Межсетевое взаимодействие (Межсетевой мастер ключ, формирование ММК, схема настройки межсетевого взаимодействия)

Вся ключевая информация в сети ViPNet подразделяется на следующие основные груп­пы:

1. Персональная ключевая информация пользователя (администратора УКЦ)

a. Парольный ключ пользователя (администратора УКЦ)

b. Ключи защиты пользователя (администратора УКЦ)

c. Ключи подписи пользователя (администратора УКЦ)

2. Ключи защиты

a. Ключи защиты УКЦ

b. Ключи защиты коллективов

3. Мастер-ключи УКЦ

a. Основные

b. Межсетевые

4. Ключи обмена

a. Симметричные

b. Асимметричные

5. Сеансовые ключи шифрования

a. Производные

b. Случайные

Мастер-ключи (МК) подразделяются на 2 группы (для версий 2.8 и 3.0):

1. Основные (внутрисетевые) мастер-ключи - предназначены для формирования ключей защиты и ключей обмена СУ в рамках одной сети. Первое формирование клю­чей производится автоматически после установки ПО УКЦ. Последующее формирова­ние инициируется администратором по истечении срока действия ключа. В данной группе находятся 3 типа ключей:

• Мастер персональный ключей – Mp_N Предназначен для генерации пер­сональных ключей защиты абонентов;

• Мастер ключей защиты коллективов - Md_N Предназначен для генера­ции ключей защиты коллективов;

• Мастер ключей обмена - Mc_N Предназначен для генерации ключей обме­на коллективов.

2. Межсетевые мастер-ключи - предназначены для формирования симметричных ключей обмена между СУ, зарегистрированными в разных сетях. Данные ключи форми­руются при необходимости установления связи между СУ, зарегистрированными в раз­ных сетях. В УКЦ могут присутствовать межсетевые мастер - ключи 3 типов:

• Индивидуальный симметричный мастер-ключ - создается для установ­ления связи с одной конкретной сетью - Mimn. Характеризуется номером

сети, создавшей ключ N, номером сети для связи с которой предназначен М и своим серийным номером. Для передачи ключа администратор УКЦ осу­ществляет его экспорт. При экспорте ключ шифруется на парольном ключе экспорта. Пароль, в зависимости от настроек УКЦ, либо задается админист­ратором, либо формируется как случайный, при экспорте ключа. Передача экспортированного ключа должна осуществляться по доверенному каналу связи. Импортирован данный ключ может быть только в ту сеть, для связи с которой он предназначен. При импорте ключа производится проверка имитовставки на парольном ключе экспорта. Если проверка успешна, то ключ перешифровывается на ключе защиты ключевого центра импортирующей сети.

• Асимметричный мастер-ключ - пара ключей Ma_N = (MSa_N,MPa_N)

для выработки общего мастер-ключа между сетями по протоколу Диффи - Хелмана с параметрами ГОСТ Р 34.10-94 или ГОСТ Р 34.11-94. Алгоритм и параметры выбираются администратором при формировании ключа. Харак­теризуется номером сети, создавшей ключ N и своим серийным номером.

Секретная составляющая ключа MSa_N защищается на ключе защиты клю­чевого центра и хранится в УКЦ. Экспорт этой части не производится. От­крытая часть ключа подписывается действующим ключом подписи админи­стратора УКЦ, создавшего мастер-ключ и передается по произвольным ка­налам связи в УКЦ других сетей. При импорте открытых частей асиммет­ричных мастер-ключей из других сетей MРа_м производится проверка

подписи под ключом. Импорт производится только в случае успешной про­верки подписи и сертификата администратора УКЦ, подписавшего ключ. В отличии от симметричных мастер-ключей срок действия ключа дополни­тельно ограничивается сроком действия сертификата администратора УКЦ, подписавшего данный ключ.

• Универсальный симметричный мастер-ключ - Ми_м предназначен для

установления связи между 2 и более сетями. Характеризуется номером сети, создавшей ключ и своим серийным номером. Методы формирования экспор­та и импорта идентичны индивидуальным мастер-ключам, но импортирован ключ может быть в несколько сетей одновременно. Формировать и исполь­зовать данный ключ рекомендуется только в случае отсутствия других типов мастер-ключей для обеспечения бесперебойной генерации ключевой инфор­мации СУ или для организации временной защищенной связи в условиях от­сутствия возможности обмена другими типами мастер-ключей.

Все МК располагаются в подкаталоге MASTERS.

- Основные (внутрисетевые) мастер-ключи (для версии 3.0), то есть МК Персональных ключей, МК Ключей защиты, МК Ключей обмена хранятся в одном общем файле KC_MAST.key. При импорте ключевой информации из УКЦ предыдущих версий и при смене МК Персональных ключей в этот же файл помещается предыдущая версия МК Персональных ключей, для корректного формирования обновлений. Все ключи в данном файле защищаются на ключе защиты УКЦ.

- Межсетевые мастер-ключи хранятся в зависимости от типов в следующих файлах: MASTERS/i_mast.key - индивидуальные

MASTERS /u mast.key - универсальные MASTERS /a_mast.key - асимметричные своей сети

MASTERS /a_mast.cer - открытые части для асимметричных мастер-ключей из других сетей.

В составе каждого мастер-ключа хранится информация о его создании, импорте/экспорте и вводе в действие. Импорт, экспорт, ввод в действие и удаление старых версий ключа осущест­вляется администратором УКЦ.