Двусторонняя аутентификация по сертификату - Форум по вопросам информационной безопасности
Двусторонняя аутентификация по сертификату - Форум по вопросам информационной безопасности
| Автор: Pavel, ОМП | 105879 | 28.02.2019 17:02 |
|
Разрабатываем ПО для использования в ГИС до 1 класса защищенности включительно (сертификация ПО по требованиям ФСТЭК). В ПО реализуем механизм двусторонней аутентификации с использованием сертификатов.
Аутентификация с использованием сертификатов предполагает использование криптографии - это либо использование электронной подписи, либо использование протокола tls/ssl. 63-ФЗ "Об электронной подписи" позволяет использовать электронные подписи созданные с помощью как несертифицированных СКЗИ, так по иностранным алгоритмам. Будут ли сложности при сертификации ПО во ФСТЭК, в части применения механизма двусторонней аутентификации использующего не сертифицированное СКЗИ (иностранную криптографию)? |
|
| Автор: oko | 105881 | 01.03.2019 01:01 |
|
to Pavel
По линии ФСТЭК скорее всего нет. По линии ФСБ могут заинтересоваться... Если у вас софт со встроенными средствами защиты - в первую голову см. РД по СВТ (4 класс) и НДВ (4 уровень), именно на это, как подсказывает модуль экстрасенсорики, вы будете сертифицироваться... Сертиф. СКЗИ не нужны, если используется простая или неквалифицированная ЭП. Если у вас не софт для какого-нибудь значимого документооборота, то применяйте любые средства и криптоалгоритмы. Аналогично, если ЭП вы внедряете исключительно для функции ИАФ внутри софтового комплекса (тут многие разработчики выделываются и подменяют понятия "шифрование" на "кодирование"). Но про длину ключа для выбранной асимметрии не забудьте, ага... |
|
| Автор: WORM, MK | 105886 | 01.03.2019 08:57 |
|
"и НДВ (4 уровень), именно на это, как подсказывает модуль экстрасенсорики, вы будете сертифицироваться..."
Именно на это, но только до 01 мая. С 01 мая вместо РД НДВ сертифицироваться нужно будет по приказу ФСТЭК 131 от 2018 г. Если заявку будете подавать после 1 мая, имейте это в виду. А СВТ все-таки, 5-й класс, как мне кажется. Нахрена 4-й?? |
|
| Автор: Pavel, ОМП | 105893 | 02.03.2019 21:25 |
|
В продолжение вопроса...
Планируем в ПО заменить аутентификацию по паролю, на аутентификацию с использованием сертификатов. Для выполнения криптографических функций (электронная подпись, поддержка PKI) хотим использовать API библиотеки openssl. 1) Сильно ли усложнит сертификацию включение в состав ПО библиотеки openssl? 2) Нужно ли будет из нее "выпиливать" избыточный функционал (НДВ)? Например, неиспользуемые протоколы и алгоритмы. |
|
| Автор: WORM, MK | 105895 | 03.03.2019 12:13 |
|
По идее, не усложнит. Хоть так, хоть этак вам нужно будет все это (механизм аутентификации) описывать в ТУ или ЗБ.
Чтобы не выпиливать избыточный функционал, его нужно описать в том же ТУ (ЗБ), тогда он не будет рассматриваться как НДВ. По действующему РД НДВ нужен исходный код на этот функционал, по Приказу 131, насколько я понял, для 6 уровня доверия исх. код не нужен (если я правильно понял ФСТЭК, приказ пока не читал). Правда, 6 уровень доверия это как-то несерьезно... |
|
| Автор: oko | 105896 | 03.03.2019 21:04 |
|
to WORM
СВТ-5, да, поспешил... А что есть "Приказ 131 за 2018"? Как-то он мимо меня прошел тихо-мирно. Неужто мы получим новую схему сертификации СЗИ НСД (не по классам СВТ, а по иным аля "Профили" схемам)? |
|
| Автор: WORM, MK | 105899 | 04.03.2019 08:42 |
|
to oko,
Нет, классы СВТ пока живут, а вот уровни контроля НДВ тю-тю. Вместо уровней контроля НДВ будем иметь уровни доверия в количестве 6 штук. В связи с этим будут вносить изменения в профили защиты (в части контроля НДВ). Приказ дсп-шный, как это нынче принято, так что заказывайте у регулятора. Приказ №131 от 30.06.2018г. Ввести в действие В. Лютиков обещал в мае. |
|
| Автор: oko | 105903 | 04.03.2019 15:09 |
|
to WORM
Благодарю! С одной стороны, круто: исчезнут периодические тупые вопросы "а где проверка НДВ по такому-то Профилю, а?", а также путаница с НДВ из ПП РФ 1119. С другой - опять ломает схему. Слишком во многих документах ФСТЭК в текущей редакции рассматривается необходимость соответствия СЗИ определенному уровню контроля НДВ. Это теперь вновь будут коррективы 17, 21 и далее Приказов? Про новый букварь и иже с ним вообще молчу... |
|
| Автор: WORM, MK | 105906 | 04.03.2019 18:49 |
|
to oko
Вопросы, скорее всего, не исчезнут, поскольку в сертификатах, например, на САВЗ (и др) по-прежнему не будут указывать уровень НДВ (доверия). Класс САВЗ по умолчанию будет соответствовать УД. В приказы формальные поправки, скорее всего, будут, а самом 131-м уже написали какой УД когда должен применяться. Но там все логично и по полочкам. Правда, я пока не понял будут ли отменять сам РД НДВ, или 131-й его просто "поглотит" и дополнит. Судя по тексту 131, похоже, что поглотит. Будем посмотреть. |
|
Прошло несколько недель
| Автор: Pavel, ОМП | 106132 | 30.03.2019 20:04 |
|
Всем спасибо за ответы. Очень полезно и познавательно...
|
|
Просмотров темы: 1808
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"