Схема 3. Вся ключевая информация в сети ViPNet подразделяется на следующие основные группы:

Вся ключевая информация в сети ViPNet подразделяется на следующие основные группы:

1. Персональная ключевая информация пользователя (администратора УКЦ)

a. Парольный ключ пользователя (администратора УКЦ)

b. Ключи защиты пользователя (администратора УКЦ)

c. Ключи подписи пользователя (администратора УКЦ)

2. Ключи защиты

a. Ключи защиты УКЦ

b. Ключи защиты коллективов

3. Мастер–ключи УКЦ

a. Основные

b. Межсетевые

4. Ключи обмена

a. Симметричные

b. Асимметричные

5. Сеансовые ключи шифрования

a. Производные

b. Случайные

Ключевую информацию для отдельного пользователя сети ViPNet можно условно разбить на две группы:

· Ключевая информация для каждого узла и его коллективов (ключевой набор или КН), хранящаяся на жестком диске в каталоге STATION (версия 2.8) или другом носителе. Здесь содержатся массивы симметричных и асимметричных ключей для обеспечения связи данного узла и его коллективов с другими узлами и коллективами, с которыми такая связь разрешена в ЦУСе.

· Индивидуальная ключевая информация для каждого пользователя (ключевая дискета или КД), хранящаяся на жестком диске в каталоге KEY_DISK (версия 2.8) или другом носителе. Здесь хранится небольшой объем ключевой информации пользователя, предназначенной для получения доступа (расшифрования) к разрешенной ему информации в каталоге STATION, а также некоторые другие персональные ключи, доступные только данному пользователю, в том числе закрытый ключ подписи (ЗЧ ЭЦП).

Индивидуальная ключевая информация зашифрована на пароле, а ключи связи в каталоге D-STATION и STATION зашифрованы на ключах защиты, о которых речь пойдет ниже.

2.3.5. Криптоядро «Домен-К»

СКЗИ «Домен-К» представляет собой пакет библиотек и программ, реализующих ключевой центр, прикладной криптографический интерфейс, криптографический драйвер. СКЗИ «Домен-К» при соблюдении правил пользования обеспечивают:

· Высокую стойкость шифрования информации.

· Гарантированное подтверждение авторства и подлинности электронных документов.

· Обнаружение случайных или намеренных искажений защищаемой информации с вероятностью, не меньшей 1 – 10^-9.

· Защиту используемых ключей.

· Контроль целостности программного обеспечения.

· Надежное автоматизированное управление ключевой системой.

Допускается использование программных средств СКЗИ «Домен-К» в операционных системах Windows 95, Windows 98, Windows ME, Windows NT 4.0, Windows 2000, Windows XP, Linux Red Hat 7.2, FreeBSD 4.4, функционирующих на платфорие Intel, и Solaris 8, функционирующей на платформе Sparc.

В СКЗИ «Домен–К» используются алгоритмы:

· Шифрование гаммированием с обратной связью в соответствии с ГОСТ 28147–89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования». Шифрование выполняется на ключах, которые надлежит хранить в тайне.

· Вычисление имитозащитной вставки в соответствии с ГОСТ 28147–89. Предназначено для защиты передаваемой (или хранимой) информации от случайных или преднамеренных искажений. Выполняется на ключах, которые надлежит хранить в тайне.

· Вычисление и проверка электронной цифровой подписи в соответствии с ГОСТ Р 34.10–94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и ГОСТ Р 34.10–2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Вычисление ЭЦП производится с использованием секретных ключей.

· Хэширование информации в соответствии с ГОСТ Р 34.11–94 «Информационная технология. Криптографическая защита информации. Функция хэширования». Представляет собой однонаправленное преобразование свертки, независящее от ключа. Используется в алгоритмах ЭЦП, а также для подтверждения достоверности данных (в частности, паролей).

Размер секретных ключей шифрования, секретных ключей ЭЦП и секретных ключей Диффи-Хелмана (секретных ключей для открытого распределения ключей) составляет 256 битов (32 байта). Размер открытых ключей ЭЦП и открытых ключей для протокола Диффи-Хелмана составляет 1024 бита (128 байтов) при использовании ГОСТ Р 34.10–94 и 512 бит (64 байта) для ГОСТ Р 34.10–2001.

Схема 4. Виды ключей (версии 2.8. и 3.0)