Начальные условия выбора системы криптографии.
Сперва, для выбора системы криптографии необходимо будет определиться с масштабами сети и ограничивающими факторами. Использование определнных методов криптографии требует помимо высоких производительных мощностей дополнительной аппаратной базы. Так что за начальное условие примем факт, что сеть представляет из себя клиент-сервер архитектуру на базе топологии звезда с 8-и входовыми концентраторами и пропускной способностью канала 100 Мегабит в секунду. В качестве проводного носителя будет использоваться витая пара категории CAT-5. Для устранения возможности считывания информации из кабеля со стороны, а также исключением влияния помех, будет использоваться экранированная STP витая пара. Это, несомненно, увеличит стоимость сети, зато обеспечит необходимую устойчивость к воздействию внешних факторов на среду передачи данных.
Все машины сети расположены в пределах одного этажа и потребностей в повторителях репитерах не возникает. Для выполнения работы по криптографической защите данных будет использоваться программный комплекс, установленный на всех ПК сети, функционирующий в реальном масштабе времени и позволяющий лишь незначительно снижать производительность сети засчт небольшого избыточного кода функционирующего резидентно. Ключи на отпирание закрытой информации находятся на каждом ПК и доступ к ним есть только у пользователей, допущенных до работы на этих ПК. Протоколы взаимодействия в сети допускают выход всей этой сети в Интернет, однако выход осуществляется исключительно через модем, установленном на сервере и используется в масштабах сети исключительно для передачи e-mail. Для удовлетворения всем этим требованиям в качестве системы криптографии был выбран программный комплекс WinCrypt, подходящий в использовании как для Windows 9х так и для более поздних версий в том числе и Windows 2000. Схема 1. Общая организация использования программного и аппаратного обеспечения в сети. Для достижения наиболее высокопроизводительной работы в сети и обеспечения сохранения прав и паролей в сети используется операционная система Windows 2000. В выполнении своих функциональных задач WinCrypt использует ряд функций, которые будут описаны ниже. Каждая из них дат возможность провести определнную обработку данных для последующей их передачи в канал связи.
Описание программного продукта.
WinCrypt был разработан в МО ПНИЭИ на базе типовых ПЭВМ для различных масштабов использования.
WinCrypt обеспечивает - Шифрование и проверку целостности с использованием имитовставки данных, передаваемых между узлами сети - Одностороннюю аутентификацию узлов защищенной сети на основе имитовставки - Управление ключевой системой защищенной сети из одного или нескольких центров управления.
WinCrypt позволяет защищать не только данные, передаваемые непосредственно по протоколу IP, но и данные, передаваемые по протоколу IPXSPX, с предварительной инкапсуляцией их в протокол IP в соответствии с рекомендациями RFC-1234. Любой абонент защищенной сети, подсоединенный к криптографическому комплексу WinCrypt, может обмениваться данными с любым другим абонентом сети, причем шифрование передаваемых данных для абонентов является прозрачным.
Кроме того, применение WinCrypt позволяет скрыть трафик между абонентами защищенных локальных сетей. Это определяется тем, что обмен данными в сети происходит между WinCrypt, имеющими собственные сетевые адреса, а адреса абонентов передаются по каналам связи только в зашифрованном виде. Управление ключами, используемыми в системе, выполняется из WinCrypt. При управлении ключевой системой производятся - формирование и распространение по сети справочников соответствия, определяющих, какие именно абоненты ЛВС имеют доступ в виртуальную приватную сеть - периодическая плановая смена ключей шифрования, используемых в системе - оповещение WinCrypt о компрометации ключей - сбор и хранение информации о всех нештатных событиях в сети, которые возникают при аутентификации узлов, передаче зашифрованной информации, ограничении доступа абонентов ЛВС. В комплексе WinCrypt используется симметричная ключевая система с использованием парных ключей шифрования.
WinCrypt - высокопроизводительный 100 - 600 Мбитсек программно комплекс шифрования трафика IP для линий связи Ethernet, Frame Relay, X.25 и асинхронным линиям возможно ATM. Так же реализован ряд дополнительных возможностей - защиту протокола SNMP - управление и конфигурация комплекса по протоколу SNMP из продукта HP OpenView - поддержка защищнных протоколов динамической маршрутизации - повышенная отказоустойчивость - предоставление ЦУКС услуг защищнного DNS система наименования доменов.
Существует ещ множество других программных продуктов, позволяющих реализовать криптографическую защиту данных, однако программный комплекс WinCrypt обладает широким спектром функций, и поэтому основной задачей остатся только выбрать те, которые наиболее полно будут удовлетворять требованиям пользователя или как в рассматриваемом случае требованиям золотой середины минимальные потери производительных мощностей при максимально высоком уровне защиты информации.
Обоснование отказа от аппаратной составляющей. Жсткой необходимости отказа от аппаратного обеспечения криптографической защиты нет, однако необходимости е использовать нет по следующим причинам 1. Размеры сети не столь обширны, так что огромных вычислений, направленных на обработку функций криптографической защиты не будет, а следовательно, нет необходимости устанавливать дорогостоящие комплексы, требующие помимо всего остального ещ и дополнительные затраты на их обслуживание и выводящее из строя засекреченную работу всей сети при поломке. 2. Производительные мощности сети позволяют использовать программное обеспечение, направленное на криптографическую защиту информации без существенных потерь производительных мощностей. 3. Введение нового устройства в сеть негативно повлияет на е работоспособность, что выразится в понижении е быстродействия, росту коллизий и увеличение занимаемой площади, что в некоторых условиях недопустимо. 4. И, пожалуй, самым последним аргументом будет выступать тот, что такого рода комплексы разрабатывались для применения на производстве или по крайней мере в корпоративных сетях, но никак не в локальных сетях.