Общее описание системы безопасности NetInvestor

Система безопасности NetInvestor предусматривает следующие процессы:
  • присвоение и контроль соответствия уникальной для каждого пользователя пары "имя пользователя" и "пароль";
  • журнализация всех сообщений проходящих через систему;
  • администрирование пользователей системы безопасности;
  • обработка всех сообщений сервером безопасности
Сервер безопасности осуществляет криптографические преобразования поступающих сообщений и функционирует на базе асимметричной криптосистемы 1.

Шифрование

  1. Алгоритмом RC4 создается симметричный 64-битный ключ, этим ключом шифруется исходное сообщение (для каждого сообщения - новый).
  2. По исходному тексту, с использованием алгоритма MD5, вычисляется имитовставка - отрезок информации фиксированной длины, полученный по определенному правилу из открытых данных и ключа и добавленный к зашифрованным данным для обеспечения имитозащиты (защита системы шифрованной связи от навязывания ложных данных).
  3. Симметричный ключ RC4 шифруется открытым ключом того пользователя, которому предназначено сообщение, этот открытый ключ создается алгоритмом RSA.
     

Электронная цифровая подпись

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Проставление подписи под документом не меняет самого документа, она только дает возможность проверить подлинность и авторство полученной информации. ЭЦП формируется следующим образом:
  • алгоритмом MD5, вычисляется имитовставка по исходному тексту.
  • имитовставка шифруется закрытым ключом подписи, этот закрытый ключ создается алгоритмом RSA.
Шифрованное сообщение имеет следующую структуру:

(64bit) симметричный ключ, зашифрованный ключом RSA
Имитовставка
ЭЦП
Исходный текст, зашифрованный симметричным ключом RC4.

Схема подключения другой криптосистемы

В настоящее время на практике NetInvestor используется со следующими системами криптозащиты:
  • Криптосистема МФД от компании МФД-ИнфоЦентр
  • Крипто-Про от компаний  ООО "Крипто-Про" и ГУП НТЦ "Атлас".
  • Message-PRO от компании ЗАО "Сигнал-КОМ"
Приобретение этих СКЗИ осуществляется брокером самостоятельно, а подключение к системе NetInvestor проводится сотрудниками МФД-ИнфоЦентра.
В то же время архитектура системы позволяет быстро подключать любые другие системы криптозащиты, используемые брокерами.
В архитектуру криптосистемы входит:
  • клиентская библиотека , обеспечивающая интерфейс между рабочим местом пользователя  и криптосервером;
  • криптосервер (обеспечивающий шифрование и проверку подписи приходящих сообщений);
  • библиотека для программы LogReader;
  • генератор ключей.
Для подключения криптосистемы необходимо:
  • разработать, в соответствии со спецификациями, "генератор ключей" и библиотеку взаимодействия клиентской библиотеки с криптоядром системы безопасности
  • расширить клиентскую библиотеку, добавив функцию управления ключами
  • модифицировать криптосервер для управления этими новыми функциями.
     

Компрессия данных

В системе NetInvestor используется компрессия передаваемых данных. Помимо сжатия объема обмениваемой информации, это обеспечивает защиту от несанкционированного повтора отправляемого сообщения, так как каждое последующее сообщение связано с предыдущим.

 1 Смысл данных криптосистем состоит в том, что для шифрования и расшифрования используются разные преобразования. Одно из них - шифрование - является абсолютно открытым для всех. Другое же - расшифрование - остается секретным. Таким образом, любой, кто хочет что-либо зашифровать, пользуется открытым преобразованием. Но расшифровать и прочитать это сможет лишь тот, кто владеет секретным преобразованием. В настоящий момент во многих асимметричных криптосистемах вид преобразования определяется ключом. Т.е. у пользователя есть два ключа - секретный и открытый. Открытый ключ - криптографический ключ, который связан с секретным с помощью особого математического соотношения. Открытый ключ предназначен для проверки электронной цифровой подписи и шифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить секретный ключ. Открытый ключ передается другим пользователям, и каждый, кто захочет послать сообщение этому пользователю - зашифровывает текст открытым ключом. Расшифровать сможет только упомянутый пользователь с секретным ключом. Секретный ключ - криптографический ключ, который хранится пользователем системы в тайне. Он используется для формирования электронной цифровой подписи и расшифрования. Таким образом, пропадает проблема передачи секретного ключа (как у симметричных систем). Стойкость асимметричных криптосистем базируется, в основном, на алгоритмической трудности решить за приемлемое время задачу подбора секретного ключа или его вычисления на основе соответствующего ему открытого ключа и зашифрованного документа.