Список услуг по направлению
- Услуги по анализу защищённости решения (системы) на уровне архитектуры
- Услуги по анализу защищенности решения (системы) на уровне реализации
- Консультационные услуги по встраиванию криптографии
- Внедрение ГОСТ-овых средств криптографической защиты информации и электронной подписи
- Защита данных при передаче между компонентами системы
- Создание/проверка ЭП, хэширование и безопасное хранение ключевой информации пользователей (узла/клиента)
- Обеспечение защищенного хранения информации офф-чейн и возможность сохранения в блокчейне слепка конфиденциального документа
Краткое описание услуг
Для разработчиков и заказчиков решений на базе технологии блокчейн компания КриптоПро может предложить следующие услуги:
Услуги по анализу защищённости решения (системы) на уровне архитектуры
Использование технологии блокчейн (блокчейн-платформ) в каждой конкретной информационной системе, в силу специфики условий её эксплуатации и принятой модели угроз, может предполагать необходимость использования различных мер, механизмов и протоколов для защиты обрабатываемой информации (например, аутентификация, разграничение доступа, обеспечение конфиденциальности и пр.), как правило отсутствующих в блокчейн-платформе «из коробки».
Компания КриптоПро, чьи сотрудники имеют большой опыт проведения исследований и проектирования систем безопасности, может провести аудит информационной системы на предмет полноты и корректности обеспечения мер защиты от актуальных для системы угроз.
Услуги по анализу защищенности решения (системы) на уровне реализации
Отсутствие уязвимостей в архитектуре, к сожалению, еще не гарантирует безопасности системы в целом, так как все необходимые функции безопасности нужно еще и реализовать в полном соответствии с проектом, не допустив ошибок. На этапе реализации возможно появление уязвимостей как в самой реализации продукта (программном и аппаратном обеспечении или конфигурации), так и в эксплуатационной документации1 на него.
Услуги включают в себя работы по анализу (статическому и динамическому) программного обеспечения решения, включая и код смарт-контрактов, для проверки корректности реализации функций безопасности, корректности использования криптографических алгоритмов и протоколов, отсутствия уязвимостей уровня реализации, позволяющих реализовать атаки на защищаемую информацию.
[1] Прежде всего это руководства для администратора безопасности (в случае наличия таковых в системе) и руководства пользователей
Консультационные услуги по встраиванию криптографии
Для обеспечения требуемого уровня безопасности (защиты от актуальных для решения угроз) недостаточно просто реализовать или использовать корректные криптографические алгоритмы и протоколы, их необходимо еще и правильно интегрировать в решение. Большое (если не большее) число проблем с безопасностью связано как правило именно с ошибками в реализации вследствие неправильного использования криптографических алгоритмов, протоколов и функций безопасности, и некорректной обработки результатов их работы, а не с уязвимостями в них самих.
Компания КриптоПро, являясь одним из ведущих разработчиков средств криптографической защиты информации, и активно участвуя в разработке новых стандартов (алгоритмов, протоколов), может на этапе разработки и проектирования решения оказать консультации по корректному встраиванию конкретных выбранных алгоритмов и протоколов.
В том числе для решения указанных проблем/вопросов компанией КриптоПро разработан прототип модуля bccsp для платформы HyperLedger Fabric, обеспечивающий возможность использования в ней Российских криптографических алгоритмов шифрования, хэширования и электронной подписи, реализованных в сертифицированных продуктах компании (КриптоПро CSP / КриптоПро HSM / КриптоПро DSS), корректную работу с криптографическими примитивами, и корректную/безопасную работу с ключевой информацией.
Данный модуль может быть подключен к платформе без необходимости существенной доработки программного обеспечения платформы, а только лишь путем изменения ее файлов конфигурации.
Внедрение средств криптографической защиты информации и электронной подписи на основе ГОСТ
Продукты компании могут быть использованы для реализации функций безопасности в любой блокчейн-платформе, в частности, для обеспечения следующих функций:
- Хэширование и создание/проверка ЭП (блоков и транзакций);
- Защита от несанкционированного доступа:
- Обеспечение конфиденциальности и целостности данных при их передаче между узлами или между пользователем/клиентом и узлом;
- Обеспечение конфиденциальности данных (или ключей) при их хранении на узле или клиенте (или офф-чейн);
- Возможность формирования для записи в РР слепка (указателя) на хранящийся офф-чейн документы/данные.
В зависимости от задач и компонента (клиент или узел) могут использоваться:
Защита данных при передаче между компонентами системы
Защита данных при их передаче между участниками информационного взаимодействия может обеспечиваться за счет использования TLS, реализуемый как средствами КриптоПро CSP (либо через интерфейс SSPI2, либо с использованием утилиты создания TLS-туннеля stunnel, входящей в его состав), так и средствами ПАК КриптоПро NGate.
На узлах/нодах сети может использовать и КриптоПро CSP, и КриптоПро NGate. При этом стоит отметить, что утилита stunnel имеет некоторые ограничения, в том числе и по количеству одновременных подключений, потому в случае необходимости возможности установки/поддержания одновременно большого количества соединений, рекомендуется использовать КриптоПро NGate.
На клиентах же целесообразнее использовать КриптоПро CSP.
[2] Использование SSPI предоставляет больше возможностей, но при этом требует разработки кода и проведения дополнительных исследований. Использование stunnel же предполагает возможность работы только в заданных режимах, но без необходимости проведения каких-либо дополнительных исследований.
Создание/проверка ЭП, хэширование и безопасное хранение ключевой информации пользователей (узла/клиента)
В зависимости от места применения (клиент или узел) для этих задач может использоваться:
- на узле — КриптоПро CSP, КриптоПро HSM (для обеспечения боле надежной защиты ключей на узлах);
- на клиенте — КриптоПро CSP, КриптоПро DSS.
Для обеспечение защищенного хранения (использования) ключей на пользовательских компонентах (клиентах сети) может применяться КриптоПро DSS, который обеспечивает защищенное централизованное хранение ключевой информации пользователя и удаленного выполнения операций по созданию и проверке ЭП, а также хэширования.
Примечание. Встраивание всех вышеперечисленных продуктов может выполняться через интерфейс CryptoAPI.
Обеспечение защищенного хранения информации офф-чейн и возможность сохранения в блокчейне слепка конфиденциального документа
Для реализации возможности сохранения в блокчейн слепка информации можно использовать КриптоПро JCP (или КриптоПро JavaCSP), либо КриптоПро Browser Plug-in, в которых специально для использования в блокчейн-решениях реализован функционал хэширования на основе HMAC, позволяющий за счет использования дополнительного источника случайности обеспечивать надежную защиту от возможности восстановления/подбора содержимого по значению хэша малоэнтропийных блоков данных (документов).