Главная страница
Навигация по странице:

  • Підпис та дата Інв. № копії

  • ОПИС ПРОГРАМИ

    		•

    “ПРОГРАМНИЙ КОМПЛЕКС КРИПТОГРАФІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ «КРИПТОСЕРВЕР». МОДУЛЬ ШИФРУВАННЯ”. Опис_ПЗ_МШ. Опис програми


    Скачать 0.77 Mb.
    НазваниеОпис програми
    Анкор“ПРОГРАМНИЙ КОМПЛЕКС КРИПТОГРАФІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ «КРИПТОСЕРВЕР». МОДУЛЬ ШИФРУВАННЯ
    Дата09.04.2021
    Размер0.77 Mb.
    Формат файлаdoc
    Имя файлаОпис_ПЗ_МШ.doc
    ТипДокументы
    #192950





    Прим. №__

    ЗАТВЕРДЖЕНО

    UA. 35363887.00002-01 13 03-лЗ



    Підпис та дата



    Інв. № копії



    Підпис та дата



    Інв. № оригіналу





    ОПИС ПРОГРАМИ
    ПрограмнИЙ комплекс криптографічного захисту інформації «КРИПТОСЕРВЕР». МОДУЛЬ ШИФРУВАННЯ
    UA. 35363887.00002-01 13 03
    на ___ аркушах

    Київ – 2010

    . ЗМІСТ

    1 ВСТУП 4

    2 ЗАГАЛЬНІ ВІДОМОСТІ 5

    1.1 Позначення та назва програми 5

    1.2 Програмне забезпечення, необхідне для функціонування МШ 5

    1.3 Мова програмування 5

    3 ФУНКЦІОНАЛЬНЕ ПРИЗНАЧЕННЯ 6

    1.4 Призначення програми 6

    1.5 Відомості про функціональні обмеження під час використання 6

    4 ОПИС ЛОГІЧНОЇ СТРУКТУРИ 7

    1.6 Алгоритми програми 7

    1.6.1 Процедура завантаження 7

    7

    1.6.2 Процедура встановлення захищеного зв’язку (модуль, що ініціює зв'язок) 8

    8

    9

    1.6.3 Процедура встановлення захищеного зв’язку (модуль, з яким встановлюється зв'язок) 9

    9

    10

    1.7 Структура програми 10

    1.8 Взаємодія МШ з іншими програмами 10

    1.9 Використання ключових даних 12

    5 ТЕХНІЧНІ ЗАСОБИ, ЩО ВИКОРИСТОВУЮТЬСЯ 14

    15

    Аркуш реєстрації змін часткового технічного завдання 16


    1ВСТУП


    В даному документі наведений опис програмного модуля «Модуль шифрування», який є складовою частиною програмного комплексу криптографічного захисту інформації «Криптосервер» (далі – Комплекс) та призначений для побудови захищеної мережі (шлюз захищеної мережі), який встановлюється на границі захищеної мережі (далі – ЗМ) або границі сегмента ЗМ, що функціонує в інтересах одного, декількох або всіх суб'єктів (об'єктів) даної ЗМ (сегмента ЗМ), що забезпечує створення захищених з'єднань із іншими довіреними модулями шифрування.

    Максимальний гриф обмеження доступу інформації, яка циркулює в межах Комплексу – конфіденційна, що не є власністю держави.

    Оформлення програмного документа «Опис програми» виконано відповідно до вимог ЕСПД (ГОСТ 19.101-77 1, ГОСТ 19.103-77 2, ГОСТ 19.104-78* 3, ГОСТ 19.105-78* 4, ГОСТ 19.106-78* 5, ГОСТ 19.401-78 6, ГОСТ 19.604-78* 7).

    2ЗАГАЛЬНІ ВІДОМОСТІ




      1. Позначення та назва програми

    Програмний модуль «Модуль шифрування» має наступні атрибути:

    • Версія продукту
    -
    v. 1.0

    • Назва продукту
    -
    Програмний модуль «Модуль шифрування»

    • Розробник
    -
    ТОВ НВП «Безпека інформаційно-телекомунікаційних систем»

    • Найменування файлу, що виконується
    -
    cryptoserver.exe



      1. Програмне забезпечення, необхідне для функціонування МШ

    Функціонування Модуля шифрування здійснюється під керуванням операційних систем Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Vista.

      1. Мова програмування

    Модуль шифрування написано мовою програмування С++. У якості компілятору використовується CodeGear C++Builder 2007 компанії Borland.

    3ФУНКЦІОНАЛЬНЕ ПРИЗНАЧЕННЯ




      1. Призначення програми

    Модуль шифрування є програмним засобом, призначеним для побудови ЗМ (шлюз ЗМ), який встановлюється на границі ЗМ або границі сегмента ЗМ, що функціонує в інтересах одного, декількох або всіх суб'єктів (об'єктів) даної ЗМ (сегмента ЗМ), що забезпечує створення захищених з'єднань із іншими довіреними модулями шифрування.

    МШ реалізує наступні функції:

    • захист сеансів передачі даних (захист з'єднань), що включає:

      • реалізацію протоколу взаємної автентифікації сторін під час встановлення сеансу захищеної передачі даних (захищеного з'єднання);

      • захист (шифрування та контроль цілісності) сегментів захищеної передачі даних (даних захищеного з'єднання).

    • ведення протоколу роботи;

    • тестування зв’язку;

    • автентифікації користувача;

    • ведення локальної бази даних, яка характеризує контур безпеки;

    • ведення локальної бази сертифікатів;

    • аналізу поточного стану модуля:

      • кількість встановлених з’єднань;

      • інформація щодо компонентів Комплексу, з якими встановлено з’єднання (назва модулю, ІР-адреса);

    • локального та віддаленого (із використанням МК Комплексу) конфігурування.



      1. Відомості про функціональні обмеження під час використання

    МШ функціонує у режимі постійної взаємодії з такими компонентами Комплексу, як Центр розподілу ключів та Модуль керування. Експлуатація МШ без зазначених компонентів не передбачена вимогам, що висуваються у документі «Часткове технічне завдання «Програмний комплекс криптографічного захисту інформації. Модуль шифрування» та може призвести до неможливості виконання послуг з забезпечення захисту інформації, що передається, або до зниження його (захисту) рівню.

    4ОПИС ЛОГІЧНОЇ СТРУКТУРИ




      1. Алгоритми програми

        1. Процедура завантаження



        1. Процедура встановлення захищеного зв’язку (модуль, що ініціює зв'язок)





        1. Процедура встановлення захищеного зв’язку (модуль, з яким встановлюється зв'язок)





      1. Структура програми

    МШ складається з наступних частин:

    • робочий модуль: виконує операції шифрування/дешифрування інформації, встановлює канал захищеного зв’язку з іншим МШ.

    • бібліотека функцій криптографічних перетворень “UaCrypto”: забезпечує реалізацію механізмів криптографічних перетворень під час генерації та зберігання ключових даних. Експертний висновок Держспецзв’язку №5/1-4115 від 18.10.2010 р.



      1. Взаємодія МШ з іншими програмами

    В межах свого функціонування МШ взаємодіє з такими компонентами Комплексу, як Центр розподілу ключів, Модуль керування та Модуль шифрування, з яким безпосередньо встановлюється захищене з’єднання.

        1. Взаємодія з Модулем керування

    Модуль шифрування передбачає наступний механізм взаємодії з Модулем керування:

    • на етапі завантаження:

    • виконується реєстрація МШ Модулем керування;

    • виконується перевірка відповідності налаштувань МШ тим налаштуваннями, які зберігаються в базі МК. У випадку виявлення невідповідності виконується примусове її виправлення з боку МК.

    • у разі необхідності з боку Адміністратора Комплексу виконується перегляд журналу реєстрації подій, що ведеться безпосередньо на МШ.



        1. Взаємодія з Центром розподілу ключів та Модулем шифрування, з яким встановлюється захищене з’єднання.

    Робота модуля регулюється виконаними адміністратором налаштуваннями, що зберігаються у відповідному файлі. В хід функціонування користувачі не мають можливостей втручатись.

    Під час старту Робочий модуль створює локальну базу контуру безпеки шляхом читання файлів сертифікатів, які зберігаються на жорсткому диску, та аналізу їх змісту.

    Робочий модуль реалізує наступний протокол взаємодії з Центром розподілу ключів та Модулем шифрування, з яким встановлюється захищене з’єднання:

    1. Клієнтська частина програмного забезпечення, дані якого потребують захисту, ініціює запит. Відповідно до визначених адміністратором параметрів з’єднання (ІР-адреса, порт одержувача інформації) запит поступає до Модуля шифрування клієнтської частини (далі – Модуль А).

    2. Після одержання запиту Модуль А виконує перевірку локальної бази даних, що описує контур безпеки, з метою визначення модуля шифрування серверної частини, з яким буде налагоджений захищений зв'язок (далі – Модуль В).

    3. Після визначення адресата Модуль А формує запит на ініціалізацію захищеного з’єднання до Модуля В (запит містить сертифікат відкритого ключа та реквізити Модуля А).

    4. Модуль В формує запит на ініціалізацію захищеного з’єднання до Модуля А (запит містить сертифікат відкритого ключа та реквізити Модуля В), здійснює перевірку реквізитів та цифрового підпису сертифікату відкритого ключа та формує запит до ЦРК з метою перевірки статусу сертифікату Модуля А.

    5. Модуль А після отримання запиту від Модуля В здійснює перевірку реквізитів та цифрового підпису сертифікату відкритого ключа та формує запит до ЦРК з метою перевірки статусу сертифікату Модуля В.

    6. ЦРК формує відповідь, яка містить відомості про статус сертифікату, що перевіряється, підписує її своїм секретним ключем та надсилає до Модулів А, В.

    7. Кожний з модулів (у випадку підтвердження дійсності сертифікату іншого модуля) з використанням відкритого ключа іншого модуля, що отримується з сертифікату, та власного секретного ключа обчислює спільний сеансовий ключ та формує запит до іншого модуля на встановлення сеансу захищеного з’єднання (запит містить інформацію узгодження ключа)

    8. Кожний з модулів після отримання запиту на встановлення сеансу захищеного зв’язку з використанням власного закритого ключа та відкритого ключа іншого модуля, що отримується з сертифікату обчислює спільний сеансовий ключ та надсилає відповідь, про підтвердження сеансу захищеного з’єднання. Після отримання відповіді, між модулями формується захищений канал.

    9. Модуль В за допомогою контуру безпеки визначає параметри (ІР-адреса, порт) програмного застосування (серверної частини ПЗ) та встановлює мережне з’єднання із серверною частиною ПЗ. Після встановлення мережний обмін між клієнтською та серверною частинами ПЗ зашифровується та інкапсюлюється до мережного обміну між Модулем А та Модулем В. Після завершення обміну та розривання з’єднання однією з сторін (серверною або клієнтською частиною ПЗ) сеанс захищеного з’єднання завершується (усі створені мережні з’єднання розриваються).



    Рис.1 Протокол встановлення каналу захищеного зв’язку між модулями шифрування А та В

      1. Використання ключових даних

    Ключові дані зберігаються в файлах на жорсткому диску. Робочий модуль надає програмний інтерфейс доступу до сховища ключів. Захист сховища ключів від несанкціонованого доступу виконується шляхом шифрування із застосуванням алгоритму, що визначений стандартом ДСТУ ГОСТ 28147:2009.

    Під час доступу до сховища ключових даних, їх експорту виконується контроль цілісності сховища ключів з використанням алгоритму ДСТУ ГОСТ 28147:2009 у режимі обчислення імітовставки.

    Реалізація вищенаведених дій виконується шляхом виклику функцій бібліотеки криптографічних перетворень UaCrypto.



    Рис. 2 Процедура виклику функцій криптографічного перетворення

    Порядок використання Робочого модуля наведено в документі ««Програмний комплекс криптографічного захисту інформації «Криптосервер». Модуль шифрування. Настанова оператору».

    5ТЕХНІЧНІ ЗАСОБИ, ЩО ВИКОРИСТОВУЮТЬСЯ


    Модуль шифрування функціонує на ПЕОМ під керуванням операційних систем Microsoft Windows XP, Microsoft Windows 7, Microsoft Windows Server 2003.






    UA. 35363887.00002-01 13 03


    Аркуш реєстрації змін часткового технічного завдання




    Номер

    зміни
    Номери сторінок
    Усього сторінок після внесення змін
    Інформація про знаходження зміни (номер супровідного листа)
    Підпис особи, що внесла зміну
    Прізвище цієї особи і дата внесення зміни




    замінених
    долучених
    вилучених
    змінених


















































































































































































































































































































































    1 ГОСТ 19.101-77 ЕСПД. Виды программ и программных документов

    2 ГОСТ 19.103-77 ЕСПД. Обозначение программ и программных документов

    3 ГОСТ 19.104-78* ЕСПД. Основные надписи

    5 ГОСТ 19.106-78* ЕСПД. Общие требования к программным документам, выполненным печатным способом

    6 ГОСТ 19.401-78 ЕСПД. Текст программы. Требования к содержанию и оформлению

    7 ГОСТ 19.604-78* ЕСПД. Правила внесения изменений в программные документы, выполненные печатным способом


    Лист

    Дата

    Підп.

    докум.

    Лист

    Ізм.
    UA. 35363887.00002-01 13 03


    написать администратору сайта