ГОСТ VPN: квантовая криптография

Долгое время квантовая физика казалась наукой, которой пока нет места в средствах информационной безопасности. Судя по учащающимся новостям – время пришло 😃

Переход на ГОСТ 34.12/13

01 июля 2019 года ФСБ России опубликовала Извещение о порядке использования алгоритма блочного шифрования ГОСТ 28147-89

Список НПА, в которых требуется использование СКЗИ

Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал нормативку с требованиями в одной заметке.

Переход на ГОСТ Р 34.10-2012

Регуляторы анонсировали продление возможности использования схемы ЭП, соответствующей ГОСТ Р 34.10-2001 до 31.12.2019.

Защита каналов связи в ЕБС

Единая биометрическая система — это цифровая платформа для удаленной биометрической идентификации, которая позволяет предоставлять новые коммерческие и государственные услуги. Система создана по инициативе Центрального банка Российской Федерации и Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. «Ростелеком» – разработчик и оператор Единой биометрической системы.

С 30 июня 2018 года, зарегистрировавшись в системе и сдав биометрические образцы, граждане России смогут дистанционно открывать счета и брать кредиты в российских банках, работающих по системе удаленного обслуживания. Рассматривается добавление со временем дистанционной аутентификации и в других сферах: дистанционное обучение, телемедицина и т.д.

АПМДЗ в составе СКЗИ

В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в публичных требованиях к СКЗИ, п.6.1.3). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры - Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент - в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.

Варианты установки криптошлюза: inline или on-a-stick

При добавлении в инфраструктуру отдельного VPN-шлюза (особенно отечественного) всегда возникает вопрос какую схему включения использовать – inline (в разрыв) или on-a-stick (сбоку – «на одной ноге» или на двух). Технически при грамотной настройке все эти варианты работоспособны. Больше всего вопросов возникает по схеме on-a-stick: для сетевых инженеров она наиболее привычна и удобна, но многие сомневаются пройдет ли такая система аттестацию.

VPN ГОСТ между несколькими организациями

Взаимодействие двух и более организаций между собой – обычное дело. В различных вариантах сотрудничества одна организация может передавать другой какую-либо информацию, которая требует обязательной защиты, например, ПДн. Естественно, это делается не на бумажных носителях, а в электронном виде через интернет, а значит без защиты данных не обойтись. Реализовать защиту можно с помощью шифрования файлов - CMS (Cryptographic Message Syntax) или шифрования трафика – VPN (Virtual Private Network). В заметке пойдет речь о реализации второго варианта.

Экспорт СКЗИ

В этом году на Рускрипто был интересный доклад Валерия Комарова об организации защищенных каналов связи с зарубежными представительствами. Валерий трудится в компании РТ-Информ (Ростех), но выступал как независимый эксперт. Его доклад был посвящен проблемам, с которыми он столкнулся при попытке вывезти СКЗИ за пределы РФ. Речь шла о VPN-продукте Кода Безопасности – Континент АП, который вывезти не удалось.

Новый документ от ТК26

На сайте технического комитета опубликован проект документа "Принципы разработки и­ модернизации шифрова­льных (криптографичес­ких) средств защиты и­нформации".

Необходимость использования сертифицированных средств

Довольно часто у заказчиков возникает вопрос - использовать сертифицированные средства защиты информации или обойтись несертифицированными. Выбор несертифицированных гораздо больше, соответственно, есть варианты с довольном скромным прайс-листом. Сертифицированных средств меньше, они дороже, но в некоторых случаях их использование обязательно. В заметке рассмотрим один из таких случаев подробнее.