проекту наказу Адміністрації Держспецзв'язку Про унесення змін до наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.07.2007 №141


Volodymyr Styran likes this

You, Volodymyr Styran like this

12 comments

Artem Ivan'ko проекту наказу Адміністрації Держспецзв'язку Про унесення змін до наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20.07.2007 №141

Проект приказа предполагает ужесточение требований с средствам КЗИ предназначенным для криптографических преобразований и управления ключевой информации, а именно использование аппаратных носителей с чипом соответсвующим COMMON CRITERIA EAL4+.
Скорее всего станет обязательным для "надійних засобів ЕЦП", хотя видимо и не в этой редакции. Надеюсь что после "набрання чинності" не будет возникать вопросов почему риск хранения секретного ключа на защищенном аппаратном носителе и риск хранения секретного ключа в виде защищенного паролем файла на дискете не сопоставимы. А особенно применительно хранению секретных ключей Центров Сертификации Ключей в программных контейнерах без использования HSM.

Gleb Paharenko Подкину инфы для дискуссии. Список продуктов сертифицированных по EAL4+ есть на сайте: http://www.commoncriteriaportal.org/products/. Кстати такой уровень доверия имеет Windows XP.

Интересно, стоит ли в предложении стандарта указывать набор функциональных требований, или еще лучше ProtectionProfile? (http://www.commoncriteriaportal.org/pps/).

Vladimir Gninyuk "...підтверджують відповідність зазначених мікропроцесорів вимогам функціональних послуг безпеки, за рівнем гарантій довіри не нижче EAL4+ відповідно до міжнародного стандарту ISO/IEC 15408"

* в ISO/IEC 15408-3:2008 описание EAL4 видел, с "+" не видел.

Gleb Paharenko В списке продуктов есть смарт-карты и системы управления ключами.

Artem Ivan'ko В данном документе идет речь именно о микропроцессорах для устройств хранения ключевой информации , HSM, смарт-карты, токена.
Вопрос действительно актуальный. Так как на данный момент в некоторых реализация программно-технических комплексов (ПТК) Центров сертификации ключей (ЦСК) возможны ситуации, что секретные ключи корневых сертификатов ЦСК храняться в виде файла защищенного паролем.
Что касается пользовательских сертификатов ситуация еще более удручающая.
Насколько мне известно, то на данный момент этим требованиям (для пользовательских ключей) удовлетворяют только средства КЗИ производства ООО "ИИТ" (г. Харьков) - Кристал-1, и ООО "Автор". Используя эти носители невозможно получить непосредственный доступ к секретному ключ, только послать данные на вход и получить ответ. Такое же реализовано для Aladdin eToken PRO - но только для реализации алгоритма RSA, для ДСТУ 4145 к сожалению у Aladdin это не так.
Использование таких средств КЗИ конечно увеличивает общую стоимость владения сертификатом ЭЦП, но риски на порядок ниже, чем для программного носителя. Тем более что США, Европа и даже Прибалтика это давно использует в т.н. CardID, водительских удостоверениях и новых биометрических правах (есть сертификат открытого ключа).

Bogdan Bondar Добавлю от себя 5 копеек...
Так как ДССЗИ уже подчиняется Президенту, по мимо благородных идей по улучшению безопасности, вероятно это просто бизнес :)
Рынок в Украине большой, а он до сих пор пользуется дискетками, таблетками и просто файликами для хранения ключей, что естественно не секурно.
Следующим шагом можно усложнить процедуру ввоза подобных защищенных носителей в Украину и опля...Автор и ему подобные в сметане :) а следовательно и Президент...

Но по сути своей идея правильная. Это значительно улучшит ситуацию с криптографией в Украине. Для нас это меньше головной боли...

Не стоит забывать про мечту НБУ, обязать все Банки использовать защищенные носители...а следовательно и их клиентов (юриков и физиков). Что в будущем исключает использование в иБанке ОТП токенов и СМС подтверждений...токены, токены и только токены...ну или смарт-карты :) на крайняк

Evgeniy Tarasov To Vladimir Gninyuk.
Почитать, что такое “EAL 4+” можно, например, в документе CWA 14169 Secure signature-creation devices “EAL 4+”. По идее, это EAL 4 с улучшениями (в документе описано, какими именно).
То Artem Ivan'ko
Ни «Кристалл-1» производства ООО «ИИТ», ни SecureToken производства ООО «Автор», ни Aladdin eToken PRO не отвечают указанным требованиям. Более того, «Кристалл-1» и SecureToken даже не проходили экспертизу в сфере ТЗИ по нашим отечественным НД ТЗИ. С Aladdin eToken PRO ситуация немного лучше – он прошел экспертизу на соответствие НД ТЗИ, но с уровнем доверия Г-2.

Идеология, по которой живет западный мир, отличается от нашей. Там производитель заинтересован в оценке своих продуктов, причем «по максимуму». Произведя такую оценку, рождается документ под названием «Protection Profile», в котором заявляется – мы достигли таких-то результатов. Конкуренты вынуждены или повторять, или превосходить достигнутые результаты.
Что мы имеем в Украине. В экспертном заключении указан перечень функций из НД ТЗИ 2.5-004-99 и уровень доверия. Как их проверяли, кто знает? У одного производителя заявлены 7 функций, у другого – 8; оба имеют экспертное заключение, оба отвечают – кто лучше и почему?

Artem Ivan'ko Не знаю подробностей как там у Горбенко И.Д. (ЗАО ИИТ) применительно к "Кристалу" (хочеться надеятся что все хорошо. Они сделали носитель для ДСК). Применительно к Aladdin не уверен, что их стоит перехваливать - их реализация ограничена и не поддерживает в полной мере ДСТУ. Что касается ООО "Автор" и их Cryptocard 318, SecureToken 318, то гос. экспертиза КЗИ там имеется. Уверен, что проходя ее необходимые требования соблюдены - это факт. Более детально общие требования можно посмотреть в этом документе "ПОЛОЖЕННЯ про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації" . Указанные средства КЗИ производства ООО "Автор" строятся на базе чипа infineon SLE 66X серии. Экспртиза ТЗИ - не уверен, что нужна в этом случае - есть заключения КЗИ. Кстати, применительно к средствам КЗИ ООО "Автор", они ориентируются при построении на эти чипы и свою ОС для них. Доступ к секретному ключу не возможно (максимально затруднен). Эти же технологии используются в НБУ (были сертифицированы НБУ). Система НСМЭП в том числе. Сведений о мошеничестве в системе НСМЭП нет до сих пор.

Artem Ivan'ko В продолжение темы
Ссылка на последнии экспертные заключения ООО "Автор" http://author.kiev.ua/data.php?id=32&news_a=1
Сведения о сертифицированных продуктах по Common Criteria
На чипы используемые ООО "Автор" скорее всего есть заключение по Common Criteria.
http://www.commoncriteriaportal.org/products/
Раздел : ICs, Smart Cards and Smart Card-related Devices and Systems
Product :
Infineon Smart Card IC (Security Controller) SLE66CLX1600PEM / M1590 / A12, SLE66CLX1600PE / M1596 / A12, SLE66CLX1600PES / M1597 / A12, SLE66CX1600PE / M1598 / A12, SLE66CLX1440PEM / M2090 / A12, SLE66CLX1440PE / M2091 / A12, SLE66CLX1440PES / M2092 / A12, SLE66CX1440PE / M2093 / A12, SLE66CLX1280PEM / M2094 / A12, SLE66CLX1280PE / M2095 / A12, SLE66CLX1280PES / M2096 / A12, SLE66CX1280PE / M2097 / A12 all optional with RSA V1.6, EC V1.1 and SHA-2 V1.0 and all with specific IC dedicated software
Infineon Technologies AG
Assurance Level: EAL5+
ALC_DVS.2
AVA_MSU.3
AVA_VLA.4
Date Certification: 01-OCT-10

Evgeniy Tarasov Артем, я никого не хвалю.
Экспертиза в сфере КЗИ у нас подтверждает правильность реализации криптоалгоритма (-ов), и не более. О чем, собственно, и говорится в экспертных заключениях.
Экспертиза в сфере ТЗИ подтверждает, что некий объект экспертизы реализует набор функций защиты. Да, существует подход, при котором часть ТЗИ-ых функций защиты подтверждается правильностью реализации криптоалгоритма, но это отдельная история (более подробно могу рассказать в ПМ).
А делать вывод о том, что вся система (я имею в виду токен) работает корректно только потому, что чип, который она использует, прошел испытания по Common Criteria, нельзя.

Bogdan Bondar Под требования НБУ о собственных ЦСК для Банков, Автор заделал новые Secure Token 337 который работает не только с ДСТУ 4145 но и с RSA.
Автор подтвердил что 318 уже не будут выпускаться.

Artem Ivan'ko В данном случае не в коем случае не имеется ввиду что наличие чипа освобождает от гос. экспертизы. Нужно и то и другое. Дополнительные вопросы задал в личку.

Comments