Елена Никонова

    

Наблюдающееся в последнее время бурное развитие систем электронной коммерции на базе Интернет-технологий, в частности, в среде World Wide Web, не оставляет сомнения в том, что довольно скоро эти технологии прочно войдут в нашу повседневную жизнь. Но для этого необходимо, чтобы они были удобны, обеспечивали высокий уровень безопасности и не допускали возможности злоупотреблений.

С ростом коммерциализации Интернета все больше внимания уделяется вопросам защиты передаваемой по сети информации. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире. Зарубежные разработчики успешно используют их для создания банковских и торговых электронных систем на базе Интернета.

В России к возможности внедрения Интернета в сферы, связанные с передачей, обработкой и хранением конфиденциальной информации, относятся пока с большой осторожностью. Объясняется это не только консерватизмом отечественных финансовых структур, опасающихся открытости и доступности Интернета, но отчасти и тем, что большинство программных средств защиты информации западных фирм-производителей поступает на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, экспортные варианты WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, ограничены по длине ключа для одно- и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернете.

Компания “Сигнал-КОМ” около года назад выпустила программный продукт Inter-PRO, решающий проблему защиты информации для отечественных разработок на базе WWW-приложений. Модули этого пакета, установленные на сторонах WWW-сервера и взаимодействующего с ним браузера, снимают экспортные ограничения на длину ключей в протоколе SSL и позволяют дополнительно использовать российский стандарт шифрования ГОСТ 28147 - 89.

В табл. 1 для сравнения приведены параметры криптографических алгоритмов протокола SSL, поддерживаемые пакетом Inter-PRO и западными версиями программного обеспечения с экспортными ограничениями и без таковых.

Табл. 1. Длина ключей различных криптографических алгоритмов, бит

Помимо российского стандарта шифрования Inter-PRO поддерживает формирование и проверку цифровой подписи пользователя под электронной формой (GET/POST), заполняемой им в процессе взаимодействия с WWW-сервером. В качестве одного из вариантов организации защищенной системы Банк - клиент на базе пакета Inter-PRO может быть предложена следующая схема.

На рабочее место клиента банка устанавливается один из стандартных WWW-браузеров (например, Netscape Navigator или Microsoft Explorer). Клиенты дополнительно получают программный модуль Inter-PRO/Client, позволяющий осуществлять настройку на работу с WWW-сервером банка (или даже несколькими серверами) в защищенном режиме.

Защищаемый сервер банка строится на базе стандартного WWW-сервера (например, Microsoft IIS), доступ к которому осуществляется через ПО Inter-PRO/Server, функционирующее либо на том же компьютере, где установлен WWW-сервер, либо на отдельной машине.

На стороне сервера Inter-PRO обеспечивает аутентификацию клиента банка, конфиденциальность соединения и проверку цифровой подписи под документами (содержимым электронных форм).

Как пример реализации подобной системы с использованием пакета Inter-PRO можно назвать DiasoftCLIENT/INTERNET, новую разработку компании “Диасофт” (http:domino.diasoft.ru).

Как известно, ядром протокола SSL является метод двухключевой криптографии (разработанный компанией RSA Data Security). В этом случае для аутентификации взаимодействующих сторон и формирования общего ключа шифрования служат сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровой подписью специальных сертификационных центров. В пакете Inter-PRO секретные и открытые ключи пользователей формируются с помощью встроенной процедуры генерации ключей. На основе открытого ключа формируется также запрос сертификата, который передается сертификационному центру. Вместе с открытым ключом в сертификате содержится необходимая информация о пользователе (сервере или клиенте), заверяемая цифровой подписью центра.

В роли сертификационного центра до настоящего времени выступала компания-разработчик “Сигнал-КОМ”, однако с конца апреля служба сертификации становится доступной и другим организациям, так как “Сигнал-КОМ” выпускает новый продукт - локальный сертификационный центр Notary-PRO версии 1.0.

Совместимость пакета Inter-PRO с версиями протокола SSL 2.0, реализованными в WWW-серверах и браузерах фирм Microsoft, Netscape и др., позволяет использовать его вместе с продуктами этих указанных фирм, не содержащими экспортных ограничений. В этом случае Inter-PRO устанавливается на стороне только одного из участников взаимодействия.

Чтобы организовать защищенное соединение между западными WWW-серверами и российскими пользователями, имеющими в своем распоряжении браузеры с экспортными ограничениями, на стороне клиента устанавливается модуль Inter-PRO/Client. Если же российский владелец WWW-сервера с экспортными ограничениями хочет обеспечить безопасный доступ к нему западных пользователей, модуль Inter-PRO/Server устанавливается на стороне сервера.

В табл. 2 приведены параметры защищенного соединения для различных сочетаний ПО, устанавливаемого на стороне клиента и сервера.

Табл. 2. Параметры различных защищенных соединений

Из приведенных данных можно видеть, что при односторонней установке Inter-PRO (либо на стороне сервера, либо на стороне клиента) поддерживается режим взаимной аутентификации и защищенное взаимодействие с западными стандартами шифрования без экспортных ограничений на длину ключа. Установка Inter-PRO на каждой из взаимодействующих сторон добавляет возможность использования отечественных алгоритмов шифрования (ГОСТ 28147 - 89) и опционального режима формирования/проверки цифровой подписи под электронной формой.

Автору, сотруднику компании “Сигнал-КОМ” (www.signal-com.ru), можно позвонить по телефону: (095) 111-6367.