Речь пойдет о том, каким образом пользователь VPN-продукта, поддерживающего ГОСТ алгоритмы шифрования, может получить основной атрибут аутентификации – цифровой сертификат.
У некоторых производителей VPN есть собственные реализации ключевой системы, в этом случае цифровые сертификаты (или их аналоги) генерируются на системе управления или в отдельном продукте собственного производства. У ряда других производителей (С-Терра в их числе) используется сторонний Удостоверяющий Центр (УЦ).
Для реализации VPN не требуются услуги аккредитованного Удостоверяющего Центра. Сертификаты для VPN и сертификаты для ЭП — разные не только по назначению, но и по содержанию. Требования к сертификатам ЭП шире и жестче, они изложены в Федеральном Законе №63 «Об электронной подписи» и других нормативных документах.
При реализации VPN, с целью обеспечить участников сети сертификатами открытых ключей есть несколько вариантов:
Этот вариант имеет смысл, если такой продукт уже есть и используется для других нужд, например, ЭП. Разворачивать «КриптоПро УЦ» или аналогичный продукт исключительно для VPN смысла не имеет, его функционал избыточен, а стоимость на порядки больше альтернативных вариантов.
2) Воспользоваться услугами стороннего УЦ.
Например, того же
КриптоПро. Преимущество такого подхода – в чистом виде сервисная модель: не требуется разворачивать УЦ, обеспечивать его безопасность, публиковать списки отозванных сертификатов и т.д. Все это делается сторонней организацией.
Сертификаты имеют срок действия, его максимальное значение определяется Правилами Пользования СКЗИ и политикой УЦ. В большинстве случаев это порядка одного года, хотя при использовании токенов с неизвлекаемыми ключами может достигать трех лет. Таким образом, обращение в сторонний УЦ будет не разовым, а периодическим и скорее всего ежегодным. Поэтому такой подход актуален для небольшого количества устройств.
Кроме того, сертификаты всех клиентов УЦ подписаны одним и тем же корневым сертификатом. При некорректной настройке VPN-продуктов, это позволяет одному из клиентов УЦ – потенциальному злоумышленнику попытаться установить VPN-соединение с другим клиентом. Для этого злоумышленнику необходима информация о сети жертвы, которой вполне может обладать бывший сотрудник. Поэтому при использовании стороннего УЦ в политике безопасности VPN-продукта нужно указывать точное описание сертификата партнера по соединению.
3) Построить собственный технологический Удостоверяющий Центр на основе Microsoft CA (MS CA) и крипровайдера, поддерживающего ГОСТ алгоритмы.
Этот вариант наиболее распространённый. Основные преимущества: цена, простота реализации и независимость от внешних организаций.
В данном случае для работы с сертификатами используется служба операционной системы Windows Server, в качестве криптопровайдера чаще всего «КриптоПро CSP».
Инструкция на сайте компании С-Терра
В спецификации аппаратной платформы желательно предусмотреть аппаратно-программный модуль доверенной загрузки (АПМДЗ), который обеспечит защиту сервера от НСД, а также позволит генерировать случайные числа аппаратным ДСЧ с минимальным участием оператора.
При отсутствии АПМДЗ защиту от НСД можно обеспечить другими средствами, например, организационными мерами. А аппаратный ДСЧ заменить внешней гаммой (которая создана на другом АРМ с АПМДЗ J ). В таких условиях можно использовать и виртуальную машину.
В реализации С-Терра на этом же сервере можно установить систему управления (кстати, лицензия на Крипто-Про входит в комплект поставки). Это позволит автоматизировать обновление сертификатов на устройствах (в принципе автоматизацию можно реализовать и при взаимодействии УЦ и системы управления по IP).
При этом довольно часто возникает вопрос – легитимно ли использование такого УЦ?
Ответить на этот вопрос для СКЗИ всех производителей невозможно, так как могут быть нюансы. Для продуктов С-Терра со встроенной криптографией ST требований к использованию сертифицированного УЦ нет, MS CA с «КриптоПро CSP» использовать можно. Цитата из
Правил Пользования:
В ПАК «С-Терра VPN» применяются сертификаты ключа проверки ЭП, созданные в соответствии с международными рекомендациями ITU-T Х.509, и протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.
Сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны быть выпущены в формате, совместимом с сертифицированным УЦ «КриптоПро», и подписаны с использованием сертифицированного СКЗИ.
Криптография ST совместима с Крипто-Про, таким образом, достаточно использовать актуальную сертифицированную версию «КриптоПро CSP». Необходимости в сертифицированном УЦ нет.
В любом из перечисленных случаев не стоит забывать о необходимой документации – журнале учета СКЗИ и ключей, регламенте смены ключевой информации, регламенте выпуска и распространения списка аннулированных сертификатов и т.д.