Общие сведения

 Next

Программно-аппаратный или программный комплекс «ФПСУ-TLS» является средством защиты от несанкционированного доступа к информации, в котором реализован необходимый набор телекоммуникационных функций клиентской и серверной сторон протокола TLS (The Transport Layer Security Protocol, RFC 5246, 8446) в соответствии с рекомендациями по стандартизации Р 1323565.1.020-2020 (TLS 1.2) и Р 1323565.1.030-2020 (TLS 1.3). ФПСУ-TLS выполняет функцию защиты данных, передаваемых в соответствии с протоколом HTTP в глобальных и локальных вычислительных сетях.

ФПСУ-TLS предназначен для применения в вычислительных сетях, использующих среду передачи данных Ethernet, тип кадра Ethernet II, и стек протоколов TCP/IP.

Основным назначением ФПСУ-TLS является обеспечение защиты от несанкционированного доступа (НСД) к информации, передаваемой между HTTP-серверами локальной вычислительной сети и удаленными абонентскими пунктами через сети передачи данных общего пользования.

ФПСУ-TLS является основным компонентом (сервером) распределенной системы защиты передаваемых данных от НСД. В качестве абонентских пунктов системы (клиентов) может выступать программное или программно-аппаратное решение, взаимодействующее с ФПСУ-TLS в роли клиента в соответствии с протоколом TLS (далее TLS-клиент).

 

tls_schema

Общая схема применения ФПСУ-TLS

ФПСУ-TLS обеспечивает формирование защищенных межсетевых HTTPS туннелей в соответствии с протоколами TLS 1.2 и TLS 1.3. В межсетевых туннелях осуществляется:

обязательная двухсторонняя аутентификация взаимодействующих ФПСУ-TLS и TLS-клиента при установлении TLS-соединения;

шифрование HTTP-трафика, обеспечивающее сокрытие полей данных передаваемых пакетов.

Ключевая система защиты передаваемой информации построена на основе сертификатов X.509.

Аутентификация и идентификация между ФПСУ-TLS и TLS-клиентами осуществляется на базе инфраструктуры открытых ключей (PKI) в соответствии с протоколом TLS.

ФПСУ-TLS в случае программно-аппаратного решения представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением ОС на основе Linux.

ФПСУ-TLS в случае программного решения представляет собой виртуальную машину, функционирующую под управлением гостевой ОС на основе Linux (подробнее про работу программного решения см. пункт «ФПСУ-TLS в виртуальной машине»).

 ФПСУ-TLS использует диалоговые средства для управления своей работой (настройки сетевых параметров, установления правил идентификации и аутентификации доступа к ФПСУ-TLS, просмотра регистрационной информации, настройка сертификатов и т.д.), а также для установки некоторых параметров работы самого устройства (даты и времени).

Защитные функции ФПСУ-TLS гарантируют конфиденциальность, целостность и достоверность передаваемой в процессе его эксплуатации информации при соблюдении организационно-технических требований, находящихся в поставляемом с ФПСУ-TLS документе «Правила пользования» на СКЗИ «ФПСУ-TLS».

ФПСУ-TLS следует использовать в соответствии с формуляром и правилами пользования СКЗИ «ФПСУ-TLS», входящими в комплект поставки.

Ниже приведен список нормативных документов, которым соответствует реализация программного обеспечения ФПСУ-TLS:

Протокол TLS:

МР 26.2.001-2013 Информационная технология. Криптографическая защита информации. Использование наборов алгоритмов шифрования на основе ГОСТ 28147-89 для протокола безопасности транспортного уровня (TLS).

Рекомендации по стандартизации Р 1323565.1.020-2020. Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2).

Рекомендации по стандартизации Р 1323565.1.030-2020. Информационная технология. Криптографическая защита информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3).

Алгоритмы и режимы криптографических алгоритмов:

ГОСТ Р 34.10-2012 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

ГОСТ Р 34.11-2012 Информационная технология. Криптографическая защита информации. Функция хэширования.

ГОСТ Р 34.12-2015 Информационная технология. Криптографическая защита информации. Блочные шифры.

ГОСТ Р 34.13-2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.

Р 50.1.113-2016 Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов электронной цифровой подписи и функции хэширования.

Р 1323565.1.026-2019 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров, реализующие аутентифицированное шифрование.

Параметры эллиптических кривых для криптографических алгоритмов:

Р 50.1.114-2016 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.

Р 1323565.1.024-2019 Информационная технология. Криптографическая защита информации. Параметры эллиптических кривых для криптографических алгоритмов и протоколов.

Поддерживаемые криптонаборы:

TLS_GOSTR341112_256_WITH_28147_CNT_IMIT

TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC

TLS_GOSTR341112_256_WITH_MAGMA_CTR_OMAC

TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_L

TLS_GOSTR341112_256_WITH_MAGMA_MGM_L

TLS_GOSTR341112_256_WITH_KUZNYECHIK_MGM_S

TLS_GOSTR341112_256_WITH_MAGMA_MGM_S

RSA:

TLS_AES_128_GCM_SHA256*

TLS_AES_256_GCM_SHA384*

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256*

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256*

 

*Примечание: использование указанных алгоритмов для защиты информации конфиденциального характера запрещается в случаях, определенных пунктом 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденного приказом  ФСБ РФ от 9 февраля 2005 г. N 66.