Применение СКЗИ в ГИС: разбор новых требований ФСБ России
Узнать большеКриптографическая защита информации востребована сегодня как в государственных, так и в коммерческих структурах. В ряде сфер информационная безопасность должна быть организована в соответствии с законодательством. Алгоритм ГОСТ 28147-89, применяемый для шифрования информации, является актуальным на сегодняшний день. Также используются более современные стандарты: ГОСТ Р 34.12-2015, посвященный блочным шифрам, а режимы их работы регулируются ГОСТ Р 34.13-2015. Эти нормативные акты будут рассмотрены в отдельном обзоре.
О ГОСТ
Стандарт ГОСТ 28147-89 регламентирует аспекты симметричного блочного шифрования, а также предписывает возможные режимы его использования. Относится к DES-подобным криптосистемам, при шифровании применяется схема Фейстеля. Разработка этого стандарта шифрования стартовала в 1976 году, а нормативный акт вступил в силу 1 июля 1990 года.
Средства криптографической защиты информации, сертифицированные в РФ, обозначаются аббревиатурой СКЗИ. С 1 июня 2019 года поддержка ГОСТ 28147-89 в новых СКЗИ не осуществляется. Исключение составляют случаи, когда на установленном ранее оборудовании уже использован этот алгоритм и нужно создать совместимое изделие.
Выдачей сертификатов соответствия для средств криптографической защиты информации в нашей стране занимается ФСБ России. Чтобы пройти сертификацию, обязательно применение отечественных алгоритмов.
Варианты алгоритмов для шифрования
Шифр блочного типа советской разработки известен как алгоритм криптографического преобразования ГОСТ 28147-89. Информация делится на модули размерностью 64 бита, каждый зашифровывается индивидуально.
Система работает следующим образом:
- Сформированные изначально блоки делятся на две части.
- На выходе данные с правого сегмента вписываются в левую сторону.
- Правая часть преобразуется криптографическим способом с использованием ключа.
- Левый сегмент с исходником и правый с преобразованными данными соединяются с помощью сумматора по второму модулю.
- Система повторяет процесс еще несколько раз для повышения уровня безопасности.
Криптографический алгоритм ГОСТ 28147-89 по уровню надежности не уступает большинству зарубежных разработок.
Структурная схема
Детали схемы стандарта шифрования ГОСТ 28147-89:
-
элементы, обозначенные буквой N с 1 по 4 – 32-битные накопители;
-
N5 и N6 – 32-разрядные накопители (в первом случае постоянное заполнение С2, во втором – С1);
-
256-битный запоминающий блок (КЗУ) включает 8 32-разрядных накопителей;
-
СМ5 – дополнительный сумматор по модулю 2;
-
СМ1 и СМ3 – 32-битные сумматоры по 232-разрядному модулю;
-
СМ4 – сумматор, использующий модуль 232-1;
-
узлы замены с К1 по К8 составляют блок подстановки, память 64-битная;
-
R – 11-битный регистр сдвига в левую сторону циклического типа.
Регламенты функционирования ГОСТ 28147-89
Алгоритм шифрования ГОСТ 28147-89 может функционировать в четырех вариантах:
- Простая замена. Информация преобразовывается за счет распараллеливания на нужное число потоков. Этот вариант отличает высокая производительность. Но есть минус – одни и те же блоки открытых данных преобразуются в идентичные зашифрованные сегменты. Это позволяет раскрыть его структуру. Не имеет смысла шифровать таким методом больше, чем 1 блок текста.
- Режим гаммирования предусматривает дробление данных на блоки «s». Впоследствии исходные сегменты соединяются с усеченными зашифрованными (состоят из синхропосылки IV и определенного значения счетчика). Этот вариант используется чаще всего, так как обеспечивает высокую скорость. В этом случае применяется способ прямого криптографического преобразования Ek.
- Режим гаммирования дополненный обратной связью в ГОСТ 28147-89 представляет собой особый метод применения симметричного шифра в блочном исполнении. При таком подходе любой последующий блок суммируется по модулю 2 с перешифрованным предыдущим сегментом. При возникновении ошибок передачи не получится расшифровать только поврежденный элемент, на остальные это никак не влияет.
- Режим выработки имитовставки. Процесс шифрования подобен простой замене с зацеплением. Технология отличается за счет формирования последнего блока, где используется производный ключ, который меняется в зависимости от того, был последний сегмент с исходной информацией полным, или нет.
Схемы реализации
Шифрование с помощью ГОСТ 28147-89 должно осуществляться с соблюдением требований регуляторов. Компания «Ростелеком-Солар» использует только СКЗИ от ведущих вендоров – «Код Безопасности», «ИнфоТеКС», «С-Терра СиЭсПи».
Защита данных может быть реализована по-разному:
- Защищённый канал между объектами компании. На каждом объекте устанавливается СКЗИ, информация передается между ними в зашифрованном виде. Данный вариант подходит для различных топологий сети: звезда, полносвязная, точка-точка.
- Организация защищенного доступа к ресурсам, размещенного в крупнейшем ЦОД России. СКЗИ уже установлены в ЦОД, на установку и настройку на других объектах требуется минимум времени.
- Обслуживание защищенных каналов связи. Если в компании уже организована передача зашифрованных данных с помощью СКЗИ, то можно передать это оборудование на эксплуатацию в «Ростелеком-Солар». После окончания срока эксплуатации «Ростелеком-Солар» предоставляет новое оборудование.
При подаче заявки на подключение сервиса ГОСТ VPN с применением ГОСТ 28147-89 нужно заполнить опросный лист. На основе полученной информации специалисты «Ростелеком-Солар» подберут оптимальный вариант сервиса и подготовят бюджетную оценку. После согласования всех параметров проводятся монтажные работы и запуск оборудования в эксплуатацию. В дальнейшем оборудование постоянно находится на мониторинге, специалисты обновляют его конфигурацию, а также ключевую информацию и версии ПО. Это позволяет обеспечивать высокий уровень безопасности и соответствовать актуальным требованиям регуляторов.
Заключение
Оборудование для шифрования каналов связи с поддержкой ГОСТ 28147-89 может быть приобретено на баланс компании или предоставляться по сервисной модели. Подписка на сервис ГОСТ VPN ничем не уступает покупке оборудования – используются сертифицированные СКЗИ, соответствующие требованиям регуляторов. При этом не требуются колоссальные затраты на подключение и собственный персонал. Сервис оплачивается ежемесячно, а специалисты «Ростелеком-Солар» круглосуточно поддерживают его работоспособность.
