Совместимость российских реализаций IPsec

Оглавление

Введение

Введение общепринятого стандарта в перспективе позволит получать у различных производителей совместимые программные и аппаратные решения, обеспечивающие потребителям понятный, функционально полный набор потребительских свойств, свободу выбора поставщика.

Современное состояние российской нормативной базы в области совместимости реализаций IPsec (VPN)

В период 2008-2012 гг. ЗАО "Группа С-Терра" совместно с ООО "КРИПТО-ПРО", выполняя поручение рабочей группы "IPsec и IKE" технического комитета по стандартизации "Криптографическая защита информации" (ТК26) <http://www.tc26.ru/>, разработали ряд нормативных документов:

  • Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при согласовании ключей в протоколах IKE и ISAKMP [rus-gost-ike];
  • Техническая спецификация по использованию ГОСТ 28147-89 при шифровании вложений в протоколе IPsec ESP [rus-gost-esp];
  • Техническая спецификация по использованию ГОСТ Р 34.11-94 при обеспечении целостности в протоколах IPsec AH и ESP [rus-gost-ah].

Совместимые реализации российских алгоритмов IPsec

На настоящий момент проведены испытания на соответствие техническим спецификациям и возможности встречной работы следующих СКЗИ:

  • СКЗИ "Dionis NX" (ООО "Фактор‑ТС") и СКЗИ "КриптоПро CSP" (ООО "КРИПТО‑ПРО"), испытания завершены, см. протокол испытаний [dionis-nx];
  • СКЗИ "StoneGate Firewall" (ООО "НТБ") и СКЗИ "КриптоПро CSP" (ООО "КРИПТО‑ПРО"), испытания завершены, см. протокол испытаний [stonegate-vpn].

Этот список будет расширяться по мере проведения тестовых испытаний.

Стенд открытого тестирования СКЗИ "КриптоПро CSP"/"КриптоПро IPsec"

Для упрощения тестирования встречной работы доступен публичный стенд реализации российских алгоритмов IPsec, состоящий из нескольких узлов:

  • vpngost.cryptopro.ru,
  • vpngost-a.cryptopro.ru,
  • vpngost-tun.cryptopro.ru,
  • vpngost-a-tun.cryptopro.ru.

Для тестирования по современному протоколу IPv6 используются:

  • vpngost-v6.cryptopro.ru,
  • vpngost-v6-a.cryptopro.ru,
  • vpngost-v6-tun.cryptopro.ru,
  • vpngost-v6-a-tun.cryptopro.ru.

На странице "Стенд открытого тестирования СКЗИ "КриптоПро CSP"/"КриптоПро IPsec" можно более подробно ознакомиться с описанием стенда и типовыми методиками тестирования встречной работы.

Ссылки

[rus‑gost‑ike] Техническая спецификация по использованию ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при согласовании ключей в протоколах IKE и ISAKMP "rus-gost-ike-isakmp.pdf"
[rus‑gost‑esp]

Техническая спецификация по использованию ГОСТ 28147-89 при шифровании вложений в протоколе IPsec ESP "rus-gost-esp.pdf"

[rus‑gost‑ah] Техническая спецификация по использованию ГОСТ Р 34.11-94 при обеспечении целостности в протоколах IPsec AH и ESP "rus-gost-ah.pdf"
[dionis‑nx] Протокол испытаний соответствия реализации IPsec проектам методических рекомендаций ТК26 и обеспечения встречной работы СКЗИ "Dionis NX" (ООО "Фактор‑ТС") и СКЗИ "КриптоПро CSP" (ООО "КРИПТО‑ПРО"), "Dionis-NX-Factor-TS-vs-CryptoPro-IPsec.pdf"
[stonegate‑vpn] Протокол испытаний соответствия реализации IPsec проектам методических рекомендаций ТК26 и обеспечения встречной работы СКЗИ "StoneGate Firewall" (ООО "НТБ") и СКЗИ "КриптоПро CSP" (ООО "КРИПТО‑ПРО"), "NST-vs-CP-ipsec-0046.pdf"