Программный комплекс «МагПро КриптоТуннель»
С помощью данного сертифицированного криптографического средства Вы сможете с наименьшими затратами времени и средств
обеспечить защиту обмена конфиденциальной информацией между Вашим
Интернет-сервисом и его пользователями.
Основным назначением МагПро КриптоТуннель является защита соединений по протоколу
HTTP, терминального доступа по протоколу RDP, электронной почты и т.п.
МагПро КриптоТуннель поддерживает электронную подпись данных и документов при передаче их через Web-форму.
МагПро КриптоТуннель удобен тем, что:
- не требует установки на пользовательских местах;
- не требует специального обучения пользователей;
- позволяет работать непосредственно со съемного носителя (например, USB-Flash) на любом компьютере;
- позволяет использовать любой Интернет-браузер для защищенного web-соединения;
- имеет минималистичный и интуитивно-понятный пользовательский интерфейс;
- может подписывать данные и документы, переданные пользователем через Web-форму, юридически значимой электронной подписью;
- позволяет пользователю не вводить URL сайта, что защищает от интернет-мошенничества в виде фишинга, DNS-спуфинга и т.п.
КриптоТуннель состоит из серверной части, устанавливаемой на защищаемый сервер, и клиентской части, применяемой пользователями этого сервера.
Сертификат ФСБ
СКЗИ «МагПро КриптоПакет» версии 3.0
успешно прошло сертификационные испытания в ФСБ РФ.
Получены сертификаты на средство криптографической защиты информации
(СКЗИ) «МагПро КриптоПакет» версии 3.0 по требованиям к средствам
криптографической защиты информации, предназначенным для защиты информации,
не содержащей сведений, составляющих государственную тайну,
класса КС1 (для исполнений 3, 5, 7) сертификат ФСБ РФ № СФ/114-3247 от 12 декабря 2017 года ,
класса КС2 (для исполнений 4, 6, 8) сертификат ФСБ РФ № СФ/114-3248 от 12 декабря 2017 года ,
требованиям к средствам электронной подписи, утвержденным приказом ФСБ России от 27 декабря 2011 г.
№796, установленным для класса КС1 (для исполнений 3, 5), класса КС2 (для исполнений
4, 6).
Исполнение «КриптоТуннель» указано в сертификатах под номерами 5 и 6.
Законодательство
Программный комплекс «МагПро КриптоПакет» в.3.0 в исполнении «КриптоТуннель» удовлетворяет требованиям российского законодательства к техническим
средствам защиты персональных данных и закону «Об электронной подписи».
Применение
- Защита данных и аутентификация пользователей, а также электронная подпись в системах «интернет-банк»;
- Защита данных и аутентификация пользователей, а также электронная подпись в корпоративных системах электронного документооборота;
- Защита данных при терминальном доступе (Remote Desktop);
- Защищенный обмен файлами через сеть Интернет, в т.ч. по протоколу WebDAV;
- Защита электронной почты;
- Обеспечение безопасного канала передачи данных и двусторонней аутентификации между клиентом и сервером, общающимися по произвольному протоколу.
СКЗИ «МагПро КриптоПакет» сертифицируются под фиксированный
список операционных систем:
Демо-версия
Демо-версия МагПро КриптоПакет 3.0 предоставляется по запросу,
подробности см. здесь
Документация
Техническое описание
Принцип действия
КриптоТуннель работает по принципу прокси. При старте клиентской части программа начинает
«слушать» заданный в конфигурационном файле порт на 127.0.0.1. Кроме порта в конфигурационном
файле задается, на какой удаленный сервер будет переадресовано соединение, принятое на данном порту.
Серверная часть в свою очередь устанавливается перед
защищаемым сервисом и принимает соединения, защищенные по протоколу SSL/TLS. При этом защищаемый сервис
настраивается таким образом, что начинает принимать соединения только от КриптоСервера.
Если после этого пойти, например, браузером, на http://127.0.0.1:[номер порта], то программа произведет
следующие действия в рамках выполнения протокола TLS:
- аутентификацию удаленного сервера по сертификату X.509 сервера, обеспечивая таким образом защиту от атаки «человек посередине»;
- аутентификацию клиента на сервере по сертификату X.509 клиента, обеспечивая таким образом защиту от несанкционированного
доступа к ресурсам сервера;
- шифрование сетевого трафика между клиентом и сервером, обеспечивая таким образом конфиденциальность обмена данными.
Электронная подпись производится в формате PKCS#7 с применением ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012. Возможно подписывать
- текстовые данные, передаваемые через web-форму;
- файлы произвольного формата, передаваемые через web-форму.
Когда пользователь вводит текстовые данные в web-форму на странице и отправляет эти данные на сервер, браузер формирует
POST-запрос. Формат тела этого запроса соответствует формату передаваемых данных и представляет собой набор записей: имя поля - значение поля.
Браузер отправляет данный запрос на сервер, но через КриптоТуннель. КриптоТуннель при этом проверяет, требуется ли подписывать данные из запроса.
КриптоТуннель подпишет данные в случае,
если запрос специальным образом промаркирован, то есть содержит поле со специальным именем.
Имена полей и URLs задаются в конфигурационном файле КриптоТуннеля. При подписи КриптоТуннель извлекает
данные из этого поля, декодирует их из формата url-encoded, затем подписывает в формате PKCS#7.
При этом конверт PKCS#7 содержит внутри себя декодированные данные, электронную подпись и сертификат подписи.
Затем конверт PKCS#7 кодируется в url-encoded и подставляется в поле запроса вместо данных; производится
соответствующее изменение размера тела запроса в заголовках.
При подписи файла КриптоТуннель работает схожим образом, но учитывается, что запрос представлен в виде
multi-part. При этом декодирование/кодирование url-encoded не требуется. Конверт PKCS#7, содержащий внутри себя
файл, подставляется вместо файла в тот раздел multi-part, в котором находился файл.
Протоколы
Протокол SSL/TLS, реализуемый КриптоТуннелем, обеспечивает защиту соединения на транспортном уровне модели OSI.
Вследствие этого возможна защита практически любого прикладного протокола, работающего через TCP-соединение без динамического
открытия портов, в частности HTTP, RDP, SMTP, POP3, IMAP, WebDAV, FTP (passive mode), NFS, SQL и т.д.
Соответствие стандартам
Для обеспечения совместимости с СКЗИ других производителей КриптоТуннель соответствует открытым стандартам в области защиты
информации, в частности поддерживаются:
- международные стандарты и рекомендации (Х.509, PKIX, PKCS, CMS, RFC);
- стандарт на ЭП ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012;
- выработка значения хэш-функции в соответствии с ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012;
- шифрование данных в соответствии с ГОСТ 28147-89.
Ключевые носители
|
|