СКЗИ Форос 2

Сертифицированное ФСБ России средство аутентификации, электронной подписи и шифрования

 

 

  • Аппаратная поддержка российских криптографических алгоритмов электронной подписи и хэширования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
  • Полноценное средство шифрования с поддержкой криптографических алгоритмов по ГОСТ 28147-89, ГОСТ Р34.12-2015 (Магма).
  • Выработка сеансовых криптографических ключей с аутентификацией и без аутентификации.
  • Выработка ключей аутентификации, шифрования и электронной подписи.
  • Аппаратная поддержка функций HMAC (Р 50.1.113-2016) и VKO (Р 50.1.113-2016, RFC7836).
  • Защищённое управление ключами включая доверенную загрузку открытых ключей для проверки ЭП.
  • Возможность удалённой смены ключей.
  • Средство строгой двухфакторной аутентификации для безопасного доступа в информационные системы, Web-порталы и облачные сервисы.
  • Безопасное хранение пользовательских данных.
  • Может применяться как ФКН КриптоПро (протокол SESPAKE, с защитой канала).

СКЗИ Форос 2 это новое поколение средств криптографической защиты информации основанное на отечественных технологиях защиты информации соответствующих требованиям ФСБ России, рекомендациям ТК26, с аппаратной поддержкой стандартов ГОСТ Р 34.10-2012/2018,  ГОСТ Р 34.11-2012/2018, ГОСТ 28147‑89, ГОСТ Р34.12-2015 и предназначено для использования в качестве функционально законченного и сертифицированного средства криптографической защиты для:

Криптографической защиты конфиденциальной информации и электронной подписив системах электронного документооборота  (ЭДО), дистанционного банковского обслуживания (ДБО) и др. для обеспечения юридической значимости и неотказуемости действий пользователей, а также для обеспечения целостности и конфиденциальности передаваемых данных.

Строгой N-факторной аутентификации для безопасного доступа пользователей или терминального оборудования к ресурсам прикладных информационных систем и устройств.

Безопасного хранения ключевых контейнеров программных СКЗИ, пользовательских данных, сертификатов, паролей и других объектов данных.

 

Функциональные модули (АМ) СКЗИ Форос 2 доступны как:

 

Основные возможности СКЗИ Форос 2

 

"Белый список" команд и функций

 

Программный интерфейс СКЗИ Форос 2 содержит исключительно "белый список" разрешённых команд и функций, которыми можно безопасно пользоваться из прикладного ПО:

  • аппаратная генерация ключей для ЭП (неизвлекаемый закрытый ключ ЭП не выходит за пределы функционального модуля), для аутентификации, шифрования и вычисления имитовставки;
  • генерация случайных чисел, в том числе для нужд других СКЗИ;
  • хэширование данных и формирование электронной подписи по ГОСТ Р 34.11-2012, ГОСТ Р 34.10-2012;
  • шифрование, вычисление имитовставки по ГОСТ 28147-89 и ГОСТ Р34.12-2015 (Магма);
  • проверка ЭП по ГОСТ Р 34.10-2001;
  • выработка HMAC;
  • согласования ключей обмена, выработка/загрузка сеансового ключа без аутентификации;
  • работа с папками и файлами в памяти функционального модуля (без доступа к ключам).

Сертифицировано по действующим требованиям ФСБ России

     СКЗИ Форос 2 представляет собой функционально законченное СКЗИ, сертифицированное по действующим требованиям ФСБ России и является криптографически безопасными средством, допускающими легитимную интеграцию в прикладные системы различного назначения, обрабатывающие конфиденциальную информацию и персональные данные. 

Предназначено для интеграции и встраивания

     СКЗИ Форос 2 предназначено для интеграции в прикладные системы путём встраивания обращений к программному интерфейсу СКЗИ Форос 2 функциональных исполнений, также путём интеграции в инфраструктуру системы средства выработки и управления ключевой информацией.

     СКЗИ Форос 2 содержит специальное исполнение Форос 2. Базис, предназначенное для использования в качестве модуля безопасности (криптомодуля) при создании новых СКЗИ. Процедура сертификации при этом существенно упрощается.

В составе компонентов СКЗИ Форос 2 предоставляется комплект разработчика, включающий примеры использования СКЗИ Форос 2 в среде ОС Windows и Linux. Примеры содержат типовые сценарии использования Форос 2 как средства ЭП и СКЗИ.

 

Встречная работа с сертифицированными криптопровайдерами

 

     СКЗИ Форос 2 обеспечивает встречную работу с сертифицированным криптопровайдером КриптоПро CSP.

     СКЗИ Форос 2 обеспечивает режим применения в качестве ФКН - носителя с неизвлекаемыми ключами для КриптоПро CSP 5.0.

 

Примечание:

ФКН-носитель с неизвлекаемыми ключами, реализует протокол SESPAKE, позволяющий провести аутентификацию, не передавая в отрытом виде пароль пользователя, и установить шифрованный канал для обмена сообщений между криптопровайдером и носителем.

  

Широкие возможности конфигурирования системы разграничения доступа к ключам, паролям, функциям, данным

 

     СКЗИ Форос 2 обеспечивает возможность конфигурирования ключей, паролей и объектов данных в приложениях функциональных модулей в зависимости от требований прикладной системы. При этом обеспечивается сохранение криптографических качеств сертифицированного СКЗИ и защищённости данных.

 

Дополнительные преимущества

 

Повышенный ресурс и "живучесть"

     Функциональные исполнения СКЗИ Форос 2 обеспечивают возможность их применения в различных автоматизированных системах (М2М, IoT, АСУ ТП и пр.), имеют повышенный ресурс по количеству циклов записи в EEPROM равный 500000, обеспечивают срок хранения данных до 30 лет.

 

Больше доступной памяти

     В линейке исполнений функциональных исполнений СКЗИ Форос 2 имеется модель с увеличенным объёмом защищённой памяти.

     Для безопасного хранения ключей, паролей, сертификатов и других объектов доступно до 160 КБайт энергонезависимой памяти (EEPROM).

 

Безопасное администрирование

     Для инициализации функциональных исполнений СКЗИ Форос 2 при их вводе в эксплуатацию, для разблокирования, изменения парольной политики, установки, смены паролей и ключей,  вывода из эксплуатации и сброса к заводским настройкам (например, при выдаче их другим пользователям) применяются специализированные АРМ Активации (АРМ-А) и управления ключами (АРМ-К).

 

Срок жизни ключей

     Срок жизни закрытых ключей ЭП - 3 года, что может существенно сократить стоимость владения устройствами Форос 2 по сравнению с программными СКЗИ со сроком действия ключей 1 год.

 

Защита от взлома и клонирования

Все функциональные исполнения СКЗИ Форос 2 выполнены на базе защищённых микроконтроллеров смарт-карт, имеющих международный сертификат EAL 6+, имеющих встроенные средства защиты от всех известных атак, методов взлома и клонирования.

 

      Поддерживаемые ОС 

  • Windows 8.1 (x86/x86-64);
  • Windows 10 (x86/64);
  • ROSA Linux Desktop Fresh R10 2016.1 (x86/x86-64); *
  • ASTRA Linux 2.12 (x86/x86-64); *
  • RedHat 5.5 (x86); *
  • Cent OS 7 (x86-64). *

 

*доступно для функциональных исполнений СКЗИ Форос 2.КС1 и Форос 2.КС2

  

Характеристики информационной безопасности СКЗИ Форос 2

 

     СКЗИ Форос 2 является функционально законченным СКЗИ с полнофункциональным набором криптографических функций и соответствует:

  • «Требованиям к средствам криптографической защиты информации, предназначенными для защиты информации, не содержащей сведений, составляющих государственную тайну» для классов КС1 и КС2.
  • «Специальным требованиям к шифровальным (криптографическим) средствам…» по уровню КСБ.
  • «Требованиям к средствам ЭП» для средств ЭП, работающих в автоматическом режиме (по классу КС1 для исполнения КС1 и по классу КС2 для исполнения КС2).

     СКЗИ Форос 2 сочетает в себе средство криптографической обработки информации, средство хранения ключей (ключевой носитель) и средство выработки ключей.

     Обеспечивается срок действия криптографических ключей – до 3-х лет.

 

Криптографический функционал сертифицированного СКЗИ Форос 2

 

Доступный пользователю полный криптографический функционал СКЗИ Форос 2 включает:

  • функции создания и проверки электронной подписи в соответствии с ГОСТ Р34.10-2001/2012 (256 бит);
  • функцию хэширования в соответствии с ГОСТ Р34.11-94/2012 (256 бит);
  • функцию вычисления кода аутентификации сообщения HMAC_GOSTR3411_2012_256 (HMAC, 256 бит) в соответствии с рекомендациями по стандартизации Р 50.1.113-2016;
  • функции аутентификации другого СКЗИ с применением симметричных ключей ГОСТ 28147-89;
  • функции согласования ключа обмена и выработки/загрузки сеансового ключа VKO_GOSTR3410_2012_256 в соответствии с рекомендациями по стандартизации Р 50.1.113-2016 (RFC7836 для ключей 256 бит)
  • функции выработки сеансовых ключей ГОСТ 28147-89 с аутентификацией;
  • функции выработки и установки сеансовых ключей ГОСТ 28147-89, ГОСТ Р34.12-2015 (Магма) без аутентификации;
  • функции зашифрования/расшифрования данных в соответствии с ГОСТ 28147-89;
  • функции зашифрования/расшифрования данных в соответствии с ГОСТ Р34.12-2015 (Магма) в режиме гаммирования с обратной связью ГОСТ Р34.13-2015;
  • функции выработки/проверки имитовставки в соответствии с ГОСТ 28147-89;
  • функции выработки/проверки имитовставки в соответствии с ГОСТ Р34.12_2015 (Магма) в режиме ГОСТ Р34.13-2015;
  • функции выработки, загрузки и хранения ключей алгоритмов ГОСТ 28147-89, ГОСТ Р34.12-2015 (Магма) применяемых в функциях аутентификации и выработки сеансовых ключей;
  • функции выработки, загрузки и хранения ключей алгоритмов ГОСТ Р34.10-2012 и Р34.10-2001 применяемых в функциях создания/проверки электронной подписи и выработки сеансовых ключей;
  • функция выработки случайных чисел;
  • хранение закрытых ключей ЭП и ключей аутентификации внутри микроконтроллера в его энергонезависимой памяти без возможности считывания.

  

Функциональные модули (АМ) СКЗИ Форос 2 доступны в следующих форм-факторах  

 

Функциональные модули (АМ) СКЗИ Форос 2 соответствуют ТР ЕАЭС 037/2016, ТР ТС 020/2011, ГОСТ 30804.6.2-2013 (IEC 61000-6-2:2005) ГОСТ 30804.6.4-2013(IEC 61000-6-4:2006 

 

Технические характеристики функциональных модулей (АМ) СКЗИ Форос 2

 

Параметр

Описание

 Класс защиты

КС1, КС2

 Срок хранения данных в энергонезависимой    
 памяти функционального модуля

30 лет (при температуре окружающей среды 25º С)

Технический ресурс энергонезависимой памяти
 функционального модуля

500 000 циклов стирания/записи

(при температуре окружающей среды 25º С)

 Интерфейс АМ

ISO7816 (T=0, Т=1)

 Срок службы АМ

6 лет

 

Конструктивные исполнения:

- смарт-карты форматов 1FF (стандартные), 2FF (mini-карты), 3FF (micro-карты);

- корпусные микросхемы.

 

Предельные параметры внешней среды:

- диапазон предельных рабочих температур от –25°С до +85°С;

- диапазон предельных повышенных температур от –65°С до +150°С (с учётом конструктивного  
 исполнения).

  

Сферы применения СКЗИ Форос 2

     СКЗИ Форос 2 предназначено для использования в информационных системах для обработки как открытой, так и конфиденциальной информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

 

СКЗИ Форос 2 применимо как:

  • средство персональной электронной идентификации и строгой двухфакторной аутентификации пользователей и/или оборудования в прикладных системах;
  • персональный аппаратный криптопровайдер с неизвлекаемыми ключами;
  • модуль безопасности электронного оборудования (терминального, навигационного, исполнительного и пр.) обеспечивающий конфиденциальность, некорректируемость, юридическую значимость и подтверждение подлинности источников команд и данных передаваемых и получаемых по каналам связи;
  • средство выработки электронной подписи;
  • защищённое хранилище персональных данных, ключевой и идентификационной информации;
  • средство выработки и загрузки криптографических ключей.

 

АМ СКЗИ Форос 2 КС1/КС2/Базис - USB-токены и смарт-карты

В одном АМ (USB-токене или смарт-карте) возможно совмещение нескольких функций, необходимых для конкретной прикладной системы:

  • системы дистанционного банковского обслуживания (ДБО);
  • системы электронного документооборота (ЭДО);
  • электронные торговые площадки (ЭТП);
  • системы сдачи электронной отчётности (Федеральная Налоговая Служба, Пенсионный Фонд России и др.);
  • системы таможенного декларирования;
  • порталы государственных услуг;
  • Web-приложения, корпоративные порталы и облачные сервисы;
  • смарт-карты - пропуск на территорию предприятия, электронный ключ для прохода в помещения (визуальная идентификация и встроенная в смарт-карту RFID-метка для интеграции со СКУД);
  • смарт-карты или USB-токены как средство аутентификации при доступе к корпоративным (служебным) системам;
  • средство ЭП сотрудника;
  • носитель ключевой и идентификационной информации;
  • Пассивный и Функциональный ключевой носитель ФКН для совместного применения с СКЗИ КриптоПро CSP;
  • PKCS#11 - ключевой носитель для VipNet CSP и др.

 

АМ СКЗИ Форос 2 КС1/КС2/Базис - модули безопасности

     Модули безопасности предназначены для встраивания в различное электронное оборудование в качестве сертифицированного модуля безопасности, обеспечивающего конфиденциальность, некорректируемость, юридическую значимость, подтверждение подлинности источников данных и команд, криптографическую защиту передаваемых данных.

     Модули безопасности могут применяться:

  • в различном терминальном, навигационном, телематическом и прочем оборудовании;
  • для Интернета вещей (IoT);
  • для межмашинного взаимодействия (M2M);
  • в автоматизированных системах управления технологическими процессами (АСУ ТП).

  

Схемы применения СКЗИ Форос 2

 

Применение СКЗИ Форос 2 в качестве средства аутентификации

  

Применение СКЗИ Форос 2 в качестве средства шифрования

 

Применение АМ СКЗИ Форос 2 в качестве ключевого носителя для СКЗИ КиптоПро CSP

 

 

 

 

.