Система защищенного оперативного обмена информацией. Краткие итоги исследовательских испытаний экспериментального образца.

В рамках реализации договора между РСС и ФГУП ВНИИПВТИ на выполнение научно-исследовательской работы по теме «Исследование состояния безопасности информационной структуры стран СНГ: анализ опыта обеспечения безопасности информационных систем и информационно-телекоммуникационных сетей в странах Содружества и определение перечня первоочередных задач в данной сфере» предусматривалось создание системы оперативного обмена информацией по вопросам информационной безопасности с применением средств и методов защиты информации. В результате проведенных работ был создан макет данной системы ориентированный на защиту электронной документальной информации с применением программно-аппаратного комплекса Privacy с ПСКЗИ ШИПКА. ПАК Privacy был продемонстрирован на 9-ом заседании Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при РСС в г. Могилеве, на прошлой конференции.

В предложенной системе оперативного обмена информацией с применением ПАК Privacy с ПСКЗИ ШИПКА реализован подход организации пространства открытых ключей с помощью сети доверия или системы поручителей. Это альтернативный подход к использованию Удостоверяющих центров, возлагающих на себя задачи проверки подлинности связи между открытым ключом субъекта и информации, которая его идентифицирует. В предлагаемом варианте нет единого Центра, подписи которого необходимо доверять, в сети доверия поручителями выступают сами пользователи. Для трансграничной системы это особенно важно, так как использование сертификатов открытых ключей, выданных УЦ, при трансграничном обмене информацией требует весьма сложной организационно и дорогостоящей подготовки. Стандартного механизма для этого пока не существует.

В предлагаемом подходе каждый пользователь системы оперативного обмена, должен сгенерировать себе ключевую пару, затем экспортировать открытый ключ, а также получить открытые ключи других участников защищенного обмена. У каждого открытого ключа есть список подписей тех лиц, которые уже проверили ключ и доверяют ему. Решение о доверии, а, следовательно, использовании данного ключа принимается каждым пользователем самостоятельно и основывается либо на возможности лично убедиться в подлинности ключа посредством сличения электронных отпечатков открытого и закрытого ключа пары, которые совпадают только в случае, если ключи принадлежат одной паре, либо на поручительстве лица, которому пользователь может доверять. После того, как ключи собраны и проверены необходимо настроить правила для обработки исходящих сообщений и включить защиту, дальнейшая работа с электронной почтой выполняется в обычном режиме функционирования выбранного почтового клиента.

В рамках работы были проведены исследовательские испытания экспериментального образца системы. Испытания проходили в два этапа. Первый этап включал испытания на стенде и проходил на 10-ом заседании Комиссии по информационной безопасности в г. Астана. Членам Комиссии предварительно были продемонстрированы уязвимые места, в которых наиболее вероятны атаки злоумышленников при следовании письма от отправителя до получателя. Было показано, что электронное письмо может быть прочитано и изменено злоумышленником не только на одном из промежуточных этапов передачи, но и на компьютере получателя. Также было показано, что и в случае, если сообщения защищено ЭЦП, возможна подмена сообщения, если злоумышленник получил доступ к компьютеру отправителя. После этого была установлена и настроена система защиты, а затем успешно продемонстрированы возможности системы по устранению каждой из вышеназванных уязвимостей.

На втором этапе испытания проводились на рабочих местах ответственных представителей администрации связи и информатизации государств-участников СНГ. Ответственные представители были назначены от Азербайджана, Армении, Белоруссии, Казахстана, Молдовы и России. Руководствуясь документами, содержащими рекомендации по настройке комплекса и методику испытаний, представители от каждой страны смогли самостоятельно настроить на своем рабочем месте ПАК Privacy и обменяться защищенными, как с помощью российских, так и с помощью зарубежных алгоритмов криптографии, электронными письмами. На данный момент поддерживаются следующие алгоритмы:

• Алгоритмы ассиметричной криптографии: ГОСТ Р 34.10-2001, RSA
• Хеш-функции: ГОСТ 34.11-94, SHA-1, MD5
• ГОСТ 28147-89, DES, 3DES, RC2 - используются для шифрования данных.

Данные алгоритмы реализованы в ПСКЗИ ШИПКА, которое выполняет все криптографические вычисления для защиты электронной почты, а также хранит всю необходимую ключевую информацию. Доступ к ключам и криптографическим функциям осуществляется через стандарт криптографии с открытым ключом PKCS#11.

По результатам проведенных испытаний, предложенная система оперативного обмена информацией была признана выполняющей заявленные задачи. Представители Заказчика сочли целесообразным продолжить работу по дальнейшему развитию возможностей системы. Так, было предложено рассмотреть возможность создания подсистемы защищенной IP-телефонии, подсистемы защищенной видеоконференции. Кроме этого, были высказаны предложения по расширению автоматизированных функций системы по сбору, обобщению и анализу информации о состоянии информационной безопасности ее подсистем. В случае одобрения этих предложений всеми заинтересованными сторонами, они лягут в основу технического задания и будут реализованы в 2010-2011 годах.

Авторы: Карелина А. В.; Счастный Д. Ю.

Дата публикации: 01.01.2010

Библиографическая ссылка: Карелина А. В., Счастный Д. Ю. Система защищенного оперативного обмена информацией. Краткие итоги исследовательских испытаний экспериментального образца. // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 99–101.