Контакты
Подписка
МЕНЮ
Контакты
Подписка

Двусторонняя аутентификация по сертификату - Форум по вопросам информационной безопасности

Двусторонняя аутентификация по сертификату - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Pavel, ОМП | 105879 28.02.2019 17:02
Разрабатываем ПО для использования в ГИС до 1 класса защищенности включительно (сертификация ПО по требованиям ФСТЭК). В ПО реализуем механизм двусторонней аутентификации с использованием сертификатов.
Аутентификация с использованием сертификатов предполагает использование криптографии - это либо использование электронной подписи, либо использование протокола tls/ssl.
63-ФЗ "Об электронной подписи" позволяет использовать электронные подписи созданные с помощью как несертифицированных СКЗИ, так по иностранным алгоритмам.

Будут ли сложности при сертификации ПО во ФСТЭК, в части применения механизма двусторонней аутентификации использующего не сертифицированное СКЗИ (иностранную криптографию)?

Автор: oko | 105881 01.03.2019 01:01
to Pavel
По линии ФСТЭК скорее всего нет. По линии ФСБ могут заинтересоваться...
Если у вас софт со встроенными средствами защиты - в первую голову см. РД по СВТ (4 класс) и НДВ (4 уровень), именно на это, как подсказывает модуль экстрасенсорики, вы будете сертифицироваться...
Сертиф. СКЗИ не нужны, если используется простая или неквалифицированная ЭП. Если у вас не софт для какого-нибудь значимого документооборота, то применяйте любые средства и криптоалгоритмы. Аналогично, если ЭП вы внедряете исключительно для функции ИАФ внутри софтового комплекса (тут многие разработчики выделываются и подменяют понятия "шифрование" на "кодирование"). Но про длину ключа для выбранной асимметрии не забудьте, ага...

Автор: WORM, MK | 105886 01.03.2019 08:57
"и НДВ (4 уровень), именно на это, как подсказывает модуль экстрасенсорики, вы будете сертифицироваться..."

Именно на это, но только до 01 мая. С 01 мая вместо РД НДВ сертифицироваться нужно будет по приказу ФСТЭК 131 от 2018 г. Если заявку будете подавать после 1 мая, имейте это в виду.

А СВТ все-таки, 5-й класс, как мне кажется. Нахрена 4-й??

Автор: Pavel, ОМП | 105893 02.03.2019 21:25
В продолжение вопроса...

Планируем в ПО заменить аутентификацию по паролю, на аутентификацию с использованием сертификатов. Для выполнения криптографических функций (электронная подпись, поддержка PKI) хотим использовать API библиотеки openssl.
1) Сильно ли усложнит сертификацию включение в состав ПО библиотеки openssl?
2) Нужно ли будет из нее "выпиливать" избыточный функционал (НДВ)? Например, неиспользуемые протоколы и алгоритмы.

Автор: WORM, MK | 105895 03.03.2019 12:13
По идее, не усложнит. Хоть так, хоть этак вам нужно будет все это (механизм аутентификации) описывать в ТУ или ЗБ.

Чтобы не выпиливать избыточный функционал, его нужно описать в том же ТУ (ЗБ), тогда он не будет рассматриваться как НДВ.
По действующему РД НДВ нужен исходный код на этот функционал, по Приказу 131, насколько я понял, для 6 уровня доверия исх. код не нужен (если я правильно понял ФСТЭК, приказ пока не читал). Правда, 6 уровень доверия это как-то несерьезно...

Автор: oko | 105896 03.03.2019 21:04
to WORM
СВТ-5, да, поспешил...
А что есть "Приказ 131 за 2018"? Как-то он мимо меня прошел тихо-мирно. Неужто мы получим новую схему сертификации СЗИ НСД (не по классам СВТ, а по иным аля "Профили" схемам)?

Автор: WORM, MK | 105899 04.03.2019 08:42
to oko,
Нет, классы СВТ пока живут, а вот уровни контроля НДВ тю-тю. Вместо уровней контроля НДВ будем иметь уровни доверия в количестве 6 штук.
В связи с этим будут вносить изменения в профили защиты (в части контроля НДВ).

Приказ дсп-шный, как это нынче принято, так что заказывайте у регулятора.
Приказ №131 от 30.06.2018г. Ввести в действие В. Лютиков обещал в мае.

Автор: oko | 105903 04.03.2019 15:09
to WORM
Благодарю!
С одной стороны, круто: исчезнут периодические тупые вопросы "а где проверка НДВ по такому-то Профилю, а?", а также путаница с НДВ из ПП РФ 1119. С другой - опять ломает схему. Слишком во многих документах ФСТЭК в текущей редакции рассматривается необходимость соответствия СЗИ определенному уровню контроля НДВ. Это теперь вновь будут коррективы 17, 21 и далее Приказов? Про новый букварь и иже с ним вообще молчу...

Автор: WORM, MK | 105906 04.03.2019 18:49
to oko
Вопросы, скорее всего, не исчезнут, поскольку в сертификатах, например, на САВЗ (и др) по-прежнему не будут указывать уровень НДВ (доверия). Класс САВЗ по умолчанию будет соответствовать УД.
В приказы формальные поправки, скорее всего, будут, а самом 131-м уже написали какой УД когда должен применяться. Но там все логично и по полочкам.

Правда, я пока не понял будут ли отменять сам РД НДВ, или 131-й его просто "поглотит" и дополнит. Судя по тексту 131, похоже, что поглотит. Будем посмотреть.

Просмотров темы: 188

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: