Алгоритм шифрования гост континент

Алла Антонова



Континент АП и ГОСТ Р 34.10-2012. Формирование запроса на сертификат. §

Наступил 2019 год. Поэтому в соответствии с письмом УФК по Челябинской области «Об изменении порядка получения сертификатов Континента АП», с 01.01.2019 формирование запросов на сертификаты для работы в СКЗИ Континент АП, должно выполняться только с применением криптопровайдера «Код безопасности CSP» и алгоритма открытого ключа по ГОСТ Р 34.10-2012.

В связи с этим, я решил показать как сделать такой запрос на сертификат Континента АП. Первое, что нужно знать, это то, что такой запрос делается на версии программы не ниже чем 3.7.7.651. Если у вас версия другая, то получите нужную в вашем территориальном отделе Федерального казначейства и обновите свой Континент АП.

Кстати, обновить Континент АП до указанной версии очень просто. Не потребуется даже удалять предыдущую. Просто запускаете установку, а дальше установщик всё сделает сам. Правда это относится к версиям, которые используют криптопровайдер «Код безопасности CSP», например версия Континента АП 3.7.5.474. Если же у вас старая версия, какая как 3.5.68.0, то ее придется удалить штатными методами операционной системы, а потом установить новую.

Итак, приступим. После загрузки Вашего компьютера, в трее (в правом нижнем углу рабочего стола вашего ПК) должна быть иконка программы Континент АП. Кликнем по ней правой кнопкой мыши (ПКМ) и выполним пункт меню Сертификаты -> Создать запрос на пользовательский сертификат. Все это показано на рисунке ниже:

После этого откроется окошко, где нужно будет заполнить все поля. Я заполнил их так, как вы видите на рисунке ниже, вы же заполняйте по своему:

В блоке «Файлы для сохранения запроса на сертификат», можно отредактировать имена этих файлов. Не забудьте поставить галочку «Бумажная форма» и по кнопкам «Обзор» укажите место для сохранения файлов на вашем компьютере. После нажатия на кнопку «Подробно», откроются варианты выбора криптопровайдера и формата запроса (рис. 2). Как уже говорилось в начале статьи выбираем криптопровайдер «Код безопасности CSP» и формат запроса «Запрос для СД» (запрос для сервера доступа). Имя контейнера тоже можно отредактировать. Если все это сделано, жмем «ОК» и приступаем к процессу генерации закрытых ключей и запроса на сертификат (рис. 3):

Как видно из рисунка 3, на вашем экране появится мишень, которая перемещается по экрану. Ваша задача кликать по ней мышкой и смотреть за полоской индикатора в окне «Код безопасности CSP», которая должна двигаться. С такой мишенью вы сталкивались, если сами устанавливали программу на компьютер, я же рассказывал об том тут. В конце всех этих действий надо нажать на кнопку «ОК» и процесс генерации ключей и запроса продолжится дальше:

После ввода пароля на носитель, а тут нас заставляют это сделать, как видно из рис. 4, минимальная длина пароля должна быть 6 символов и выбора ключевого носителя для записи ключей (рис. 5), генерация будет завершена (рис. 6). Теперь осталось посмотреть печатную форму и файл запроса, которые были сгенерированы вместе с закрытыми ключами. Открываем форму и видим, что алгоритм открытого ключа остался старый, т.е. сделанный по ГОСТ Р 34.10-2001. Это видно на рисунке ниже:

Но, поверьте мне, повода для паники нет. У вас просто установлен старый шаблон печатной формы. Новый можно скачать отсюда. Вы скачаете архив, в котором будет сам файл шаблона печатной формы request.xsl и инструкция о том, куда этот шаблон запихнуть на вашем компьютере, т.е. путь к файлу шаблона. И еще, для очистки совести, можно узнать в каком виде у нас получился запрос, а именно *.req файл, который тоже был сгенерирован вместе с ключами, ведь на основе именно его содержимого выдается сертификат. Файл в этом формате можно прочитать специальной программой, которую вы можете скачать отсюда. Открыв файл в ней, мы увидим совсем другую картину:

На рис. 8 показан алгоритм открытого ключа в том случае, когда у вас на компьютере установлен Континент АП и выше указанная программа. На рис. 9 показан алгоритм открытого ключа, когда у вас не установлен Континент АП. И в том и в другом случае это нормально. Ну а печатную форму необходимо откорректировать, заменив ее шаблон. На этом всё, спасибо за внимание и пока!

И напоследок. Если вам понравилась эта статья и вы почерпнули из нее что-то новое для себя, то вы всегда можете выразить свою благодарность в денежном выражении. Сумма может быть любой. Это вас ни к чему не обязывает, все добровольно. Если вы всё же решили поддержать мой сайт, то нажмите на кнопку «Поблагодарить», которую вы можете видеть ниже. Вы будете перенаправлены на страницу моего сайта, где можно будет перечислить любую денежную сумму мне на кошелек. В этом случае вас ждет подарок. После успешного перевода денег, вы сможете его скачать.

Читайте также:  Полоса 200 мм гост

Источник

Обзор АПКШ «Континент» 3.9 – многофункционального криптошлюза для защиты сетевого периметра

Аватар пользователя Виктор Чаплыгин

АПКШ «Континент» 3.9 — аппаратно-программный комплекс шифрования для обеспечения защиты информационных сетей, конфиденциальности при передаче информации по открытым каналам связи, организации безопасного удаленного доступа и защиты сетевого периметра. Решение построено на базе новых аппаратных платформ, что вместе с новым программным обеспечением позволяет добиться производительности до 13 Гбит/с в режиме межсетевого экранирования и до 20 Гбит/с в режиме шифрования канала по ГОСТ. Может использоваться для защиты каналов между ЦОД за счет применения аппаратного криптоускорителя.

Сертификат AM Test Lab

Номер сертификата: 239

Дата выдачи: 14.12.2018

Срок действия: 14.12.2023

  1. 2.1. Архитектура и производительность
  2. 2.2. Функциональные возможности
  3. 2.3. Типовые варианты внедрения
  1. 3.1. Практические примеры настройки «Континент» 3.9
    1. 3.1.1. Пример 1. Создание криптошлюза в топологии защищенной сети
    2. 3.1.2. Пример 2. Настройка DHCP- и NTP-сервера на криптошлюзе
    3. 3.1.3. Пример 3. Резервирование базы данных центра управления сетями
    4. 3.1.4. Пример 4. Агрегация интерфейсов

    Введение

    Развитие инфраструктуры в организациях, в том числе в государственном секторе, дает стимул вендорам и разработчикам средств защиты информации постоянно улучшать свои продукты.

    Динамика развития сетей в госорганах до определенного момента значительно отставала от корпоративного сегмента. Сейчас разрыв уменьшился, и запросы в части производительности активного сетевого оборудования и применяемых технологий выросли. Поэтому все разработчики средств защиты информации стараются успевать за возрастающими потребностями заказчиков.

    По данным исследовательской компании Gartner, за последние годы показатели продаж устройств с 40-гигабитными сетевыми картами сравнялась с показателями продаж 10-гигабитных карт из-за постоянно возрастающих требований к пропускной способности в сетях организаций. Однако обеспечить соответствие новым потребностям рынка способны не только зарубежные сетевые устройства.

    Специфика российского рынка предполагает не только высокие требования к производительности: важными факторами являются тенденция импортозамещения и использования сертифицированных средств защиты информации.

    С этим связано усиление требований со стороны регуляторов для решения различных отраслевых задач и потребностей:

    • потребность в надежных средствах криптографической защиты информации объектов критической информационной инфраструктуры (в соответствии с Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ) для взаимодействия с государственными центрами реагирования на компьютерные инциденты;
    • ГОСТ по защите информации для финансовых организаций (ГОСТ Р 57580.1-2017);
    • повсеместность обработки персональных данных и необходимость их защиты при передаче по открытым каналам связи;
    • требования ФСТЭК России по сертификации межсетевых экранов и средств технической защиты информации стали гораздо серьезнее в части необходимой функциональности и уровня доверия к программной среде, под которой работают устройства подобного класса.

    Еще один мировой тренд в развитии концепции сетевой безопасности направлен в сторону централизации. В соответствии с этим уже сегодня заявлен высокий уровень защиты сети вне зависимости от среды и сценариев реализации систем защиты. Для удовлетворения потребностей заказчиков сейчас все мировые производители выпускают целую линейку продуктов, позволяющих покрыть все потребности заказчика.

    АПКШ «Континент» — централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ. Он является частью большого комплексного решения для защиты сетевой инфраструктуры, в которое также входят:

    • Персональный межсетевой экран из состава Secret Net Studio — он позволяет сегментировать сеть там, где нельзя установить аппаратный межсетевой экран;
    • «Континент TLS», который обеспечивает защищенный удаленный доступ к web-ресурсам с использованием алгоритмов ГОСТ;
    • vGate vFirewall — обеспечивает сегментацию виртуализованной сети без необходимости использовать виртуальные межсетевые экраны или использовать персональные межсетевые экраны на виртуальных машинах;
    • «Континент WAF» обеспечивает защиту веб-приложений.

    Ниже в качестве примера приведены высокопроизводительные модели линейки продуктов «Кода безопасности» (рисунок 1).

    Таблица 1. Линейка высокопроизводительных АПКШ «Континент»

    IPC-800F
    IPC-1000F
    IPC-3000F
    IPC3000FC

    Характеристики АПКШ «Континент» 3.9

    Архитектура и производительность

    Новый «Континент» 3.9 стал значительно быстрее за счет перехода на 64-битную программную платформу (x86_64 FreeBSD). Проведена оптимизация программного обеспечения и исправлены ранее обнаруженные ошибки. Кроме того, был обновлен модельный ряд устройств. В результате, если старшее устройство АПКШ «Континент» 3.7 обладало пропускной способностью межсетевого экрана в 3,5 Гбит/с и пропускной способностью шифрования в 2,5 Гбит/с, то старшее устройство АПКШ «Континент» 3.9 обладает производительностью в 13 Гбит/с и 20 Гбит/с соответственно.

    Также разработчики добились значительного увеличения производительности межсетевого экрана на устройствах предыдущего поколения (рисунок 2).

    Рисунок 1. Сравнение производительности «Континент» 3.7 и «Континент» 3.9 (Мбит/с)

    Сравнение производительности «Континент» 3.7 и «Континент» 3.9

    Стоит отметить, что для тестирования новой версии была произведена смена методики замеров производительности, основанная на методологии NSS Labs. Используя статистику о реальном трафике на стороне заказчика, можно проводить более точные и близкие к реальности замеры, о чем говорят результаты исследования.

    При проведении тестов на производительность учитывался и тот факт, что системы могут генерировать трафик с большим количеством потоков (например, при работе по протоколу HTTP).

    Применение различных подходов в изучении производительности позволяет доказать эффективность внедренных новшеств.

    Теперь после того, как мы рассмотрели общие вопросы, связанные с архитектурой и методиками замера производительности АПКШ «Континент» 3.9, ознакомимся более детально с модельным рядом (рисунок 3).

    Для начала разберемся с маркировкой, что означают цифры и литеры в названиях АПКШ:

    • IPC — общепринятое обозначение платформы АПКШ;
    • цифры указывают на относительную производительность платформы и классифицируют по уровням (до 100 — начального уровня, 100-1000 — среднего уровня производительности, 3000 — высокопроизводительные устройства);
    • литера F означает наличие на платформе платы расширения с оптическими интерфейсами;
    • литера C означает наличие криптоускорителя.

    Таблица 2. Пропускная способность модельного ряда АПКШ «Континент» 3.9

    Источник

    ГОСТ 2012. Сообщение КриптоПро о переходе на новый ГОСТ

    Согласно Уведомлению об организации перехода на использование схемы электронной подписи по ГОСТ Р 34.10-2012 (ГОСТ 2012) электронные подписи, выпущенные по ГОСТ Р 34.10-2001 , можно использовать до 31.12.2019.

    Таким образом, срочного перевыпуска существующих подписей не требуется, в течении всего 2019 года можно использовать подписи на старом алгоритме. Подпись на новом алгоритме можно будет получить при плановом продлении сертификата в 2019 году.

    Переход Удостоверяющего Центра СКБ Контур на ГОСТ 2012

    Выпускать сертификаты на ГОСТ 2012 для Контур.Экстерн Удостоверяющий Центр планирует начать c 01.01.2019 года. Потребности в срочной замене сертификатов нет, так как контролирующие органы пока не готовы принимать документы, подписанные сертификатами по ГОСТ 2012.

    СКБ Контур будет использовать все доступные каналы связи для оповещения своих клиентов о необходимости замены сертификата.

    Что сделать для перехода к использованию сертификатов на новом ГОСТ?

    1. Получить новый сертификат, сформированный на ГОСТ 2012 или дождаться планового обновления сертифката.
    2. Установить КриптоПро версии 4.0 и выше.
    3. Приобрести лицензию на КриптоПро версии 4.0, если используется сертификат без встренной лицензии. Для работы КриптоПро CSP на серверных операционных системах (Windows Server 2003/2008/2012/2016) необходимо приобрести и активировать Серверную лицензию. Для приобретения Серверной лицензии обратитесь в сервисный центр.
    4. Установить Контур.Плагин версии 3.10.0.256 или выше.

    Сообщение Крипто Про CSP

    При использовании КриптоПро CSP 3.9 или 4.0 появляется сообщение:
    «С 1 января 2019 года запрещено формирование электронной подписи с помощью ключей ЭП ГОСТ Р 34.10-2001. Вам необходимо перейти на использование ключей ЭП ГОСТ Р 34.10-2012. Продолжить использование ключа ЭП ГОСТ Р 34.10-2001?»

    Пока наш Удостоверяющий Центр не выдает сертификаты на новом алгоритме можно убрать окно с сообщение следующими способами:

    Источник

    АПКШ «Континент»

    АПКШ «Континент» (программный комплекс шифрования «Континент») — аппаратно-программный комплекс, позволяющий обеспечить защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организовать безопасный доступ пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций.

    Является сертифицированным продуктом и обладает сертификатами ФСТЭК и ФСБ. [Источник 1]

    Содержание

    Назначение

    Комплекс обеспечивает криптографическую защиту информации (в соответствии с ГОСТ 28147–89), передаваемой по открытым каналам связи, между составными частями VPN, которыми могут являться локальные вычислительные сети, их сегменты и отдельные компьютеры. [Источник 2] [Источник 3]

    Современная ключевая схема, реализуя шифрование каждого пакета на уникальном ключе, обеспечивает гарантированную защиту от возможности дешифрации перехваченных данных.

    Для защиты от проникновения со стороны сетей общего пользования комплекс «Континент» 3.7 обеспечивает фильтрацию принимаемых и передаваемых пакетов по различным критериям (адресам отправителя и получателя, протоколам, номерам портов, дополнительным полям пакетов и т.д.). Осуществляет поддержку VoIP, видеоконференций, ADSL, Dial-Up и спутниковых каналов связи, технологии NAT/PAT для сокрытия структуры сети.

    Область применения

    • Защита внешнего периметра сети от вредоносного воздействия со стороны сетей общего пользования.
    • Создание отказоустойчивой VPN-сети между территориально распределенными сетями.
    • Защита сетевого трафика в мультисервисных сетях (VoIP, Video conference).
    • Разделение сети на сегменты с различным уровнем доступа.
    • Организация защищенного удаленного доступа к сети для мобильных сотрудников.
    • Защита пользовательского траффика, использующего беспроводную сеть в качестве канала.
    • Организация защищенного межсетевого взаимодействия между конфиденциальными сетями.

    Возможности

    • Безопасный доступ пользователей VPN к ресурсам сетей общего пользования
    • Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89
    • Межсетевое экранирование – защита внутренних сегментов сети от несанкционированного доступа
    • Безопасный доступ удаленных пользователей к ресурсам VPN-сети
    • Создание информационных подсистем с разделением доступа на физическом уровне
    • Возможность идентификации и аутентификации пользователей, работающих на компьютерах в защищаемой сети криптошлюзов

    Основные характеристики

    • Поддержка распространенных каналов связи
    • Прозрачность для любых приложений и сетевых сервисов
    • Работа с высокоприоритетным трафиком
    • Резервирование гарантированной полосы пропускания за определенными сервисами
    • Поддержка VLAN
    • Скрытие внутренней сети. Поддержка технологий NAT/PAT
    • NAT внутри VPN-связей
    • Интеграция с внешними системами анализа событий безопасности
    • L2VPN
    • Поддержка NTP на ЦУСе
    • АРМ генерации ключей
    • Поддержка протокола IPv6
    • Режим повышенной безопасности
    • Возможность удобного защищенного взаимодействия между сетями разных организаций
    • Возможность интеграции с системами обнаружения атак
    • Защита от DoS-атак типа SYN-flood
    • Поддержка внешних 3G-модемов (USB)
    • Функционал DHCP сервера на КШ

    Работа через Dial-Up соединения, оборудование ADSL, подключенное непосредственно к криптошлюзу, а также через спутниковые каналы связи. Криптошлюзы «Континент» 3.7 «прозрачны» для любых приложений и сетевых сервисов, работающих по протоколу TCP/IP, включая такие мультимедиасервисы, как IP-телефония и видеоконференции.

    Реализованный в АПКШ «Континент» 3.7 механизм приоритизации трафика позволяет защищать голосовой (VoIP) трафик и видеоконференции без потери качества связи.

    Резервирование гарантированной полосы пропускания за определенными сервисами обеспечивает прохождение трафика электронной почты, систем документооборота и т.д. даже при активном использовании IP-телефонии на низкоскоростных каналах связи.

    Поддержка VLAN гарантирует простое встраивание АПКШ в сетевую инфраструктуру, разбитую на виртуальные сегменты. Поддержка технологии NAT/PAT позволяет скрывать внутреннюю структуру защищаемых сегментов сети при передаче открытого трафика, а также организовывать демилитаризованные зоны и сегментировать защищаемые сети.

    Скрытие внутренней структуры защищаемых сегментов корпоративной сети осуществляется:

    • методом инкапсуляции передаваемых пакетов (при шифровании трафика);
    • при помощи технологии трансляции сетевых адресов (NAT) при работе с общедоступными ресурсами.

    Реализован механизм виртуальной адресации для обеспечения возможности обмена информацией между защищаемыми IP-подсетями с пересекающимся или одинаковым адресным пространством. В состав АПКШ «Континент» входит модуль «ArcSight коннектор», предназначенный для выгрузки событий в систему ArcSight ESM. Дополнительный модуль ПАК «Криптографический коммутатор» обеспечивает поддержку режима L2VPN для объединения распределенных сетей на канальном уровне L2 без изменения адресного пространства.

    Есть возможность автоматической синхронизации времени ЦУС и всей сети криптошлюзов с заданным сервером точного времени по протоколу NTP. В состав комплекса добавлено автоматизированное рабочее место генерации ключей для введения режима управления по схеме трехлетнего хранения ключевой информации. В качестве носителя ключевой информации используются USB-ключи Rutoken ЭЦП, ключи шифрования записывают в защищенную область памяти.

    Реализована поддержка работы с каналами связи, использующими протокол IPv6. Режим повышенной безопасности позволяет создавать группы криптографических шлюзов с политиками безопасности, исключающими попадание незашифрованного трафика во внешние сети.

    Обеспечивается возможность установления доверительных отношений между криптошлюзами, принадлежащими разным криптографическим сетям и управляемыми разными ЦУС, для организации защищенного обмена между разными организациями. Все настройки производятся централизованно при помощи программы управления ЦУС с использованием собственной инфраструктуры открытых ключей. На каждом криптошлюзе существует возможность специально выделить один из интерфейсов для проверки трафика, проходящего через КШ, на наличие попыток неавторизованного доступа (сетевых атак). Для этого необходимо определить такой интерфейс, как «SPAN-порт», и подключить к нему компьютер с установленной системой обнаружения атак (например RealSecure). После этого на данный интерфейс начинают ретранслироваться все пакеты, поступающие на вход пакетного фильтра криптошлюза.

    Для защиты от DoS-атак предусмотрен механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют либо ограничить количество соединений, используя «агента» (TCP proxy), либо блокировать соединение до целевого сервера до тех пор, пока клиент не ответит на свой собственный запрос подтверждением в рамках стандартного алгоритма работы TCP. Полуоткрытые соединения с просроченным временем ожидания автоматически удаляются из таблицы состояния.Реализована поддержка внешних 3G-модемов (USB) для подключения криптошлюзов через провайдеров сотовых сетей.

    Обслуживание и управление

    АПКШ «Континент» 3.7 не требует постоянного локального администрирования и может работать в необслуживаемом режиме 24*7х365. Промышленные компьютеры, используемые в производстве комплекса, в совокупности с возможностью горячего и холодного резервирования гарантируют бесперебойную работу комплекса. Комплекс осуществляет оперативное оповещение администраторов о событиях, требующих оперативного вмешательства, в режиме реального времени.

    В комплексе решена проблема обновления программного обеспечения криптошлюзов в территориально распределенных системах. Обновление ПО загружается в комплекс централизованно, рассылается на все криптошлюзы, входящие в состав комплекса, и автоматически устанавливается.

    Отказоустойчивость комплекса обеспечивается следующими мерами:

    • Аппаратное резервирование криптографических шлюзов (создание кластера высокого доступа). В случае выхода из строя одного из криптошлюзов переключение на резервный производится автоматически без вмешательства администратора и без разрыва установленных соединений.
    • Автоматическое резервное копирование конфигурационных файлов комплекса. Обеспечивает быстрое восстановление работы сети в случае выхода аппаратуры из строя.

    Централизованное управление сетью осуществляется при помощи ЦУС и программы управления, которая позволяет в диалоговом режиме изменять настройки всех криптошлюзов сети и вести оперативный мониторинг их текущего состояния. Отображение состояния всех устройств на рабочем месте администратора в масштабе реального времени позволяет своевременно выявлять отклонения от нормального процесса функционирования и оперативно на них реагировать.

    Реализована возможность разделения полномочий на администрирование комплекса, например, на управление ключевой информацией, на назначение прав доступа к защищаемым ресурсам, на добавление новых компонентов, на аудит действий пользователей (в том числе и других администраторов).

    Взаимодействие с системами управления сетью позволяет контролировать состояние АПКШ «Континент» 3.7 по протоколу SNMPv2 из систем глобального управления сетью (Hewlett-Packard, Cisco и др.)

    Источник