Опыт внедрения и перспективы развития систем криптографической защиты банковской информации

Опыт внедрения и перспективы развития систем криптографической защиты банковской информации

ЗАО «»

Система криптографической защиты информации 1-го поколения

• Разработка - 1995-1996 гг. В промышленной эксплуатации с марта 1997 г по н. в.

Программное изделие «Шифр»

• Основа систем и комплексов
• криптографической защиты информации:
• Генерация псевдослучайных чисел, формирование ключей шифрования
• Шифрование, имитозащита по ГОСТ 28147
• Генерация ключей, цифровая подпись по ГОСТ 34310
• Выработка хэш-функции по ГОСТ 34311
• Генерация ключей, управление ключами шифрования по протоколу Диффи-Хелмана

Легитимность

Линейка программных продуктов для криптографической защиты информации «ШИФР»

• «Шифр-К» - комплекс криптографической защиты для систем клиент-банк
• «Шифр-PKI» - система криптографической защиты информации
• «Шифр-КС» - комплекс криптографической защиты для клиент-серверных систем
• «Шифр-e» - комплекс средств криптографической защиты для системы интернет-банкнга «ELPAY»

Система криптографической защиты информации 2-го поколения Шифр - PKI

• Разработка – 2001 г. В промышленной эксплуатации с марта 2002 г по н.в.
• Назначение:
• Создание корпоративной инфрастуктуры открытых ключей (Public Key Infrastructure - PKI)
• Криптографическая защита информации в банковских автоматизированных системах различного функционального предназначения

Основные принципы построения системы Шифр-PKI

• Соответствие требованиям законодательства, НБУ и ДСТСЗИ СБУ
• Универсальность, масштабируемость и гибкость подсистемы управления ключами, ее независимость от технологических, архитектурных и функциональных особенностей автоматизированных систем
• Выполнение исполнительными устройствами системы всего спектра криптографических функций, их адаптируемость к применению в составе автоматизированных систем различного функционального предназначения
• Организационно-техническая поддержка программных решений

Архитектура подсистемы управления ключами

• Вариант 1. Трех-уровневая иерархическая

Архитектура подсистемы управления ключами

• Вариант 2. Двух - уровневая

Архитектура подсистемы управления ключами

• Вариант 3. Одноуровневая (подсистема управления ключами и сертификатами для системы «Клиент-банк»)

Шифр-PKI Средства генерации ключей

• Модуль генерации ключей для исполнителей банка
• Модуль управления ключами клиента
• Модуль – агент регионального центра сертификации ключей (Центр Регистрации)

Шифр-PKI Средства управления ключами и сертификатами

• АРМ главного центра сертификации ключей
• АРМ регионального центра сертификации ключей
• Модуль – агент регионального центра сертификации ключей
• Модуль управления ключами клиента

Шифр-PKI Средства доставки запросов и сертификатов

• Модуль – служба TCP/IP доступа к справочнику сертификатов
• Модуль интерфеса к электронной почте

Шифр-PKI Исполнительные устройства

• Модуль криптографических функций (Win32) – управление ключами связи, шифрование, имитозащита, цифровая подпись
• Java - модуль криптографических функций (для операционных сред, которые поддерживают Java - UNIX, LINUX и др.,) - управление ключами связи, шифрование, имитозащита, цифровая подпись
• Комплекс «EProxy» - средства защиты TCP/IP трафика (строгая аутентификация, шифрование)

Подсистема организационно-технической защиты

• Положение о системе криптографической защиты банка
• Положение о Главном (Региональном) центре сертификации ключей
• Инструкция администратору Главного (Регионального) центра сертификации ключей
• Положение о порядке генерации, хранения и уничтожения ключей исполнителей
• Инструкция должностному лицу, ответственному за генерацию ключей
• Инструкция на случай компрометации ключей
• Технология криптографической защиты в ВПС
• Технологии криптографической защиты в системах предоставления услуг клиенту

Комплекс средств криптозащиты для системы интернет-банкнга «ELPAY» «Шифр-e»

• Назначение:
• Взаимная строгая аутентификация участников обмена данными при установлении соединения
• Защита шифрованием обмена данными между клиентом и банком
• Защита платежных документов цифровой подписью

Перспективы развития средств криптографической защиты

• Реализация в полном объеме, как в технологическом плане, так и с точки зрения форматов данных, криптографических алгоритмов и протоколов общепризнанных международных стандартов в сфере криптографической защиты информации и банковской деятельности

Создание системы криптографической защиты 3-го поколения

• Проект: Создание комплексной системы криптографической защиты банка АВАЛЬ
• Центр сертификации ключей
• Центр регистрации

• ОКР Разработка центра аутентификации национальной системы конфиденциальной связи
• Центр регистрации
• Рабочее место абонента (генерация ключей, цифровая подпись, метки времени)

Зона ответственности ЗАО «»

Соответствие международным стандартам

Требующие решения технологические вопросы

• Порядок смены корневого сертификата
• Определение и описание политик применения сертификатов на стыке платежной системы банка и внешних систем (СЭП НБУ, системы предоставления услуг клиентам)
• Выбор алгоритма несимметричного шифрования для управления ключами шифрования данных
• Технология шифрования данных на стыке платежной системы банка и внешних систем

Проблемные вопросы структурного характера

• Место открытого ключа шифрования и криптопараметров в составе сертификата
• Представление в сертификате идентификационных данных банка (МФО) и других участников платежного докуменотооборота (ОКПО для юр.лиц, ИНН для физ.лиц)
• Представление в сертификате данных о его полномочиях и ограничениях на применение
• Назначение объектных идентификаторов для специфических параметров, которые относятся к банковской сфере
• Определение логической структуры цифровой подписи в составе подписанных данных
• Определения порядка кодирования специальных параметров

Закрытое акционерное общество «САЙФЕР» г. Киев, ул.Нагорная д.25-27 Тел./факс: (044) 246-99-00 E-mail: sales@cipher.kiev.ua http://elpay.com http://cipher.kiev.ua