КриптоПро IPSec

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов.

КриптоПро IPSec реализует протоколы IKE, ESP, AH с использованием СКЗИ КриптоПро CSP 3.6 R2 и выше, СКЗИ КриптоПро ФКН CSP с USB-ключами и смарткартами, разрабатывается по техническому заданию, согласованному с ФСБ России.

Аутентификация сторон и механизм выработки ключей шифрования реализуются с использованием:

  • предварительно сформированных ключей PSK (pre shared key);
  • инфраструктуры открытых ключей - закрытые ключи могут быть расположены на ключевых носителях смарт-карта, USB токен и т.д.

Назначение

КриптоПро IPsec (Internet Protocol Security) обеспечивает прозрачную для приложений и пользователей защищенную передачу данных в IP-сетях с использованием служб шифрования, а также защиту сетевого доступа в окружении Windows 2003, Windows 2008.

Области применения

  • Защита соединения узлов корпоративной вычислительной сети (Site-to-Site VPN);
  • Защита подключения удалённых пользователей или малых офисов;
  • Защита передачи конфиденциальной информации в ЛВС от нарушителей не являющимися пользователями автоматизированных систем, но имеющим доступ к ЛВС и/или нарушителей являющихся пользователями, но не имеющих необходимых полномочий.

Поддерживаемые платформы:

КриптоПро IPSec функционирует в следующих операционных системах (ОС):

  • Windows XP;
  • Windows 7 (32/64);
  • Windows 2003(32);
  • Windows 2008 R2.

Совместимые МЭ и оборудование

КриптоПро IPSec совместим с любыми МЭ и сетевым оборудованием поддерживающим протоколы IPSec GOST.

МЭ:

  • Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST;
  • MS ISA (2004/2006);
  • Forefront TMG 2010;
  • Другие поддерживающие IPsec и/или L2TP/IPsec.

Основные характеристики

  • IKE - Использование ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001 при управлении ключами IKE и ISAKMP;
  • ESP - Комбинированный алгоритм шифрования вложений IPsec (ESP) на основе ГОСТ 28147-89;
  • AH - Алгоритмы обеспечения целостности IPsec (ESP, AH) на основе ГОСТ Р 34.11-94;
  • TLS - GOST 28147-89 Cipher Suites for Transport Layer Security (TLS).

Обеспечивает защиту пакетов в канале (ESP) на базе ГОСТ 28147-89, включая шифрование и имитозащиту.

Аутентификация (IKE) в сети/на сетевом уровне осуществляется:

  • на ключах подписи, в соответствии с ГОСТ Р 34.10-2001(ЭЦП), ГОСТ Р 34.11-94(Хэш);
  • PSK в соответствии с IKE;
  • с использованием аутентификации TLS (или иного сертифицированного средства аутентификации). Шифрование и имитозащита пакетов аутентификации осуществляется на базе ГОСТ 28147-89.

Сертификаты

КриптоПро IPsec реализуется с использованием СКЗИ "КриптоПро CSP 3.6.1 (ЖТЯИ.00050-03) и использует модули протоколов КриптоПро IKE, ESP, AH, входящие в СКЗИ.

КриптоПро IPsec находится на этапе сертификации в ФСБ России.