Client CNA - общие сведения и принцип работы клиентского устройства

В состав СКЗИ «CNA» входит как программно-аппаратное устройство, подключаемое к персональному компьютеру через USB-интерфейс, так и программное обеспечение (ПО), которое выполняется на компьютере и которое необходимо для управления устройством.

При подключении СКЗИ «CNA» к компьютеру можно, например, одновременно установить защищенное соединение с другими компьютерами сети с подключенными СКЗИ «CNA» и использовать обычное открытое соединение для доступа к web-сайтам (передача данных обеспечивается на скорости до 10 Мбит/c для защищенных соединений и до 100 Мбит/c для открытых). Также СКЗИ «CNA» может работать в режиме сетевого экрана, пропуская только те пакеты, формат которых задаётся специальными масками и\или адресами отправителя.

Для СКЗИ «CNA» возможны следующие схемы установки защищенного соединения:

  • точка-точка;
  • точка - N точек или N точек - точка;

В СКЗИ «CNA» защита данных, передаваемых по сети, основана на использовании предварительно распределенных долговременных секретных ключей (долговременных ключей связи), т.е. для взаимодействующих сторон предварительно устанавливается набор долговременных ключей связи, который используется для взаимной аутентификации сторон, а также для выработки общего сеансового ключа, применяемого для защиты передаваемых данных.


Основные функциональные возможности

СКЗИ «CNA» реализует:

  • средства аутентификации пользователей при включении устройства;
  • проверку работоспособности, включая средства самотестирования и контроль целостности системных объектов (программ и настроек);
  • управления данными, включая функции генерации, защищенного экспорта и импорта, хранения и уничтожения ключей и других объектов;
  • шифрование и имитозащиту ключей и данных при их хранении во внутренней памяти СКЗИ;
  • генерацию ключей и секретных параметров, используемых в криптографических алгоритмах и протоколах, на основании данных, полученных с физического генератора случайных чисел;
  • генерацию и защищенное распределение долговременных секретных ключей связи;
  • взаимную аутентификацию сторон при установлении защищенного соединения;
  • формирование и обновление ключей шифрования и ключей имитозащиты данных соединения;
  • шифрование и имитозащиту данных соединения;
  • ведение внутреннего журнала аудита ошибок, возникающих при функционировании.

Распределение ключей связи

В CNA используется предварительное распределение ключей связи. Распределение может производиться одним из следующих способов:

  1. Начальное распределение. Ключи связи генерируются одним из устройств и непосредственно записываются на другие устройства при их подключении (через персональный компьютер). Данный способ удобен на начальном этапе разворачивания защищенной сети.
  2. Распределение на носителях. При данном способе ключи связи устанавливаются в СКЗИ «CNA» со съемных носителей (флэш-дисков, CD-дисков и др.). Ключи связи распределяются в защищенном виде. Защита обеспечивается с использованием алгоритмов разделения секрета, определенных в СТБ 34.101.60-2014, и алгоритмов шифрования и имитозащиты ключей, определенных в СТБ 34.101.31-2011.

Аутентификация сторон и формирование общего ключа

Используемый в СКЗИ «CNA» протокол аутентификации и формирования общего ключа реализован по схеме DHE_PSK_BIGN, определенной в СТБ 34.101.65-2014. Согласно данной схеме общий сеансовый ключ вырабатывается между двумя сторонами на основании предварительно распределенного долговременного секретного ключа и общего ключа, выработанного по протоколу Диффи-Хеллмана, определенному в СТБ 34.101.66-2014.


Защита передаваемых данных

В СКЗИ «CNA» защита передаваемых данных обеспечивается шифрованием и имитозащитой. Для шифрования используется алгоритм шифрования в режиме гаммирования с обратной связью СТБ 34.101.31-2011, а для имитозащиты – алгоритм выработки имитовставки СТБ 34.101.31-2011 или ГОСТ 28147-89.

Для шифрования и имитозащиты передаваемых данных используются различные сеансовые ключи (ключи защиты соединения), которые вырабатываются из общего сеансового ключа по алгоритму преобразовании ключа, определенному в СТБ 34.101.31-2011.


Обновление ключей защиты соединения

В СКЗИ «CNA» по прошествии определенного времени с момента формирования сеансовых ключей защиты соединения (задается в настройках и не может превышать более одного часа) производится их обновление. Для обновления ключей используется алгоритм преобразования ключа, определенный в СТБ 34.101.31-2011.


Отзыв и приостановка ключей связи

Долговременные ключи связи могут быть скомпрометированы (например, при утере или краже устройства). При этом следует исключить использование данных ключей, т.е. отозвать ключи. Также по определенным причинам использование некоторых ключей связи может быть приостановлено (например, если устройство находится на регламентном обслуживании).

СКЗИ «CNA» предоставляет функционал для отзыва и приостановки определенных ключей связи.