Ақпаратты криптографиялық қорғау құралдары Жалпы техникалық талаптар

 

Жалпы техникалық талаптар

 

ҚР СТ 1073-2007

 

Мазмұны

1. Қолданылу саласы

3. Терминдер мен анықтамалар

4. Жалпы ережелер

5. Жалпы техникалық талаптар

5.1. АКҚҚ-ға қойылатын жаллы талаптар

5.2. Техникалық құжаттамаға қойылатын талаптар

5.3. Қауіпсіздігі бірінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.4. Қауіпсіздігі екішпі деңгейдегі АКҚҚ-на қойылатын талаптар

5.5. Қауіпсіздігі үшінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.6. Қауіпсіздігі төртінші деңгейдегі АКҚҚ-на қойылатын талаптар

 

1 Қолданылу саласы

2 Нормативтік сілтемелер

 

Осы стандартта төмендегі стандарттарға сілтеме жасалады:

ГОСТ 28147-89 Ақпаратты өңдеу жүйесі. Криптографиялық қорғау.

Криптографиялық түрлендіру алгоритмі.

ГОСТ 34.310-2004 Ақпараттық технология. Ақпаратты криптографиялық қорғау. Электронды сандық қолтаңбаны қалыптастыру және тексеру процесі.

 

 

3 Терминдер мен анықтамалар

 

Осы стандартта сәйкес анықтамалары бар мынадай терминдер қолданылады:

3.1 Криптографиялық түрлендіру алгоритмі: (Кілттің) өзгертілетін параметріне қарай және криптографиялық түрлендіру есептерін шешу үшін операциялардың орындалу жүйелілігін беретін қарапайым және біржақты анықталған ережелердің ақырғы сандар жинағы.

3.2. Криптографиялық түрлендіру асимметриялық алгоритмі: Криптографиялық түрлендіру алгоритмі, онда тура және кері түрлендіруі ашық және құпия деп аталатын, өзара байланысуы ашық кілттен құпия кілтін есептеп анықтауы қиынға соғатын екі кілтті пайдаланады.

3.3. Аутентификация: Ақпараттық өзара іс-әрекеттің бір немесе бірнеше байланыс қарым-қатынастары аспектілерін: байланыс сеансын, оның уақытын, байланысатын жақтардың, берілетін хабарлардың, деректер көзін, деректердің құрылу уақытын, деректер мазмұнының түпнұсқалығын анықтау.

3.4. Мемлекеттік шифрлеу құралдары: Қазақстан Республикасының мемлекеттік құпиясын құрайтын деректердің құпиялылығын сақтау үшін негізгі құрал ретінде арналған ақпаратты криптографиялық қорғау құралдары.

3.5. Имитокірістірме: Деректер мен кілттен белгілі бір ереже бойынша алынған имитоқорғауды қамтамасыз ету үшін қосылған бекітілген ұзындықты бит жолы.

3.6. Имитоқорғау: Байланыс жүйесін жалған хабарларды еріксіз қоса беруден қорғау.

3.7. Кілт: Деректерді криптографиялық түрлендіру алгоритмінің мүмкіндігінше барлық жиынтықтың ішінен бір ғана түрлендіруді таңдап алуды қамтамасыз ететін осы түрлендіру алгоритмінің кейбір параметрлерінің нақты құпия немесе ашық (егер арнайы көрсетілсе) жағдайы.

3.8. Ақпаратты криптографиялық қорғау құралының криптографиялық тұрақтылығы: Осы ақпаратты криптографиялық қорғау құралына ең тиімді болған криптографиялық қорғауды ашу әдісін (алгоритмін) есептеу күрделілігі.

3.9. Криптографиялық түрлендіру: Шифрлеу, имитокірістірмені жасау (тексеру) немесе электронды сандық қолтаңбаны құрастыру (тексеру) арқылы деректерді түрлендіру.

3.10. Алдын ала шифрлеу: Шифрленген деректерді байланыс арнасымен беруден бөлек техникалық іске асырылған шифрлеу.

3.11. Криптографиялық түрлендірудің симметриялық алгоритмі: Тура және кері түрлендіруде бір ғана кілтті немесе әрқайсысы бір-бірінен оңай есептеліп шығарылатын екі кілтті пайдаланатын криптографиялық түрленудірудің алгоритмі.

3.12. Ақпаратты криптографиялық қорғау құралы: АКҚҚ: Криптографиялық түрлендіру алгоритмдерін, кілттерді генерациялауды, құрастыруды, таратуды немесе басқаруды іске асыратын құралдар.

3.13. Электронды сандық қолтаңба сұлбасы: Электронды сандық қолтаңбаны құрастыруды жүзеге асыратын криптографиялық түрлендіру алгоритмі және оған сәйкес оны тексеруді жүзеге асыратын криптографиялық түрлендіру алгоритмі.

 

4 Жалпы ережелер

4.1 АКҚҚ:

4.2 Осы стандарттың талаптарына сәйкес АКҚҚ технология жағынан аяқталған (жұмысқа жарамды) аппараттық, бағдарламалық және аппараттық-бағдарламалық құралдар болып қарастырылады.

4.3 Криптографиялық тұрақтылығына байланысты АКҚҚ үшін қауіпсіздіктің 4 деңгейі орнатылады:

4.3.1 Қауіпсіздігі бірінші деңгейдегі АКҚҚ көлемі бір және сол ғана бір кілтті (сол ғана бір кілттерді) пайдаланып қорғалған ақпаратты жариялау, еріксіз қоса беру немесе рұқсатсыз өзгерту зияны 100 ең төменгі есептік көрсеткіштен аспайтын ақпаратты қорғау үшін арналады;

4.3.2 Қауіпсіздігі екінші деңгейдегі АКҚҚ көлемі бір және сол ғана бір кілтті (сол ғана бір кілттерді) пайдаланып қорғалған ақпаратты жариялау, еріксіз қоса беру немесе рұқсатсыз өзгерту зияны 10 000 ең төменгі есептік көрсеткіштен аспайтын ақпаратты қорғау үшін арналады;

4.3.3 Қауіпсіздігі үшінші деңгейдегі АКҚҚ көлемі бір және сол ғана бір кілтті (сол ғана бір кілттерді) пайдаланып қорғалған ақпаратты жариялау, еріксіз қоса беру немесе рұқсатсыз өзгерту зияны 1 000 000 ең төменгі есептік көрсеткіштен аспайтын ақпаратты қорғау үшін арналады;

4.3.4 Қауіпсіздігі төртінші деңгейдегі АКҚҚ көлемі бір және сол ғана бір кілтті (сол ғана бір кілттерді) пайдаланып қорғалған ақпаратты жариялау, еріксіз қоса беру немесе рұқсатсыз өзгерту зияны 100 000 000 ең төменгі есептік көрсеткіштен аспайтын ақпаратты қорғау үшін арналады.

4.4 Егер криптографиялық қорғауды бұзып ашу алгоритмінің (осы алгоритм қамтамасыз ететін) есептеу күрделілігі тиісінше 2⁵⁰, 2⁸⁰, 2¹²⁰ немесе 2¹⁶⁰ кем болса, онда АКҚҚ бірінші, екінші, үшінші немесе төртішпі қауіпсіздік деңгейіне сәйкес келетін болып танылуы мүмкін емес.

5 Жалпы техникалық талаптар

5.1 АКҚҚ-ға қойылатын жалпы талаптар

5.1.1 АКҚҚ-ның генералациялайтын кілттері (ашық кілттерден басқасы) физикалық генераторлар шуы (мысалы, жылу, диодтық, радиациялық, импульстік генераторлардың) көмегі арқылы құрасатын кездейсоқ сандар тізбегі немесе кездейсоқ оқиғаларды (мысапы, ЭЕМ жүйелік параметрлерін, тінтуіштің қозғалысын, пернетақтаны басуды, таймердің жағдайын) пайдалану арқылы құрасатын жалған кездейсоқ сандар тізбегі болып табылуы керек.

5.1.2 Қорғалмаған байланыс арналары бойынша кілттерді таратуды пайдаланатын АКҚҚ (ашық кілттерді жариялаудан басқа) кілттерді жариялауға және сол кілттерді рұқсатсыз өзгертуге, сондай-ақ жалған кілттерді еріксіз қоса беруге жол бермеу мақсатында кілттердің криптографиялық қорғалуын қамтамасыз етуге тиісті.

5.1.3 Кез келген АКҚҚ пайдаланатын кілт тек бір криптографиялық түрлендіру алгоритмімен, мысалы, тек шифрлеу үшін немесе тек электронды сандық қолтаңбаны құрастыру үшін қолданылуы керек.

5.1.4 АКҚҚ-ның криптографиялық тұрақтылығына әсер етуді болдырмау мақсатында АКҚҚ-ны рұқсатсыз өзгертуден, соның ішінде түрлендіруден немесе оның элементтері мен модульдерін ауыстырып жіберуден қорғау қамтамасыз етілуі керек.

 

 

5.2 Техникалық қркаттамаға қойылатын талаптар

5.2.1 Техникалық құжаттамада (АКҚҚ түріне байланысты стандарттарда, техникалық шарттарда, конструкторлық, технологиялық және бағдарламалық кқұжаттамада) АКҚҚ-дағы іске асырылған криптографиялық түрлендіру алгоритмдерінің, генерациялаудың, құрастырудың, таратудың және кілттерді басқарудың толық сипаттамасы болуы керек.

5.2.2 Егер АКҚҚ-да мемлекеттік және мемлекетаралық стандарттар немесе белгіленген тәртіпте Қазақстан Республикасында күші бар немесе қолданылып жүрген стандарттар бойынша басқа нормативтік құжаттар арқылы анықталған криптографиялық түрлендірудің алгоритмдері іске асырылған болса, онда техникалық құжаттамада олардың толық сипаттамасының орнына осы стандарттарға сілтеме жасауға рұқсат етіледі.

5.2.3 АКҚҚ криптографиялық түрлендіру алгоритмдерін олардың техникалық құжаттамада келтірілген сипаттамасына дәл сәйкес іске асыру керек.

5.2.4 АКҚҚ-ның әрбір жиынтығында құралдарды пайдаланудың барлық мүмкін режімдерін толық және барабар анықтайтын, өңделетін ақпараттың қауіпсіздігін қамтамасыз етуіне қажетті барлық ұйымдастырушылық және техникалық шаралардың тізбесі, соның ішінде кілттерді ауыстыру тәртібі мен жиілігі, АКҚҚ-на техникалық қызмет көрсету тәртібі және пайдалану барысында мүмкін болатын оператордың қателері мен басқа штаттан тыс жағдайлары және де олардың зардаптарын жою үшін қажетті іс-әрекеттері келтірілген пайдалану құжаттамасы кіруі міндетті.

 

5.3 Қауіпсіздігі бірінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.3.1 АКҚҚ іске асыратын криптографиялық түрлендірудің симметриялық алгоритмдер кілтінің ұзындығы 60 биттен кем болмауы тиіс.

5.3.2 АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 120 биттен кем болмауы тиіс.

5.3.3 Криптографиялық тұрақтылығы құрамды санды көбейткіштерге жіктеу немесе ақырлы өрістегі дискретті логарифмдеу есебінің есептеу күрделілігіне негізделген АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 500 биттен кем болмауы тиіс.

5.3.4 АКҚҚ есептейтін хэш-кодтың ұзындығы 120 биттен кем болмауы тиіс.

5.3.5 АКҚҚ құрастыратын ЭЦҚ ұзындығы 120 биттен кем болмауы тиіс.

5.3.6 АКҚҚ іске асыратын кілттерді генерациялау мен құрастырудың принципі кілттің әрбір битінің бірге тең болуының ықтималдығы (0,5 + 0,03) интервалда болуын қамтамасыз етуі керек.

 

5.4 Қауіпсіздігі екінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.4.1 АКҚҚ іске асыратын криптографиялық түрлендірудің симметриялық алгоритмдер кілтінің ұзындығы 100 биттен кем болмауы тиіс.

5.4.2 АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 160 биттен кем болмауы тиіс.

5.4.3 Криптографиялық тұрақтылығы құрамды санды көбейткіштерге жіктеу немесе ақырғы өрістегі дискретті логарифмдеу есебінің есептеу күрделілігіне негізделген АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 1500 биттен кем болмауы тиіс.

5.4.4 АКҚҚ есептейтін хэш-кодтың ұзындығы 160 биттен кем болмауы тиіс.

5.4.5 АКҚҚ құрастыратын ЭЦҚ ұзындығы 200 биттен кем болмауы тиіс.

5.4.6 АКҚҚ іске асыратын кілттерді генерациялау мен кұрастырудың принципі кілттің әрбір биті бірге тең болуының ықтималдығы (0,50 + 0,01) интервалда болуын қамтамасыз етуі керек.

5.4.7 АКҚҚ кілттерді тарату және жүктеу сатысында олардың кездейсоқ бұрмалануын болдырмау мақсатында ықтималдығы 0,9999 кем емес кілттер туралы бақылау ақпаратын есептеу және тексеру процедурасын іске асыруы керек.

5.4.8 АКҚҚ алдын ала шифрлеген уақытта кездейсоқ бұрамаланған шифрленген деректерді анықтау мақсатында ықтималдығы 0,9999 кем емес шифрленген деректер туралы бақылау ақпаратын есептеп шығару мен тексеру процедурасын іске асыруы керек.

5.4.9 АКҚҚ операторға шифрлеу режимін орнатқаны, түсіргені, сондай-ақ орнатуы мүмкін еместігін хабарлауы керек.

5.5 Қауіпсіздігі үшінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.5.1 АКҚҚ іске асыратын криптографиялық түрлендірудің симметриялық алгоритмдер кілтінің ұзындығы 150 биттен кем болмауы тиіс.

5.5.2 АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 250 биттен кем болмауытиіс.

5.5.3 Криптографиялық тұрақтылығы құрамды санды көбейткіштерге жіктеу немесе ақырғы өрістегі дискретті логарифмдеу есебінің есептеу күрделілігіне негізделген АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 4000 биттен кем болмауы тиіс.

5.5.4 АКҚҚ есептейтін хэш-кодтың ұзындығы 250 биттен кем болмауы тиіс.

5.5.5 АКҚҚ құрастыратын ЭЦҚ ұзындығы 300 биттен кем болмауы тиіс.

5.5.6 АКҚҚ іске асыратын кілттерді генерациялау және құрастырудың принципі кілттің әрбір биты бірге тең болуының ықтималдығы (0,500 + 0,003) интервалда болуын қамтамасыз етуі керек, сонымен бірге кілттер кездейсоқ сандар тізбегі және физикалық генераторлар шуы арқылы құрасқан болуы керек.

5.5.7 АКҚҚ кілттерді тарату және жүктеу сатысында олардың кездейсоқ немесе әдейі бұрмалануын болдырмау мақсатында ықтималдығы 0,999999 кем емес имитокірістірмені немесе кілттердің ЭЦҚ-н құрастыру мен тексеру процедурасын іске асыруы керек.

5.5.8 АКҚҚ алдын ала шифрлеген уақытта кездейсоқ не әдейі бұрмаланған шифрленген деректерді айқындау мақсатында ықтималдығы 0,999999 кем емес имитокірістірмені немесе шифрленген деректердің ЭЦҚ-н есептеу мен тексеру процедурасын іске асыруы керек.

5.5.9 АКҚҚ операторға шифрлеу режимін орнатқаны, түсіргені, сондай-ақ орнатуы мүмкін еместігін және басқа да штаттан тыс жағдайлар туралы хабарлауы керек.

5.5.10 АКҚҚ кілттерді тарату және басқару сатысында (ашық кілттерді жариялаудан басқа) олардың жариялауын және рұқсатсыз өзгертуін, жалған кілттерді еріксіз қоса беруін болдырмау мақсатында олардың иерархиялық криптографиялық қорғауын қамтамасыз ету керек, немесе АКҚҚ-ның пайдалану құжаты айтылған қауіптерден қорғауды қамтамасыз ететін ұйымдастырушылық және техникалық шаралары баяндалуы керек.

5.5.11 АКҚҚ іске асырған кілттерді алып тастаудың (жоюдың) штаттық процедурасы оларды қайта қалпына келтірудің мүмкін еместігіне кепіл беруі керек.

5.6 Қауіпсіздігі төртінші деңгейдегі АКҚҚ-на қойылатын талаптар

5.6.1 АКҚҚ іске асыратын криптографиялық түрлендірудің симметриялық алгоритмдері кілтінің ұзындығы 200 биттен кем болмауы тиіс.

5.6.2 АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдері кілтінің ұзындығы 400 биттен кем болмауы тиіс.

5.6.3 Криптографиялық тұрақтылығы құрамды санды көбейткіштерге жіктеу немесе ақырғы өрістегі дискретті логарифмдеу есебінің есептеу күрделілігіне негізделген АКҚҚ іске асыратын криптографиялық түрлендірудің асимметриялық алгоритмдер кілтінің ұзындығы 8000 биттен кем болмауы тиіс.

5.6.4 АКҚҚ есептейтін хэш-кодтың ұзындығы 400 биттен кем болмауы тиіс.

5.6.5 АКҚҚ құрастыратын ЭЦҚ ұзындығы 400 биттен кем болмауы тиіс.

5.6.6 АКҚҚ іске асыратын кіпттерді құрастырудың принципі кілттің әрбір битінің бірге тең болу ықтималдығы (0,500 + 0,001) интервалда болуын қамтамасыз етуі керек, сонымен бірге кілттер кездейсоқ сандар тізбегі және физикалық генераторлар шуы арқылы құрасуы керек.

5.6.7 АКҚҚ тарату және жүктеу сатысында кездейсоқ немесе әдейі бұрмаланған кілттерді қолдануды болдырмау мақсатында ықтималдығы 0,999999999 кем емес имитокірістірмені немесе кілттердің ЭЦҚ-н есептеу мен тексеру процедурасын іске асыруы керек.

5.6.8 АКҚҚ кездейсоқ немесе әдейі бұрмаланған шифрленген деректерді айқындау мақсатында ықтималдығы 0,999999999 кем емес имитокрістірмені немесе шифрленген деректердің ЭЦҚ-н есептеу мен тексеру процедурасын іске асыруы керек.

5.6.9 АКҚҚ операторға шифрлеу режимін орнатқаны, түсіргені, сондай-ақ орнатуы мүмкін еместігі және басқа да штаттан тыс жағдайлар туралы хабарлауы, өзі арқылы транзитпен ашық деректерді сақтау, тарату және кейіннен өңдеу аумағына жіберуді болдырмауы керек.

5.6.10 АКҚҚ кілттерді тарату және басқару сатысында (ашық кілттерді жариялаудан басқа) оларды жариялауды және рұқсатсыз өзгертуді, сондай-ақ жалған кілттерді еріксіз қоса беруді болдырмау мақсатымен кілттердің иерархиялық криптографиялық қорғауын қамтамасыз етуі керек.

5.7.10 АКҚҚ іске асырған кілттерді алып тастаудың (жоюдың) штаттық процедурасы оларды қайта қалпына келтірудің мүмкін еместігіне кепіл беруі керек. Егер АКҚҚ айтылған процедураларды іске асыра алмайтын болса, онда кілттерді (ашық кілттерден басқасы) кепілді алып тастаудың (жоюдың) бұл процедуралары АКҚҚ-мен бірге комплектіде қойылатын техникалық кұралдармен іске асырылуы керек.