VPN на TLS

[toro703]

Добрый день! В документации к VPN-Key-TLS говорится, что "... механизм защиты взаимодействия заключается в том, что данные, передаваемые между браузером пользователя и Веб-Сервисом, отправляются в организованный Комплексом TLS-
туннель, по которому они передаются в зашифрованном виде. ...." Под туннелем имеется ввиду HTTPS взаимодействие или что-то ещё?

 

[Roman_Sein]

Добрый день!
Да, абсолютно верно.

 

[toro703]

Это 2-х сторонний SSL ? Требования к сертификату для организации SSL какие - формат Х.509 и...? Сертификат можно выпускать самим или только на определённых УЦ или только от вас ? Криптография (СКЗИ "Туннель-TLS") что "требует" от такого сертификата?

 

[Roman_Sein]

По порядку:
1. Используется 2-х сторонняя аутентификация, естественно.
2. Сертификаты формата x.509 с использованием криптоалгоритмов ГОСТ 34.10-2001, ГОСТ 28147-89.
3. На стороне сервера ФПСУ-TLS выдает запрос на сертификат, который подписывается на любом УЦ и в виде сертификата загружается обратно. Мы пробовали, к примеру, тестовый УЦ КриптоПро (https://www.cryptopro.ru)
Далее, на стороне TLS-клиента: при использовании токена "VPN-Key TLS" все происходит также. Если используется ПО КриптоПро - генерация ключей и сертификатов производится средствами КриптоПро.

 

[toro703]

Спасибо. А какова роль сервера ФПСУ-TLS ? Например, необходимо построить защищённое соединение по http с web-сервером (например Apache). ФПСУ-TLS я где должен поставить, перед ним? Это по сути и будет веб-сервер с которым и идёт 2-х сторонний SSL\TLS, а далее ФПСУ пробрасывает трафик уже на Apache ?

 

[Roman_Sein]

Это по сути и будет веб-сервер с которым и идёт 2-х сторонний SSL\TLS, а далее ФПСУ пробрасывает трафик уже на Apache ?

В целом все верно, клиент устанавливает соединение с ФПСУ-TLS, который фильтрует трафик и перенаправляет этого клиента на web-сервер.

 

[toro703]

Я рад что правильно понял архитектуру .
Какие криптоалгоритмы поддерживают ГОСТовую криптографию ваших СКЗИ - RSA, AES, DES ..... ? Т.е. какие алгоритмы возможны в "вашем" SSL/TLS ? Хотя могу быть неправ. Если спецификация SSL/TLS (rfs) фиксирует набор возможных криптоалгоритмов, то раз заявлена возможность SSL/TLS, значит возможно всё из спецификации. Тут хотелось бы Ваших пояснений.

И ещё. Настройка использовать\не использовать шифрование в TLS, включается на Веб-сервере. Эта настройка регулируется ФПСУ TLS ? Т.е. есть какая-то админка для настроеек TLS? Или у вас программно закреплено - использовать шифрование (что не отменяет наличие админки) ?

 

[Roman_Sein]

Используются только следующие криптоалгоритмы: вычисление хэш-функции по ГОСТ Р34.11-94, формирование и проверка ЭЦП по ГОСТ Р34.10-2001, генерация парных ключей шифрования по алгоритму Диффи-Хэлмана, шифрование информации по ГОСТ 28147-89.
Шифрование и двусторонняя аутентификация всегда включены.
Администратор для настройки конечно есть.

 

[toro703]

Какими именно параметрами ФПСУ TLS, относящимися к настройкам HTTPS, настройкам ФПСУ TLS как Веб-сервера, можно управлять через админку?
(ЗЫ Ещё один вопрос в личку кинул. Посмотрите, плиз)

 

[Roman_Sein]

Ответил на указанный при регистрации e-mail.