Trusted TLS

Trusted TLS 3 - это доработанный криптографический пакет OpenSSL, позволяющий использовать российские стандарты криптографической защиты информации в утилите командной строки openssl, веб-серверах Apache HTTP Server и nginx. Поддержка сертифицированных в РФ алгоритмов электронной подписи, шифрования файлов и канала передачи информации реализована посредством вызова функций криптопровайдера «КриптоПро CSP».

Trusted TLS для веб-серверов поставляется вместе с доработанными веб-серверами. В случае с Apache-серверами, изменения производились только в модуле mod_ssl. Новый модуль, созданный на базе mod_ssl, называется mod_digt_tls, и в большинстве случаев его можно подключить к веб-серверам, входящими в состав популярных дистрибутивов Linux. В отличие от Apache HTTP Server, nginx на модули не делится, поэтому Trusted TLS внедрен в его единственный исполняемый файл.

Стандартные версии продукта

  • Trusted TLS 3 (для веб-серверов Apache HTTP Server 2.2.21, 2.4.12 и nginx 1.9.3);
  • Trusted TLS 3 Standard;
  • Trusted TLS 2.2 (для веб-сервера Apache HTTP Server 2.2.21);
  • Trusted TLS 2.2 for Connectra R66.

Поддерживаемые операционные системы

  • семейства Windows: 
    - Windows 7/8/8.1/Server 2003/2008 (32-разрядные); 
    - Windows 7/8/8.1/Server 2008/2008 R2/2012 (64-разрядные);
  • совместимые с Linux Standard Base ISO/IEC 23360 (32- и 64-разрядные).

Описания решений

  • Защита каналов передачи данных
  • Защита доступа к интернет-порталам
  • Защищенный электронный обмен документами для банков
  • Защита каналов передачи данных для Check Point Connectra
  • Защита каналов передачи данных для web-приложений Oracle

Функциональные возможности

Криптографические операции с использованием СКЗИ «КриптоПро CSP» версий 3.6, 3.9 и 4.0:

  • создание ключевой пары по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012;
  • хэширование по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012;
  • формирование и проверка ЭП по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012;
  • шифрование и расшифрование на закрытом ключе ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-2012;
  • симметричное шифрование по ГОСТ 28147-89;
  • имитовставка (MAC) по ГОСТ 28147-89;

Поддержка TLS/SSL протоколов:

  • версии TLS: 1.0, 1.1 и 1.21 для сертифицированных и зарубежных алгоритмов;
  • версии SSL: 2.0 и 3.0 для не сертифицированных алгоритмов;
  • поддержка шифросюит (CipherSuite): TLS_GOSTR341001_WITH_28147_CNT_IMIT (0×0081) и TLS_GOSTR341112_256_WITH_28147_CNT_IMIT (0xFF85);
  • 256-битное шифрование для в соответствии с ГОСТ 28147-89;
  • поддержка X.509-сертификатов с ключами по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 (256 и 512 бит).

Дополнительные возможности Trusted TLS 3:

  • совместим с «КриптоПро TLS» от компании «Крипто-Про»;
  • возможность одновременной установки ГОСТ и RSA сертификатов на один виртуальный хост;
  • поддерживает несколько ГОСТ-сертификатов на разных виртуальных хостах;
  • аутентификация по ГОСТ-алгоритмам при проксировании;
  • только в веб-серверах Apache: возможность одновременной установки ГОСТ и RSA сертификатов на одном виртуальном хосте;
  • только в веб-серверах Apache: поддержка расширений сертификата Улучшенный ключ (Extended key usage) и Политики сертификата (Certificate policies) в переменных окружения сервера.

Стандартные высокоуровневые операции OpenSSL библиотек crypto и ssl:

  • поддержка ЭП в формате PKCS#7, CMS, S/MIME;
  • поддержка параллельных ЭП в формате CMS;
  • поддержка шифрования в формате PKCS#7, CMS, S/MIME;
  • поддержка ГОСТ-сертификатов формата x509, включая версию 3;
  • поддержка запросов на ГОСТ-сертификаты в формате PKCS#10;
  • подключение к защищенным серверам по ГОСТ TLS;
  • прием соединений по ГОСТ TLS.

Операции с использованием стандартных криптографических алгоритмов OpenSSL (RSA, DSA, MD, SHA, AES и др).

Программный продукт Trusted TLS может быть использован для решения следующих задач:

1. Разграничение доступа к веб-ресурсам по защищенному протоколу

Данное решение ограничивает доступ к веб-ресурсам на основе использования цифровых ГОСТ-сертификатов. Оно предназначено для тех ситуаций, когда для доступа к ресурсам требуется аутентификация пользователя, а в качестве средств защиты применяются сертифицированные криптографические продукты.

Для реализации этого решения требуется установка на сервере криптопровайдера “КриптоПро CSP” и ПО Trusted TLS. На клиентских местах должен быть установлен криптопровайдер “КриптоПро CSP” с поддержкой TLS.

Возможна поддержка как односторонней, так и двухсторонней аутентификации.

2. Разграничение доступа к веб-ресурсам одновременно по ГОСТ и RSA-сертификатам

Trusted TLS обеспечивает одновременную поддержку двух серверных сертификатов. При этом реализация доступа возможна двумя способами.

При первом способе доступ к веб-ресурсам обеспечивается одинаково при предъявлении сертификата любого вида (ГОСТ и не-ГОСТ). Обращение к веб-ресурсу выполняется по одному и тому же адресу.

При втором способе обращение к веб-ресурсам происходит по различным адресам, в зависимости от предъявляемого типа сертификата. Дальнейшее определение прав доступа осуществляется за счет настроек сервера Apache.

3. Использование Trusted TLS в качестве прокси-сервера

Данное решение может быть использовано в ситуации, когда аутентификация на веб-ресурсе должна выполняться по ГОСТ-сертификатам, а в организации, сотрудники которой должны иметь к нему доступ, сертифицированные средства криптографической защиты не используются.

Для решения этой проблемы предлагается использовать в организации ПО Trusted TLS, работающее на ГОСТ-сертификате, установленное и настроенное для работы в качестве прокси-сервера. В этом случае все запросы, направляемые к защищенному веб-ресурсу, будут перехватываться этим сервером и передаваться по защищенному TLS-соединению. В качестве сертификата, по которому будет предоставляться доступ, будет использован серверный сертификат.

Доступ к защищенному веб-ресурсу в этом случае смогут получить все сотрудники компании, которым он будет разрешен в соответствии с внутренними правами, вне зависимости от того, имеется ли у них личный ГОСТ-сертификат или нет.

4. Сервера приложений: интеграция Trusted TLS

Набор методик для построения защищенного канала для серверов приложений (Tomcat, IBM Websphere, Oracle Weblogic) на базе продукта Trusted TLS (веб-сервера Apache версии 2.2) для обеспечения конфиденциальности информации и аутентификации пользователей в приложениях, разворачиваемых на этих серверах. Методики были проверены на операционной системе RedHat Enterprise Linux/CentOS 5.3 x86. при использовании следующих связок:

  • Apache + Trusted TLS + CSP 3.6/3.6 R2 + Tomcat 5.5/6.0/7.0
  • Apache + Trusted TLS + CSP 3.6/3.6 R2 + IBM Websphere 6.1/7.0
  • Apache + Trusted TLS + CSP 3.6/3.6 R2 + Oracle WebLogic Server 10.3.2

Позвоните нам или отправьте заявку для получения бесплатной консультации! 

Оформить заявку
Вернуться
к описанию