Общее описание системы безопасности NetInvestor
Система безопасности NetInvestor предусматривает следующие процессы:
-
присвоение и контроль соответствия уникальной для каждого пользователя пары "имя пользователя" и "пароль";
-
журнализация всех сообщений проходящих через систему;
-
администрирование пользователей системы безопасности;
-
обработка всех сообщений сервером безопасности
Сервер безопасности осуществляет криптографические преобразования поступающих сообщений и функционирует на базе
асимметричной криптосистемы 1.
Шифрование
-
Алгоритмом RC4 создается симметричный 64-битный ключ, этим ключом шифруется исходное сообщение (для каждого сообщения - новый).
-
По исходному тексту, с использованием алгоритма MD5, вычисляется имитовставка - отрезок информации фиксированной длины, полученный по определенному правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты (защита системы шифрованной связи от навязывания ложных данных).
-
Симметричный ключ RC4 шифруется открытым ключом того пользователя, которому предназначено сообщение, этот открытый ключ создается
алгоритмом RSA.
Электронная цифровая подпись
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Проставление подписи под документом не меняет самого документа, она только дает возможность проверить подлинность и авторство полученной информации. ЭЦП формируется следующим образом:
-
алгоритмом MD5, вычисляется имитовставка по исходному тексту.
-
имитовставка шифруется закрытым ключом подписи, этот закрытый ключ создается алгоритмом RSA.
Шифрованное сообщение имеет следующую структуру:
(64bit) симметричный ключ, зашифрованный ключом RSA
|
Имитовставка
|
ЭЦП
|
Исходный текст, зашифрованный симметричным ключом RC4.
|
Схема подключения другой криптосистемы
В настоящее время на практике NetInvestor используется со следующими системами криптозащиты:
- Криптосистема МФД от компании МФД-ИнфоЦентр
- Крипто-Про от компаний ООО "Крипто-Про" и ГУП НТЦ "Атлас".
- Message-PRO от компании ЗАО "Сигнал-КОМ"
Приобретение этих СКЗИ осуществляется брокером самостоятельно, а подключение к системе NetInvestor проводится сотрудниками МФД-ИнфоЦентра.
В то же время архитектура системы позволяет быстро подключать любые другие системы криптозащиты, используемые брокерами.
В архитектуру криптосистемы входит:
-
клиентская библиотека , обеспечивающая интерфейс между рабочим местом пользователя и криптосервером;
-
криптосервер (обеспечивающий шифрование и проверку подписи приходящих сообщений);
-
библиотека для программы LogReader;
-
генератор ключей.
Для подключения криптосистемы необходимо:
-
разработать, в соответствии со спецификациями, "генератор ключей" и библиотеку взаимодействия клиентской библиотеки с криптоядром системы безопасности
-
расширить клиентскую библиотеку, добавив функцию управления ключами
-
модифицировать криптосервер для управления этими новыми функциями.
Компрессия данных
В системе NetInvestor используется компрессия передаваемых данных. Помимо сжатия объема обмениваемой информации, это обеспечивает защиту от несанкционированного повтора отправляемого сообщения, так как каждое последующее сообщение связано с предыдущим.
1 Смысл данных криптосистем состоит в том, что для шифрования и расшифрования используются разные преобразования. Одно из них - шифрование - является абсолютно открытым для всех. Другое же - расшифрование - остается секретным. Таким образом, любой, кто хочет что-либо зашифровать, пользуется открытым преобразованием. Но расшифровать и прочитать это сможет лишь тот, кто владеет секретным преобразованием. В настоящий момент во многих асимметричных криптосистемах вид преобразования определяется ключом. Т.е. у пользователя есть два ключа - секретный и открытый. Открытый ключ - криптографический ключ, который связан с секретным с помощью особого математического соотношения. Открытый ключ предназначен для проверки электронной цифровой подписи и шифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить секретный ключ. Открытый ключ передается другим пользователям, и каждый, кто захочет послать сообщение этому пользователю - зашифровывает текст открытым ключом. Расшифровать сможет только упомянутый пользователь с секретным ключом. Секретный ключ - криптографический ключ, который хранится пользователем системы в тайне. Он используется для формирования электронной цифровой подписи и расшифрования. Таким образом, пропадает проблема передачи секретного ключа (как у симметричных систем). Стойкость асимметричных криптосистем базируется, в основном, на алгоритмической трудности решить за приемлемое время задачу подбора секретного ключа или его вычисления на основе соответствующего ему открытого ключа и зашифрованного документа.