-ЗАМОК»
          • СРД «КРИПТОН-Щит»
          • Crypton Lock ver.3.5
          • Шифраторы диска
          • Crypton Wipe
          • Secret Net
            • Автономный режим
            • Сетевой режим
            • Secret Disk Server NG
            • Secret Disk 4 персональная редакция
            • Secret Disk 4 сертифицированная версия
            • СЗИ НСД Аккорд-АМДЗ
            • ПАК Аккорд
            • ПАК СЗИ НСД Аккорд-X
            • Аккорд-В
            • Аккорд-У
            • Аккорд-РАУ
            • СЗИ «Блокхост-Сеть 2.0»
            • ПАК «Блокхост-МДЗ»
            • АПК «Блокхост-АМДЗ»
            • Продуктовая линия S*TERRA
              • CSP VPN Client
              • CSP VPN Server
              • CSP VPN Gate 100B
              • CSP VPN Gate 100
              • CSP VPN Gate 1000
              • CSP VPN Gate 3000
              • CSP VPN Gate 7000
              • Модуль NME-RVPN (МСМ)
              • АПМДЗ «КРИПТОН-ЗАМОК»
              • Законы Российской Федерации
              • Постановления правительства РФ
              • Указы Президента РФ
              • Нормативные документы ФСБ
              • Нормативные документы ФСТЭК

              Crypton ArcMail

              Средство криптографической защиты информации (СКЗИ) Crypton ArcMail обеспечивает конфиденциальность, проверку авторства и целостности файлов, каталогов и областей памяти. Crypton ArcMail в едином сервисе предоставляет функции архивирования, электронной цифровой подписи (ЭЦП) и шифрования.

              Crypton ArcMail создает подписанный и/или зашифрованный архив, который можно отправлять адресату (адресатам) по открытым каналам связи, в т.ч. по сети Интернет. Программа выполняет функции шифрования автономно или с помощью аппаратных шифраторов КРИПТОН и программного эмулятора Crypton Emulator.

              mail

              Применяя программу интерактивной обработки файлов, можно по щелчку правой кнопки мыши вызывать функции создания зашифрованных и/или подписанных архивов, проверки подписи и расшифрования архивов, поступивших от других абонентов.

              Утилита командной строки позволяет встраивать функции архивирования, шифрования и ЭЦП в продукты других разработчиков.

              Crypton ArcMail поставляется как в виде прикладной программы для конечных пользователей, так и в виде библиотеки функций.

              Основные характеристики:

              Алгоритм шифрования: ГОСТ 28147-89.
              Алгоритм ЭЦП: ГОСТ Р 34.10-94.
              Алгоритм функции хэширования: ГОСТ Р 34.11-94.
              Длина секретного ключа, бит: 256.
              Длина открытого ключа, бит: 512 или 1024.
              Схема управления ключами: асимметричная, симметричная.

              Возможность сертификации открытых ключей позволяет использовать Сrypton ArcMail в архитектуре PKI (Public Key Infrastructure — инфраструктура открытых ключей).

              Для преобразования файлов журналов операций в формате комплекса Crypton ArcMail в файлы формата офисного приложения Microsoft Excel служит Конвертер журналов комплекса Crypton ArcMail для Windows 95/98/ME/2000/NT 4.0/XP/2003, поставляемый бесплатно.

              Апмдз криптон как скинуть

              Для работы средств криптографической защиты информации (СКЗИ) требуются случайные числа. Внешняя гамма представляет собой заранее сформированную последовательность случайных чисел и применяется для облегчения разворачивания и дальнейшего обслуживания СКЗИ, не имеющих аппаратных датчиков случайных чисел (аппаратно-программный модуль доверенной загрузки — АПМДЗ).

              Для создания СА сертификата на компьютере с установленным Сервером управления рекомендуется наличие аппаратного датчика случайных чисел (электронный замок «Соболь», «Аккорд-АМДЗ», АПМДЗ «КРИПТОН-ЗАМОК», «Тринити АПМДЗ», «МАКСИМ-М1»). Используя установленный АПМДЗ, файл с гаммой можно сгенерировать при помощи утилиты криптобиблиотеки S-Terra e gamma_gen.exe , входящей в состав продукта и расположенной в директории С:\Program Files\S-Terra\S-Terra KP\lca\ST , например, командой:

              egamma_gen.exe -n 10 -p С:\gamma

              10 — необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);

              C:\gamma – путь до директории сохранения файла с гаммой.

              В результате выполнения утилиты файл с гаммой eg_data будет создан в указанной директории ( C:\gamma ).

              Для корректной генерации последовательности рекомендуется наличие на Сервере управления аппаратного ДСЧ. Если электронный замок отсутствует, гамму можно сгенерировать на другом компьютере, оснащенном замком, и перенести на Сервер управления в произвольную директорию (например, C :\gamma ).

              В качестве альтернативного способа генерации внешней гаммы в случае отсутствия аппаратного ДСЧ на компьютере с установленным Сервером управления можно использовать утилиту genkpim , входящую в состав «КриптоПро CSP ». Для этого проделайте следующие шаги.

              Шаг 1: Утилита genkpim компании «КриптоПро» расположена в директории С:\Program Files\S-Terra\S-Terra KP\sbin . Сгенерируйте файлы с гаммой, выполнив команду:

              genkpim 10 12345678 C :\ gamma

              10 — необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);

              12345678 — номер комплекта внешней гаммы (8 символов в 16-ричном коде), в общем случае любое шестнадцатеричное восьмизначное число, например 12345678;

              C:\gamma – путь до директории сохранения файлов с гаммой.

              В результате выполнения утилиты в указанной директории ( C:\gamma ) будут созданы две директории db1 и db2 ( Рисунок 62 ) , содержащие по одному файлу с гаммой kis_1. Данные файлы идентичны и дублируются для повышения надежности.

              Подробнее о создании внешней гаммы см. документацию на СКЗИ «Крипто Про CSP» («АРМ выработки внешней гаммы»).

              Шаг 2: Запустите CryptoPro CSP от имени Администратора. Перейдите во вкладку Hardware , нажмите кнопку Configurate RNGs… (Рисунок 62).

              Шаг 3: В следующем окне нажмите кнопку Add… (Рисунок 63).

              Шаг 4: Появится окно мастера установки ДСЧ. Нажмите кнопку Next> (Рисунок 64).

              Шаг 5: Далее из списка доступных ДСЧ выберите CryptoPro Source Data и нажмите кнопку Next> (Рисунок 65).

              Шаг 6: В следующем окне можно оставить все без изменений и нажать Next> (Рисунок 66).

              Шаг 7: Укажите путь до файла с гаммой и нажмите кнопку Next> (Рисунок 67).

              Шаг 8: Установка гаммы завершена, нажмите кнопку Finish (Рисунок 68).

              Шаг 9: Закройте CryptoPro CSP .

              Шаг 10: В сценариях, когда ключевые контейнеры генерируются на компьютере с установленным Сервером управления с использованием инструмента CA Tools , для корректной генерации ключевой информации необходимо дополнительно импортировать файл с гаммой в формате криптобиблиотеки S — Terra (имя файла — eg_data ) в директорию С:\ProgramData\s-terra\ext-gamma\ . Файл с гаммой можно сгенерировать на компьютере с установленным АПМДЗ при помощи утилиты egamma_gen.exe , как было описано ранее . Полученный файл с гаммой eg_data перенесите на компьютер с Сервером управления в директорию С:\ProgramData\s-terra\ext-gamma.

              Если гамма создавалась с помощью утилиты genkpim.exe как описано в шаге 1 , то скопируйте в указанную выше директорию один из файлов с именем kis_1 и переименуйте его в eg_data (Рисунок 70 ).

              АПМДЗ: классика компьютерной защиты

              Несмотря на то, что существование модулей доверенной загрузки ОС насчитывает уже более 15 лет, этот тип решения не теряет популярность. Напротив, российский рынок данных устройств активно развивается, поскольку вопросы информационной безопасности становятся все более актуальными.

              В настоящее время ведущие позиции на рынке МДЗ удерживают изделия «Соболь», «Аккорд-АМДЗ», «Криптон-Замок». Их основные характеристики, полученные из интернет-источников, приведены ниже в таблице.

              Основные характеристики АПМДЗ

              Название Семейство ПАК «Соболь» Семейство ПАК СЗИ НСД «Аккорд-АМДЗ» Семейство АПМДЗ «Криптон-Замок»
              Производитель Компания «Код Безопасности» ОКБ САПР АНКАД
              Стандарт шины компьютера PCI, PCI-X, PCI Express, mini-PCI Express (выпуск планируется в 4-м квартале 2011г.) PCI, PCI-X, mini-PCI, PCI Express, mini-PCI Express PCI, PCI Express

              Все эти годы развитие и совершенствование МДЗ осуществлялось практически в ногу с развитием компьютерной техники, изменением угроз информационной безопасности. На компьютерном рынке появлялись новые типы компьютеров, новые материнские платы, новые средства идентификации и аутентификации, следом совершенствовалась аппаратная часть МДЗ, увеличивалось количество типов поддерживаемых идентификаторов. Появлялись новые угрозы, регламентирующие органы выдвигали соответствующие требования, в ответ разработчики МДЗ модернизировали функционал, совершенствовали и внедряли новые механизмы защиты.

              Современный этап развития МДЗ характеризуется следующими особенностями их разработки: универсализация, расширение защитных функций, подготовка к совместной работе с новым интерфейсом Unified Extensible Firmware Interface (UEFI).

              Разработка универсальных МДЗ вызвана необычайным расширением сегмента материнских плат. Если лет пять назад разработчики МДЗ удачно справлялись с разнообразием «железа», то теперь перед ними предстало разнообразие «железа» в квадрате. Помимо этого, многие производители аппаратных платформ внедряют аппаратные решения, которые в настоящий момент не поддерживаются операционными системами, что приводит к появлению новых компьютерных уязвимостей.

              Расширение защитных функций МДЗ определяется с одной стороны, желаниями разработчиков, с другой – требованиями заказчиков. Например, к последним совершенствованиям МДЗ можно отнести поддержку дистрибутивов многочисленного семейства Linux, внедрение мощного контроля целостности аппаратного обеспечения и др.

              На смену BIOS приходит UEFI, в большей степени удовлетворяющий требованиям современных платформ. Хотя сегодня UEFI не столь популярен, с высокой вероятностью можно утверждать, что темпы его внедрения могут резко возрасти в ближайшее время.

              В чем секрет успеха МДЗ, находящихся на страже компьютеров почти 20 лет? Какие еще средства компьютерной защиты могут похвастать столь долгой и счастливой жизнью?

              Ответ прост. Разработчикам МДЗ в течение многих лет удается реализовывать удобство установки и настройки, простоту эксплуатации; относительно невысокую стоимость; возможность совместного использования МДЗ с другими средствами защиты информации, позволяющую поднять эффективность компьютерной защиты на более высокий уровень; постоянное совершенствование МДЗ практически одновременно с развитием компьютерной техники и изменением угроз информационной безопасности.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *