Комплекс программ «Купол-СКЗИ»

Комплекс программ «Купол-СКЗИ» предназначен для построения защищённых распределённых хранилищ данных. Комплекс функционирует в операционных системах Windows 10, Ubuntu 18.04 LTS (Bionic Beaver), Astra Linux SE 1.6 (Смоленск). Также разработано веб-приложение для работы с распределенным реестром.

win-appИнтерфейс КП «Купол-СКЗИ» в Windows
win-appДемонстрация работы web-приложения КП «Купол-СКЗИ»

КП «Купол-СКЗИ» предназначен для использования в автоматизированных информационно-управляющих системах (АИУС), обрабатывающих информацию, не содержащей сведения, составляющие государственную тайну. Изделие предназначено, в том числе, для хранения конфиденциальной информации, передаваемой по сетям УКВ радиосвязи, построенных на основе комплексов технических средств «Поле-СКЗИ» и «ДМР».

Комплекс программ обеспечивает выполнение следующих функций:

  • хранение данных реестра с выполнением функций резервного копирования;
  • приём данных и их запись в реестр;
  • формирование и передача данных в соответствии с полученными заявками;
  • проверка корректности данных (контроля целостности) базы данных;
  • формирование блока для записи;
  • индексирование данных, хранящихся в распределённом реестре;
  • передача заявок на поиск в распределённых реестр;
  • передача результатов поиска в соответствии с поступившими заявками;
  • взаимодействие пользователей с инфраструктурой распределённого реестра;
  • вывод пользователю результатов поиска в распределённом реестре;
  • аудит консенсуса базы данных.

КП «Купол-СКЗИ» включает в свой состав следующие компоненты (модули):

  • Модуль формирования сетевого имени генерирует сетевое имя пользователя на основе пароля и файла с пользовательскими данными, а также файл, закрытый на пароле персональным идентификатором пользователя (фактически защищенный контейнер для хранения и передачи персонального идентификатора/ключа пользователя);
  • Модуль генерации контейнеров для связи с оператором РР формирует сетевой контейнер пользователя на основе сетевого имени пользователя и пароля для закрытия транспортного ключа. Этот пароль далее будет использоваться для защиты контейнера с транспортным ключом. Оператор РР должен иметь ключи всех пользователей, поэтому пользователи могут выработать транспортные ключи самостоятельно и направить их оператору РР, а пароль сообщить оператору отдельно (по смс, письмом или голосом). Либо пользователи высылают оператору РР бинарный файл своего сетевого имени, и оператор РР формирует транспортные ключи пользователей и также отдельно (по другим каналам) сообщает им их пароли. С точки зрения безопасности это равноценная схема, поскольку пользователи не знают пароля друг друга, а оператор РР является доверенной стороной (доверенным компонентом системы);
  • Модуль изменения пароля позволяет менять пароль как для индивидуального, так и сетевого контейнеров;
  • Модуль формирования файла для передачи оператору РР используется пользователем для подписания файла и его подготовки к дальнейшей отправке в РР;
  • Модуль проверки и экстракции файла применяется для получения исходного файла на основе пароля и сетевого контейнера пользователя;
  • Модуль записи в РР добавляет новые записи в реестр;
  • Модуль извлечения информации из РР по номеру звена позволяет получать данные о транзакции (порядковый номер, добавленный файл, сетевое имя пользователя, время добавления и т.д.);
  • Модуль сервера РР обрабатывает запросы пользователей, а также вызывает сервер записи в РР.