Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Шифрование трафика с помощью КриптоПро
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline andrey_d  
#1 Оставлено : 4 декабря 2008 г. 0:34:51(UTC)
andrey_d

Статус: Участник

Группы: Участники
Зарегистрирован: 02.06.2008(UTC)
Сообщений: 7
Откуда: Россия, Москва
Всем привет!
Вопрос перекликается с обсуждением http://www.cryptopro.ru/...t.aspx?g=posts&t=135 и состоит в следующем. Есть клиент-серверная система, толстый клиент и сервер, оба своей разработки. Заказчик требует зашифровать сетевой трафик с помощью сертифицированного криптопакета, выбрали КриптоПро. По условиям игры сервер доверенный (он точно запущен на серверном компьютере), клиент имеет ключевую пару с сертификатом, на обоих концах стоят идентичные пакеты КриптоПро (алгоритм и параметры шифрования задаются при настройке системы, проверка их допустимости при работе не требуется). Кроме того, процедура аутентификации клиента сервером уже прошла (например, по паролю или с использованием данных операционки). Предлагаемый алгоритм выглядит так:
1. Клиент, инициируя соединение, отправляет на сервер свой сертификат.
2. Сервер формирует случайный сессионный ключ.
3. Сервер шифрует ключ открытым ключом пользователя из сертификата (делается при экспорте ключа).
4. Сервер отправляет ключ клиенту.
5. Клиент имортирует ключ, одновременно его расшифровывая своим закрытым ключом.
6. В итоге на обеих сторонах мы имеем один и тот же сессионный ключ.
7. Для проверки того, что не произошло подмены клиента (признаком этого служит неверный ключ после расшифровки, т.е. несоответствие закрытого и открытого ключей), клиент и сервер обмениваются зашифрованным заранее заданным текстом, если расшифрованный текст правильный, все хорошо, ключи одинаковые и можно начинать работу.

Понятно, что при желании можно расширить алгоритм путем включения в него сертификата сервера, проверки обоих сертификатов на противоположной стороне по всем правилам (или по части из них, учитывая, что система закрытая внутрикорпоративная, обмена по открытым каналам нет).

Цели шифрования трафика: обеспечить скрытность и исключить подмену клиента или сервера (путем запуска где-нибудь в сети и перенаправления пакетов).
Допустимо ли использование этого алгоритма? И пройдет ли он проверку на корректность встраивания криптосредств при сертификации по требованиям ФСТЭК?

Спасибо за ответы.
С наилучшими пожеланиями, Андрей.
Вверх
WWW

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Максим Коллегин  
#2 Оставлено : 4 декабря 2008 г. 1:50:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,377
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
Зачем изобретать велосипед? Используйте ssl или схему аутентификации/выработки ключей аналогичную ssl.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET