В. О. ПОПОВ

OOO "КРИПТО-ПРО"

ОПЫТ СОЗДАНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
НА РАЗЛИЧНЫХ ПЛАТФОРМАХ

Приводятся сведения о разрабатываемых ООО "КРИПТО-ПРО" средствах криптографической защиты информации на платформах типа Unix.

Создание средств защиты конфиденциальной информации в системах общего доступа типа глобальной сети Интернет должно основываться на принципах взаимодействия открытых систем (взаимодействие, определяемое стандартными интерфейсами и стандартными форматами данных), которые в данном случае означают взаимодействие криптографических систем (алгоритмы, криптографические протоколы, форматы криптографических объектов), реализованных на различных платформах при условии защиты информации по различным уровням. Такой подход диктуется определением конфиденциальной информации, данным в "Законе об информации, информатизации и защите информации".

Защищенная информационная система характеризуется тремя элементами: криптографическая подсистема, системное программное обеспечение (ОС) и прикладное программное обеспечение, включающее как стандартные программные продукты, так и программные продукты, специфические для данной защищенной системы. Это ставит проблему создания защищенных исполнений универсальных ОС и прикладного программного обеспечения (ППО), используемого защищенной системой. Данная проблема должна решаться для различных платформ и различных уровней защищенности конфиденциальной информации. Создание защищенной системы включает создание защищенного исполнения универсальной ОС и ограничения на использование прикладного программного обеспечения, направленное на создание среды, обеспечивающей невозможность проведения атак на конфиденциальную информацию по различным каналам. Для операционных систем это означает необходимость использования доверенных систем разграничения доступа и систем аутентификации пользователя. Для прикладных систем это означает обеспечение невозможности негативного влияния на криптографическую подсистему. В общем эти требования сводятся к необходимости создания среды, устойчивой к внешним и внутренним негативным влияниям, называемой замкнутой средой.

НЕ нашли? Не то? Что вы ищете?

В части анализа защищенных систем данные требования приводят к необходимости определения влияния ОС и ППО на криптографическую подсистему на уровне документированных и недокументированных возможностей. Одним из подходов к решению этой проблемы анализа систем является анализ исходных текстов ОС и ППО.

ООО "КРИПТО-ПРО" проводит разработку криптографических подсистем защиты информации предназначенных для функционирования на различных платформах. В частности, сертифицируемое в настоящее время СКЗИ "КриптоПро CSP v. 3.0" функционирует управлением клонов ОС Windows, Linux, Solaris, FreeBSD. Имеется исполнение СКЗИ "КриптоПро CSP", функционирующее под защищенным исполнением ОС Linux - Атликс. Для всех платформ СКЗИ представляет криптографические услуги через стандартный интерфейс Microsoft CSP, совместно с используемым ПКЗИ обеспечивает обработку сертификатов ИОК Х.509, аутентичное защищенное соединение по протоколу "КриптоПро TLS". Удостоверяющий центр "КриптоПро УЦ" под управлением ОС Windows 2003 обеспечивает распределение открытых ключей ИОК. В зависимости от степени доверия к ОС и ППО исполнения СКЗИ сертифицируются либо по нижним уровням (КС1, КС2, КС3), либо по высшим уровням (КВ2, КА1). Опыт проведения указанных разработок подтверждает возможность создания защищенных информационных систем, включаемых в системы общего доступа. Вместе с тем, основной проблемой является создание доверенных сред, включающих ОС и ППО, на базе различных платформ. Первым шагом в этом направлении является создание на базе ОС Linux доверенной ОС Атликс. Опыт работы с открытыми кодами показывает, что необходимо проводить дополнительную работу по устранению недостатков и ошибок в продуктах открытого кода. Открытые коды отличаются более низким уровнем документирования. Отсутствие полной документации на открытый код, ошибки кода ставят под сомнение результаты анализа кода по исходным текстам.

Для создания защищенных информационных систем в настоящее время актуальными являются разработка доверенных операционных систем с разным уровнем защищенности для различных платформ, кроме того, актуальным является развитие криптографической подсистемы в направлении использования протоколов сетевой защиты, сетевого разграничения доступа и других криптографических протоколов.