
Список услуг по направлению
- Услуги по анализу защищённости решения (системы) на уровне архитектуры
- Услуги по анализу защищенности решения (системы) на уровне реализации
- Консультационные услуги по встраиванию криптографии
- Внедрение ГОСТ-овых средств криптографической защиты информации и электронной подписи
- Защита данных при передаче между компонентами системы
- Создание/проверка ЭП, хэширование и безопасное хранение ключевой информации пользователей (узла/клиента)
- Обеспечение защищенного хранения информации офф-чейн и возможность сохранения в блокчейне слепка конфиденциального документа
Краткое описание услуг
Для разработчиков и заказчиков решений на базе технологии блокчейн компания КриптоПро может предложить следующие услуги:
Услуги по анализу защищённости решения (системы) на уровне архитектуры
Использование технологии блокчейн (блокчейн-платформ) в каждой конкретной информационной системе, в силу специфики условий её эксплуатации и принятой модели угроз, может предполагать необходимость использования различных мер, механизмов и протоколов для защиты обрабатываемой информации (например, аутентификация, разграничение доступа, обеспечение конфиденциальности и пр.), как правило отсутствующих в блокчейн-платформе «из коробки».
Компания КриптоПро, чьи сотрудники имеют большой опыт проведения исследований и проектирования систем безопасности, может провести аудит информационной системы на предмет полноты и корректности обеспечения мер защиты от актуальных для системы угроз.
Услуги по анализу защищенности решения (системы) на уровне реализации
Отсутствие уязвимостей в архитектуре, к сожалению, еще не гарантирует безопасности системы в целом, так как все необходимые функции безопасности нужно еще и реализовать в полном соответствии с проектом, не допустив ошибок. На этапе реализации возможно появление уязвимостей как в самой реализации продукта (программном и аппаратном обеспечении или конфигурации), так и в эксплуатационной документации1 на него.
Услуги включают в себя работы по анализу (статическому и динамическому) программного обеспечения решения, включая и код смарт-контрактов, для проверки корректности реализации функций безопасности, корректности использования криптографических алгоритмов и протоколов, отсутствия уязвимостей уровня реализации, позволяющих реализовать атаки на защищаемую информацию.
[1] Прежде всего это руководства для администратора безопасности (в случае наличия таковых в системе) и руководства пользователей
Консультационные услуги по встраиванию криптографии
Для обеспечения требуемого уровня безопасности (защиты от актуальных для решения угроз) недостаточно просто реализовать или использовать корректные криптографические алгоритмы и протоколы, их необходимо еще и правильно интегрировать в решение. Большое (если не большее) число проблем с безопасностью связано как правило именно с ошибками в реализации вследствие неправильного использования криптографических алгоритмов, протоколов и функций безопасности, и некорректной обработки результатов их работы, а не с уязвимостями в них самих.
Компания КриптоПро, являясь одним из ведущих разработчиков средств криптографической защиты информации, и активно участвуя в разработке новых стандартов (алгоритмов, протоколов), может на этапе разработки и проектирования решения оказать консультации по корректному встраиванию конкретных выбранных алгоритмов и протоколов.
В том числе для решения указанных проблем/вопросов компанией КриптоПро разработан прототип модуля bccsp для платформы HyperLedger Fabric, обеспечивающий возможность использования в ней Российских криптографических алгоритмов шифрования, хэширования и электронной подписи, реализованных в сертифицированных продуктах компании (КриптоПро CSP [2] / КриптоПро HSM [3] / КриптоПро DSS [4]), корректную работу с криптографическими примитивами, и корректную/безопасную работу с ключевой информацией.
Данный модуль может быть подключен к платформе без необходимости существенной доработки программного обеспечения платформы, а только лишь путем изменения ее файлов конфигурации.
Внедрение средств криптографической защиты информации и электронной подписи на основе ГОСТ
Продукты компании могут быть использованы для реализации функций безопасности в любой блокчейн-платформе, в частности, для обеспечения следующих функций:
- Хэширование и создание/проверка ЭП (блоков и транзакций);
- Защита от несанкционированного доступа:
- Обеспечение конфиденциальности и целостности данных при их передаче между узлами или между пользователем/клиентом и узлом;
- Обеспечение конфиденциальности данных (или ключей) при их хранении на узле или клиенте (или офф-чейн);
- Возможность формирования для записи в РР слепка (указателя) на хранящийся офф-чейн документы/данные.
В зависимости от задач и компонента (клиент или узел) могут использоваться:
Защита данных при передаче между компонентами системы
Защита данных при их передаче между участниками информационного взаимодействия может обеспечиваться за счет использования TLS, реализуемый как средствами КриптоПро CSP [2] (либо через интерфейс SSPI2, либо с использованием утилиты создания TLS-туннеля stunnel, входящей в его состав), так и средствами ПАК КриптоПро NGate [5].
На узлах/нодах сети может использовать и КриптоПро CSP [2], и КриптоПро NGate [5]. При этом стоит отметить, что утилита stunnel имеет некоторые ограничения, в том числе и по количеству одновременных подключений, потому в случае необходимости возможности установки/поддержания одновременно большого количества соединений, рекомендуется использовать КриптоПро NGate [5].
На клиентах же целесообразнее использовать КриптоПро CSP [2].
[2] Использование SSPI предоставляет больше возможностей, но при этом требует разработки кода и проведения дополнительных исследований. Использование stunnel же предполагает возможность работы только в заданных режимах, но без необходимости проведения каких-либо дополнительных исследований.
Создание/проверка ЭП, хэширование и безопасное хранение ключевой информации пользователей (узла/клиента)
В зависимости от места применения (клиент или узел) для этих задач может использоваться:
- на узле — КриптоПро CSP [2], КриптоПро HSM [3] (для обеспечения боле надежной защиты ключей на узлах);
- на клиенте — КриптоПро CSP [2], КриптоПро DSS [4].
Для обеспечение защищенного хранения (использования) ключей на пользовательских компонентах (клиентах сети) может применяться КриптоПро DSS [4], который обеспечивает защищенное централизованное хранение ключевой информации пользователя и удаленного выполнения операций по созданию и проверке ЭП, а также хэширования.
Примечание. Встраивание всех вышеперечисленных продуктов может выполняться через интерфейс CryptoAPI.
Обеспечение защищенного хранения информации офф-чейн и возможность сохранения в блокчейне слепка конфиденциального документа
Для реализации возможности сохранения в блокчейн слепка информации можно использовать КриптоПро JCP [6] (или КриптоПро JavaCSP [7]), либо КриптоПро Browser Plug-in [8], в которых специально для использования в блокчейн-решениях реализован функционал хэширования на основе HMAC, позволяющий за счет использования дополнительного источника случайности обеспечивать надежную защиту от возможности восстановления/подбора содержимого по значению хэша малоэнтропийных блоков данных (документов).