Информация >> Публикации сотрудников компании >>SSL-протокол без экспортных ограничений
"PC Week", №23, 1998 июнь

Наблюдающееся в последнее время бурное развитие систем электронной коммерции на базе Интернет-технологий, в частности в среде World Wide Web, не оставляет сомнения в том, что довольно скоро эти технологии прочно войдут в нашу повседневную жизнь. Но для этого необходимо, чтобы они были удобны, обеспечивали высокий уровень безопасности и не допускали возможности злоупотреблений.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др. ), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с передачей, обработкой и хранением конфиденциальной информации. Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Чтобы восполнить этот пробел, компания "Сигнал-КОМ" почти год назад выпустила программный продукт "Inter-PRO", решающий проблему защиты информации для отечественных разработок на базе WWW-приложений. Напомним, что модули пакета "Inter-PRO", установленные на стороне WWW-сервера и на стороне взаимодействующего с ним браузера, снимают экспортные ограничения на длину ключей в протоколе SSL и позволяют дополнительно использовать российский стандарт шифрования ГОСТ 28147-89.

В Таблице 1 для сравнения приводятся параметры криптографических алгоритмов протокола SSL 2.0, поддерживаемые в пакете "Inter-PRO" и в западных версиях программного обеспечения без экспортных ограничений и с ограничениями.

 

Таблица 1
Алгоритм Длина ключа (бит)
Без экспортных ограничений С экспортными ограничениями "Inter-PRO"
RSA до 2048 512 до 2048
RS2 128 40 128
RC4 128 40 128
DES 56 - 56
DES3 168 - 168
IDEA 128 - 128
ГОСТ28147-89 - - 256

Помимо использования российского стандарта шифрования, в "Inter-PRO" реализована возможность формирования и проверки цифровой подписи пользователя под электронной формой (GET/POST), заполняемой им в процессе взаимодействия с WWW-сервером. Именно эта возможность позволяет разработчикам создавать защищенные торговые и финансовые приложения, требующие установления однозначного соответствия между именем клиента и содержимым подписанного им документа. Так, например, в качестве одного из возможных вариантов организации защищенной системы "Банк-Клиент" на базе пакета "Inter-PRO" может быть предложена следующая схема.

На рабочее место клиента банка устанавливается один из стандартных WWW-браузеров (например, Netscape Navigator или Microsoft Explorer). Для получения расширенного сервиса клиенты дополнительно оснащаются программным модулем "Inter-PRO/Client", позволяющим осуществлять настройку на работу с WWW-сервером банка (или даже несколькими серверами) в защищенном режиме, обеспечивающем:

  • аутентификацию (подтверждение подлинности) сервера банка
  • конфиденциальность соединения клиента с сервером
  • формирование цифровой подписи под документами (содержимым электронных форм).

Защищаемый сервер банка строится на базе стандартного WWW-сервера (например, Microsoft IIS), доступ к которому осуществляется через программное обеспечение "Inter-PRO/Server", функционирующее либо на том же компьютере, на котором установлен WWW-сервер, либо на отдельной машине.

"Inter-PRO" на стороне сервера обеспечивает:

  • аутентификацию клиента банка
  • конфиденциальность соединения
  • проверку цифровой подписи под документами (содержимым электронных форм).

Примером реализации подобной системы с использованием пакета "Inter-PRO" является новая разработка компании "Диасофт" - 5NT(e) CLIENT.

Как известно, ядром протокола SSL является метод двухключевой криптографии (компании RSA Data Security), использующий для аутентификации взаимодействующих сторон и формирования общего ключа шифрования сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровой подписью специальных Сертификационных Центров. В пакете "Inter-PRO" секретные и открытые ключи пользователей формируются с помощью встроенной процедуры генерации ключей. На основе открытого ключа формируется также запрос сертификата, который передается Сертификационному Центру. В сертификате вместе с открытым ключом содержится необходимая информация о пользователе (сервере или клиенте), которая заверяется цифровой подписью центра.

В роли Сертификационного Центра до настоящего времени выступала компания-разработчик "Сигнал-КОМ", однако с конца апреля 1998 года служба сертификации станет доступной и другим организациям, т.к. компания "Сигнал-КОМ" выпустила новый продукт - локальный Сертификационный Центр "Notary-PRO v.1.0".

Совместимость пакета "Inter-PRO" с версиями протокола SSL 2.0, реализованными в WWW-серверах и браузерах разработки фирм Microsoft, Netscape и др., позволяет использовать пакет для организации защищенного взаимодействия в паре с продуктами указанных фирм, не содержащими экспортных ограничений. В этом случае "Inter-PRO" устанавливается на стороне только одного из участников взаимодействия:

  • если необходимо организовать защищенное соединение между западными WWW-серверами и российскими пользователями, имеющими в своем распоряжении браузеры с экспортными ограничениями, на стороне клиента устанавливается модуль "Inter-PRO/Client"
  • если российский владелец WWW-сервера с экспортными ограничениями хочет обеспечить к нему безопасный доступ западных пользователей, на стороне сервера устанавливается модуль "Inter-PRO/Server".

В Таблице 2 приводятся параметры защищенного соединения при различных сочетаниях программного обеспечения, устанавливаемого на стороне клиента и сервера (с экспортными ограничениями или без, с пакетом "Inter-PRO" или без него).

 

Таблица 2
WWW-сервер WWW-браузер
с экспортными ограничениями БЕЗ
экспортных ограничений
CA USA, CA RU, Cert USA
с экспортными ограничениями +
"Inter-PRO"
CA RU, CA USA, CertRU
С экспортными ограничениями Ключ 40 бит Ключ 40 бит Ключ 40 бит
БЕЗ экспортных ограничений CA USA, CA RU Cert USA Ключ 40 бит Аутентификация: Аутентификация:
-сервера USA (RU)
-клиентов USA
-сервера USA (RU)
-клиентов RU
Шифрование: Шифрование:
-ключ 128 бит -ключ 128 бит
С экспортными ограничениями + "Inter-PRO" CA RU, CA USA, Cert RU Ключ 40 бит Аутентификация: Аутентификация:
-сервера RU (USA)
-клиентов USA
-сервера RU (USA)
-клиентов RU
Шифрование: Шифрование:
-ключ 128 бит -128 бит
-256 бит (ГОСТ 28147-89)
  Цифровая подпись под документом

 

  • CaUSA - открытый ключ западного Сертификационного авторитета (СА);
  • CARU - открытый ключ российского СА;
  • Cert USA - сертификат браузера или сервера, полученный у западного СА;
  • Cert RU - сертификат браузера или сервера, полученный у российского СА.

Из приведенных данных можно видеть, что при односторонней установке "Inter-PRO" (либо на стороне сервера, либо на стороне клиента) поддерживается режим взаимной аутентификации и защищенное взаимодействие с западными стандартами шифрования без экспортных ограничений на длину ключа. Установка "Inter-PRO" на каждой из взаимодействующих сторон добавляет возможность использования отечественных алгоритмов шифрования (ГОСТ 28147-89) и опциональный режим формирования/проверки цифровой подписи под электронной формой.

Связаться с авторами, сотрудниками компании "Сигнал-КОМ", можно по телефону: (495) 663-3034