Оценка криптосистемы

[Maratik]

Помогите пожалуйста! В нашей конторе встал выбор между двумя фирмами, которые предоставляют криптосистемы. Оценка с рыночной точки зрения.
Подскажите пожалуйста основные критерии, по которым надо оценивать?
У нас стоит Lotus Domino Server.

 

[D!m@n]

Что за криптосистемы-то? И одна из них случаем не интертрастовский Locker?

 

[Maratik]

Нет, это onix(www.onix.kz) и гамма технологии(www.gamma.kz). У нас хотят внедрить удостоверяющий центр, т.е. проверка электронной цифровой подписи через этот самый удостоверяющий центр. Так вот мне надо проанализировать экономическую состовляющую и работоспособность в целом продуктов этих фирм. По каким категориям это сделать и вообще есть нормальная документация по удостоверяющим центрам, как они работают, что нужно для их работы.
Я в целом берусь, а это очень большой объем информации.

 

[D!m@n]

Ах, так дело в Казахстане...
И, к тому же, непонятно, причем здесь Лотус. Я-то думал, речь идет о системе, являющейся прослойкой-интерфейсом между Лотусом и стандартными СКЗИ (типа КриптоПро CSP или тех, на которые Вы дали ссылки). А эти две системы к Лотусу никакого отношения не имеют, и дружить с ним без дополнительного ПО, как я понял, не будут.
Простите, если что неправильно понял.

 

[collection]

Maratik
А чем Вас штатные лотусовые средства не устравивают?!

 

[Constantin A Chervonenko]

А вот с такой стороны взглянуть:
на кой оно вам нужно? Чем не устраивает Доминошная защита?
1.IMHO единственный серьезный недостаток Лотусовой криптографии - она не сертифицирована ФАПСИ (или кто там сейчас за него) для использования в гос.учреждениях. Ваши "кандидаты" сертифицированы? Сомневаюсь..
То, что у конторы есть лицензия на разработку крипто-средств, вовсе не значит, эти средства будут потом сертифицированы. AFAIR единственной сертифицированной системой до недавнего времени была собственная (кто-б сомневался!) фапсишная разработка ("Криптон"? забыл...)
2.Любая "накладная" система а-приори дырявая. Всегда между транспортом и криптовалкой обнаруживается файл-сервер, где валяются беззащитные файлы. Т.е. внешний канал оно защищает, но основные-то угрозы безопасности - ВНУТРИ

 

[Maratik]

Как я понял система работает примерно так:
Имеется электронная цифровая подпись на носителе USB, всяческих картах, дискетах(ключ). На компьютере ставится какой-то драйвер, который вшивается в систему и Lotus Notes. При подключении ключа, данные отправляются на удостоверяющий центр, там проверяется актуальность, корректность и прочее...

Я с этим впервые сталкиваюсь, раньше мы обходились штатными средствами. И у нас выбора нет, либо один УЦ, либо другой. Просто хотелось бы иметь понимание этого процесса. Принцип работы удостоверяющего центра в общем. Недостатки и плюсы. Документации нормальной не могу найти. В России таких удостоверяющих центров масса и работают уже по десять лет на рынке, у вас опыта больше.

 

[D!m@n]

Имеется электронная цифровая подпись на носителе USB, всяческих картах, дискетах(ключ).

Не ЭЦП, а сертификат ключа подписи, т.е. открытый ключ, подписанный ЭЦП центра сертификации + еще секретный ключ.
Электронная цифровая подпись (ЭЦП) - это хеш сообщения, зашифрованный на секретном ключе подписанта.

На компьютере ставится какой-то драйвер, который вшивается в систему и Lotus Notes.

Не драйвер, а криптопровайдер (Cryptographic Service Provider, CSP) - динамическая библиотека, предоставляющая приложениям услуги по шифрованию, простановке ЭЦП, хранению и экспортированию ключей шифрования, генерации случайных чисел и проч.
Те CSP, на которые Вы дали ссылки, используют для простановки ЭЦП дополнительные алгоритмы. Например, ГОСТ Р 34.10-2001.
О том, совместим ли без дополнительного ПО такой криптопровайдер с Lotus Notes & Domino - поинтересуйтесь у фирмы-разработчика. Но мне кажется, что такое маловероятно. Скорее всего, Вам придется делать выбор между использованием дополнительного ПО и использованием стандартных средств электронной почты (Outlook Express). А в Лотус Вы даже сертификат импортировать не сможете.
Кстати, вот Вам совет: попросите прислать Вам тестовую версию CSP и ПО центра сертификации. И в теме разберетесь, и заодно проверите, будет оно у Вас работать так, как надо, или нет.

Что касается самообразования, начните с Вики:

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Ссылка скрыта от гостей

Там, конечно, бывают ошибки и неточности, но основные понятия раскрываются неплохо.
Потом можно почитать какую-нибудь книгу по ЗИ.
Например, Хорев П.Б. "Методы и средства защиты информации в компьютерных системах".

И последнее - я так понял, Вы организуете юридически значимый электронный документооборот? Если нет, то все эти дополнительные CSP Вам нах не нужны. Можно спокойно обходиться средствами Lotus. Кстати, сервер Domino может работать и как полноценный Certification Authority.

 

[collection]

Интересно, а что ВЫ понимаете под словом удостоверяющий центр. Предпалогаю что это Certificate Authority (CA) — центр сертификации, осуществляющий формирование сертификатов открытых ключей абонентов, а также списка отозванных сертификатов (CRL) на примере системы onix это onix ca, если да, то примерно это должно работать так:
Чтобы настроить и активизировать SSL на сервере, необходимо кольцо ключей, содержащее сертификат сервера, полученный от CA, установленный в кольцо для ключе, которое содержит так же корневые сертификаты, используемые сервером для принятия решения об установленнии доверительных отношений.
Что касается S/MIME, то, прежде чем интернет-клиенты и клиенты notes смогут использовать аутентификацию клиента или посылать подписанную почту, они должны получить клиентский интернет-сертификат. Чтобы посылать шифрованную почту, они должны иметь интернет сертификат получателя. Под всяческими картами, я так подозреваю, понимается смарт-карты, которые содержат сертификаты клиентов.
Вообщем огласите весь список пожалуйста!

 

[Alex666]

Сабжи темы - сертифицированы - и у Оникса и у Гаммы. Абсолютно согласен с D!m@n - если не надо юридически значимого документооборота - то ничего лишнего не надо - в том числе и криптографии.

У Оникса провайдеры интегрированы в Лотус. Интеграция проводилась совместно с Реалсофтом. Казахстанцы - поймут. У Оникса - по алгоритмам-блобам-параметрам-оидам работают "прозрачно" с Крипто-Про и Видовсовскими провайдерами.

Еще раз согласен с D!m@n - почему автор темы не обратится напрямую к разработчикам? С вопросами, за презентациями и тестовыми установками?

А можно узнать - что за компания - в которой работает автор темы?

 

[Constantin A Chervonenko]

Вот интеграция в Лотус меня всегда напрягала. Iris/IBM свою PKI никогда не раскрывали.
Все, что я видел, было довесками к клиенту, которые работали параллельно со встроенной защитой. Хорошо шифровали обычные поля и аттачи, а вот RTF-ы ...
А аутентификация? Шифровать файлы Лотусе не доверяем, а аутентификацию доверяем? Двойные стандарты...

 

[Alex666]

Вот интеграция в Лотус меня всегда напрягала. Iris/IBM свою PKI никогда не раскрывали.
Все, что я видел, было довесками к клиенту, которые работали параллельно со встроенной защитой. Хорошо шифровали обычные поля и аттачи, а вот RTF-ы ...
А аутентификация? Шифровать файлы Лотусе не доверяем, а аутентификацию доверяем? Двойные стандарты...

Ну - никто не мешает IBM пойти в тоже ФАПСИ или каз КНБ и засертифицировать свою криптографию в Лотусе том же. Микрософт же открывает часть исходных кодов, почему бы ИБМу не открыть все лишь коды по криптографии?

 

[Maratik]

Александр, а Вы случайно не из Реалсофта? Мы из Павлодара))) Просто этим раньше мозг не напрягали, а тут надо бы поднапрячься. Информации очень мало и обращаться без хотя бы небольшого понятия работы криптопровайдеров не хотелось бы.

 

[Alex666]

Александр, а Вы случайно не из Реалсофта? Мы из Павлодара))) Просто этим раньше мозг не напрягали, а тут надо бы поднапрячься. Информации очень мало и обращаться без хотя бы небольшого понятия работы криптопровайдеров не хотелось бы.

Мое имя Алексей.Я с Оникса <_< А с Павлодара - с областного акимата?

 

[Maratik]

Да, с акимата. Рад знакомству! Просто есть в Реалсофте Александр Жур.(не буду писать полностью фамилию, вдруг обидется), вот я подумал, что это Александр. Встал вопрос о выборе между Гамма технологиями и Onix. Теперь приходится разбираться, хотя ранее мы работали и обходились стандартными средствами криптографии. Просят сравнительный анализ. Хотелось бы знать, что и где стабильно работает именно с Lotus Domino/Notes.

P.S. Интернет, как и Земля - круглые)))

 

[Alex666]

Да, с акимата. Рад знакомству! Просто есть в Реалсофте Александр Жур.(не буду писать полностью фамилию, вдруг обидется), вот я подумал, что это Александр. Встал вопрос о выборе между Гамма технологиями и Onix. Теперь приходится разбираться, хотя ранее мы работали и обходились стандартными средствами криптографии. Просят сравнительный анализ. Хотелось бы знать, что и где стабильно работает именно с Lotus Domino/Notes.

P.S. Интернет, как и Земля - круглые)))

Мне сложно и некорректно что то говорить - так как это будет похоже на саморекламу. В этом случае - надо обратиться в Реалсофт - с просьбой прокомментировать данную ситуацию - какая именно СКЗИ у них работает и какую они порекомендуют. Это наиболее объективный вариант.

 

[Maratik]

Спасибо. Я ожидал этого ответа)))