ГОСТ TLS в массы - Блог Александра Веселова

ГОСТ TLS в массы

Совсем недавно появился проект требований к технологиям взаимодействия средств информатизации, реализующих российские криптографические алгоритмы, с иными средствами информатизации в государственных органах. По сути, это требования по применению ГОСТ TLS министерствами и ведомствами для взаимодействия с гражданами, а также другими организациями. Рассмотрим проект и последствия его применения для всех участников.

Курс на ГОСТ TLS пытались взять давно, еще в Цифровой Экономике. Но инфраструктура и продукты для реализации только-только появляются.

ГОСТ TLS

1) Национальный Удостоверяющий Центр — точка выдачи ГОСТ сертификатов сайтам, разработка стартовала в начале этого года и должна вот-вот завершиться.

2) Пилотный проект по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах (Постановление Правительства №963):

  • Сроки: 15.06.2020-01.03.2021
  • Ответственные: Минцифра, ФСБ, ФСТЭК
  • Участники: Единый портал госуслуг, ГИС ЖКХ, ЕГИССО и ФГИС «Реестры программ для ЭВМ и баз данных»

3) Требования по взаимодействию, о них и пойдет речь в заметке.
Пока статус документа – проект, он сыроват и изменения точно будут, полный текст — в конце заметки.

Область действия требований: защищенный информационный обмен между федеральными и региональными органами исполнительной власти, государственными внебюджетными фондами, органами местного самоуправления между собой, а также с гражданами и другими организациями. Требования разделены на два блока: требования к серверной части, расположенной в гос.органе, и требования для клиентов (граждане, организации).

Требования к серверной части

  • Сервер аутентификации (СА, по сути TLS-сервер) — СКЗИ класса КС3,
  • УЦ для СА – класс не ниже КВ2,
  • Аттестация ГИС по классу защищенности не ниже классов защищенности ИС, к которым предполагается защищенный доступ,
  • Соответствие системного и прикладного ПО требованиям доверия ФСТЭК,
  • Контроль целостности,
  • Ролевая модель администраторов,
  • Регистрация событий,
  • Надежность и устойчивость функционирования.

Требования к клиентской части

  • Программный компонент пользователей (ПКП) — СКЗИ класса КС1,
  • ПКП должен предоставляться безвозмездно посредством сетей общего пользования,
  • Варианты ПКП:
    • Криптопровайдер,
    • Браузер,
    • VPN-клиент,
  • Контроль целостности,
  • Эксплуатация СКЗИ в соответствии с эксплуатационной документацией.

Для наглядности собрал основные блоки на схеме, помимо ГОСТ TLS, указано также взаимодействие с другими информационными системами, описанное в требованиях.

ГОСТ TLS

Подводя итоги, нужно отметить, что с объявлением пилота распространение ГОСТ TLS наконец-то пошло быстрее и появились более конкретные сроки. Требования по взаимодействию пока в статусе проекта, ждем окончательных правок и утверждения. Очень интересно посмотреть и поучаствовать в пилотах, оценить легитимность, удобство пользования и стабильность. Бесплатное получение клиентского СКЗИ (да еще по незащищенным в терминологии регулятора каналам связи) выглядит экзотическим и пока доступно для ViPNet CSP, а также для Крипто-Про CSP в некоторых сценариях. В пилотах доступ к сайтам конечно будет возможен и по RSA, и по ГОСТ, но останется ли RSA на сайтах гос.органов в долгосрочной перспективе – это еще вопрос.

Тем временем производители ГОСТ TLS в качестве альтернативы RSA и для демонстрации собственных продуктов уже предлагают доступ к своим сайтам по ГОСТу, такая возможность есть у Инфотекс и Крипто-Про.

Файлы для скачивания

Поделиться:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *