31. Средства криптографической защиты информации (СКЗИ)¶

31.1. Ключ доступа (КД)¶

Для работы со средствами криптографической защиты информации в ПАК “Фортикс” необходимо создать/загрузить ключ доступа (далее по тексту – КД).

В состав ПАК “Фортикс” входит устройство “Фортикс-Стена” с физическим датчиком случайных чисел (далее по тексту – ФДСЧ), с помощью которого генерируются ключи доступа.

КД используется системой для защиты следующих секретов, хранящихся в постоянной памяти ПАК “Фортикс”:

симметричные ключи forsec-key (защита аутентифицированным шифрованием);
асимметричные ключи forsec-keypair (защита аутентифицированным шифрованием);
журнал событий СКЗИ (защита имитовставкой).

После генерации КД сохраняется на внешнем носителе или в постоянной памяти устройства “Фортикс-Стена”. В случае сохранения на внешнем носителе ключ доступа понадобится при “холодном” перезапуске системы. В случае “тёплого” перезапуска системы носитель не потребуется, так как КД сохраняется в оперативной памяти устройства “Фортикс-Стена” (автоматически ключ доступа загрузится при условии наличия настройки crypto access-key location hw-ram, см. пункт 31.1.4 Загрузка КД).

В рамках процедуры первоначального ввода системы СКЗИ в эксплуатацию необходимо:

инициализировать КД;
сохранить КД в постоянную память устройства “Фортикс-Стена” или на внешнем носителе;
загрузить КД с устройства “Фортикс-Стена” или внешнего носителя;
настроить автоматическую загрузку КД при перезагрузке ПАК “Фортикс”.

31.1.1. Правила работы с КД¶

К каждому устройству ПАК “Фортикс” относится только один ключ доступа, который используется только на данном устройстве.
На носителе ключа доступа присутствует только один КД.
Ключ доступа сохраняется только один раз и только на одном носителе.
Утеря или компрометация КД автоматически означает компрометацию всех данных, защищённых данным КД. В случае указанного инцидента все ключи forsec-keypair/forsec-key объявляются недействительными.
В случае технической неисправности носителя КД все данные на нём полностью очищаются без возможности восстановления или носитель уничтожается.

31.1.2. Инициализация нового КД¶

Для инициализации нового КД с помощью ФДСЧ устройства “Фортикс-Стена” применяется команда:

> crypto access-key init

31.1.3. Сохранение КД¶

После генерации ключ доступа необходимо сохранить в постоянной памяти устройства “Фортикс-Стена” или на внешнем носителе.

Для сохранения ключа доступа в постоянной памяти устройства “Фортикс-Cтена” применяется команда:

> crypto access-key store hw-rom

Для сохранения ключа доступа на внешнем носителе применяется команда:

> crypto access-key store <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе, в которую сохраняется КД, относительно директории /media.

Пример применения команды для сохранения ключа доступа на внешнем носителе:

> crypto access-key store /media/flash0/dir/

При сохранении КД запрашивается ввод пароля, используемый в последствии для защиты КД.

Для сохранения КД без парольной защиты вместо ввода пароля при запросе необходимо нажать клавишу <Enter> без ввода пароля (поскольку при сохранении КД пароль запрашивается дважды для подтверждения, для сохранения КД без парольной защиты необходимо нажать клавишу <Enter> без ввода пароля дважды).

Примечание

Рекомендуется использование парольной защиты КД.

Если на внешнем носителе уже существует КД, запрашивается подтверждение о перезаписи старого контейнера КД новым.

После успешного сохранения КД удаляется из оперативной памяти ПАК “Фортикс”.

31.1.4. Загрузка КД¶

КД может быть загружен одним из следующих способов:

вручную с помощью команды режима администрирования;
автоматически при загрузке системы.

31.1.4.1. Ручная загрузка КД¶

Для загрузки КД вручную с указанного носителя применяется команда:

> crypto access-key load hw-rom|hw-ram|<path-to-dir>

где

hw-rom – постоянная память устройства “Фортикс-Стена”;
hw-ram – оперативная память устройства “Фортикс-Стена”;
<path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

При выполнении данной команды у пользователя запрашивается пароль, которым защищён КД (если он установлен).

При успешном выполнении команды КД загружается в ядро ПАК “Фортикс” и сохраняется в оперативную память устройства “Фортикс-Стена” (hw-ram) без пароля для того, чтобы при “тёплом” перезапуске существовала возможность загрузки КД без ввода пароля.

31.1.4.2. Автоматическая загрузка КД¶

Настройка автоматической загрузки КД осуществляется на следующем уровне конфигурации:

[edit crypto access-key]

На данном уровне конфигурации доступны следующие настройки:

location hw-rom|hw-ram|<path-to-dir> – указать носитель, с которого загружается КД, где hw-rom – постоянная память устройства “Фортикс-Стена”, hw-ram – оперативная память устройства “Фортикс-Стена”, <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media;
device-timeout <device-timeout-value> – указать таймаут ожидания внешних носителей, где <device-timeout-value> – число секунд, по умолчанию – 10.

Возможно определение нескольких носителей, с которых загружается КД. При этом порядок определения в конфигурации настроек для указания носителей определяет порядок загрузки КД.

Так как внешние носители доступны не сразу при загрузке системы, в ПАК “Фортикс” предусмотрена настройка device-timeout.

Пример применения команд для настройки автоматической загрузки КД:

# edit crypto access-key
# set location hw-ram
# set location /media/flash0
# set device-timeout 10
# diff
+crypto {
+  access-key {
+    location hw-ram
+    location /media/flash0
+    device-timeout 10
+  }
+}
# commit

Примечание

Применение данных настроек не инициирует загрузку КД из указанного в настройке location носителя. Для загрузки КД необходимо перезагрузить систему или выполнить команду режима администрирования crypto access-key load.

31.1.5. Состояние КД¶

Для просмотра текущего состояния КД применяется команда:

> show crypto access-key status

Возможные варианты вывода команды:

Если КД не загружен или не создан, выводится:

Info: No access key

Если КД сгенерирован, но не сохранён на носителе, выводится:

Info: Access key not stored

В этом случае необходимо выполнить команду crypto access-key store, а затем выполнить процедуру загрузки КД.

Если КД успешно загружен в оперативную память ПАК “Фортикс”, выводится:

Info: Access key XXXXXXXX is loaded

где XXXXXXXX – отпечаток (идентификатор) КД в 16-ричном виде.

31.1.6. Экспорт КД¶

При использовании кластерного решения из двух и более ПАК “Фортикс” требуется наличие одинаковых КД на каждой ноде (устройстве) кластера.

Для экспорта КД с основного ПАК “Фортикс” на внешний носитель применяется команда:

> crypto access-key export <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

31.1.7. Импорт КД¶

В резервные ПАК “Фортикс” необходимо выполнить импорт КД, ранее экспортированного из основного ПАК.

Для импорта КД с указанного внешнего носителя применяется команда:

> crypto access-key replace save-to hw-rom load-from <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

При успешном импорте после выполнения команды КД сохраняется в постоянную память устройства “Фортикс-Стена” и все секреты системы зашифровываются на новом КД.

Примечание

Для успешного выполнения команды на резервном ПАК “Фортикс” в оперативной памяти ПАК “Фортикс” должен присутствовать старый (временный) КД.

Пример применения команды для импорта КД:

> crypto access-key replace save-to hw-rom load-from /media/flash0/dir/

31.1.8. Плановая замена КД¶

Для плановой замены КД и сохранения его на указанный носитель применяется команда:

> crypto access-key replace save-to hw-rom|<path-to-dir> gen-new

где

hw-rom – постоянная память устройства “Фортикс-Стена”;
<path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

Параметр gen-new указывает на генерацию нового КД с использованием ФДСЧ устройства “Фортикс-Стена”.

При успешном выполнении команды все секреты системы зашифровываются на новом КД.

Примечание

Для успешного выполнения команды в оперативной памяти ПАК “Фортикс” должен присутствовать старый КД.

Пример применения команды для плановой замены КД:

> crypto access-key replace save-to hw-rom gen-new

31.1.9. Удаление КД¶

Для удаления КД из оперативной памяти ПАК “Фортикс” применяется команда:

> crypto access-key clear memory

Для удаления КД из постоянной памяти устройства “Фортикс-Стена” применяется команда:

> crypto access-key clear hw-rom

Для удаления КД из оперативной памяти устройства “Фортикс-Стена” применяется команда:

> crypto access-key clear hw-ram

Для удаления КД с внешнего носителя применяется команда:

> crypto access-key clear <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

31.2. Ключи forsec-key¶

Ключи forsec-key представляют собой строки симметричных ключей парно-выборочной связи определённой серии и абонента.

Для работы с ключами forsec-key необходим загруженный КД.

31.2.1. Импорт forsec-key¶

Для импорта ключей forsec-key с внешнего носителя применяется команда:

> crypto forsec-key import <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

31.2.2. Просмотр информации о ключах forsec-key¶

Для просмотра информации о всех ключах forsec-key в системе применяется команда:

> show crypto forsec-key

Для каждой строки ключей выводится его серия, номер локального абонента, количество абонентов в серии, дата генерации матрицы ключей и дата импорта строки ключей.

Пример применения команды для получения информации о всех ключах forsec-key в системе и её вывода:

> show crypto forsec-key
Serial: 128, CN: 100, Serial size: 113, Gen date: 2024-02-16, Import date: 2024-05-16
Serial: 128, CN: 7, Serial size: 113, Gen date: 2024-02-16, Import date: 2024-05-16
Serial: 127, CN: 99, Serial size: 160, Gen date: 2024-05-13, Import date: 2024-05-16

Для получения информации о ключах указанной серии применяется команда:

> show crypto forsec-key <serial-number>

где <serial-number> – номер серии.

Пример применения команды для получения информации о ключах указанной серии и её вывода:

> show crypto forsec-key 128
Serial: 128, CN: 100, Serial size: 113, Gen date: 2024-02-16, Import date: 2024-05-16
Serial: 128, CN: 7, Serial size: 113, Gen date: 2024-02-16, Import date: 2024-05-16

Для получения информации об указанной строке ключей применяется команда:

> show crypto forsec-key <serial-number> <local-peer-number>

где

<serial-number> – номер серии;
<local-peer-number> – номер локального абонента.

Пример применения команды для получения информации об указанной строке ключей и её вывода:

> show crypto forsec-key 128 100
Serial: 128, CN: 100, Serial size: 113, Gen date: 2024-02-16, Import date: 2024-05-16

Для проверки доступности удалённого абонента для указанного ключа применяется команда:

> show crypto forsec-key <serial-number> <local-peer-number> <remote-peer-number>

где

<serial-number> – номер серии;
<local-peer-number> – номер локального абонента;
<remote-peer-number> – номер удалённого абонента.

Пример применения команды для проверки доступности удалённого абонента для указанного ключа и её вывода:

> show crypto forsec-key 128 100 1
Access to peer 1 for key(serial= 128;CN = 100), status:GRANTED
> show crypto forsec-key 128 100 2
Access to peer 2 for key(serial= 128;CN = 100), status:DENIED

31.2.3. Удаление ключей forsec-key и блокировка абонента¶

Для удаления указанного ключа forsec-key применяется команда:

> crypto forsec-key remove <serial-number> <local-peer-number>

где

<serial-number> – номер серии;
<local-peer-number> – номер локального абонента.

Для блокировки удалённого абонента указанного ключа forsec-key применяется команда:

> crypto forsec-key remove <serial-number> <local-peer-number> <remote-peer-number>

где

<serial-number> – номер серии;
<local-peer-number> – номер локального абонента;
<remote-peer-number> – номер удалённого абонента.

Пример применения команды для блокировки удалённого абонента указанного ключа forsec-key и её вывода:

> show crypto forsec-key 128 100 18
Access to peer 18 for key(serial= 128;CN = 100), status:GRANTED
> crypto forsec-key remove 128 100 18
Forsec-key peer key was successfully zeroized:128 100 {18}.
> show crypto forsec-key 128 100 18
Access to peer 18 for key(serial= 128;CN = 100), status:DENIED

Для удаления всех ключей forsec-key применяется команда:

> crypto forsec-key cleanup

Данная команда не может быть выполнена, если ключи forsec-key используются в туннеле fortun.

31.3. Ключи forsec-keypair¶

Ключи forsec-keypair представляют собой ключевые пары асимметричных ключей (открытый и закрытый ключи) или только открытые ключи (закрытый ключ при этом неизвестен).

Предупреждение

Обмен открытыми ключами forsec-keypair между абонентами осуществляется по каналу, исключающему подмену ключей.

Для работы с ключами forsec-keypair необходим загруженный КД.

31.3.1. Генерация ключей forsec-keypair¶

Для генерации ключевой пары forsec-keypair с указанным именем применяется команда:

> crypto forsec-keypair generate <forsec-keypair-name>

где <forsec-keypair-name> – строка.

При генерации ключа forsec-keypair (открытого и закрытого ключей) фиксируется дата/время генерации ключа.

31.3.2. Экспорт и импорт ключей forsec-keypair¶

Для экспорта открытого ключа forsec-keypair (в бинарном виде) применяется команда:

> crypto forsec-keypair export <forsec-keypair-name> <path-to-file>

где

<forsec-keypair-name> – имя существующего ключа forsec-keypair;
<path-to-file> – полное имя файла или имя файла относительно домашней директории пользователя.

В файле <path-to-file> сохраняется открытый ключ forsec-keypair, его время жизни и имя.

Экспорт значения открытого ключа forsec-keypair в текстовом шестнадцатеричном виде описан ниже (см. пункт 31.3.3 Просмотр информации о ключах forsec-keypair).

Для импорта открытого ключа forsec-keypair из указанного файла применяется команда:

> crypto forsec-keypair import <path-to-file>

где <path-to-file> – полное имя файла или имя файла относительно домашней директории пользователя.

В команде указывается путь к бинарному контейнеру с открытым ключом forsec-keypair, полученному с помощью команды crypto forsec-keypair export.

Для импорта открытого ключа forsec-keypair с указанным именем с помощью текстового значения применяется команда:

> crypto forsec-keypair add <forsec-keypair-name> hex
<forsec-keypair-text>

где

<forsec-keypair-name> – строка;
<forsec-keypair-text> – текст в 16-ричном виде.

Для импорта открытого ключа forsec-keypair с указанным именем из файла с текстовым 16-ричным значением применяется команда:

> crypto forsec-keypair add <forsec-keypair-name> file <path-to-file>

где

<forsec-keypair-name> – строка;
<path-to-file> – полное имя файла или имя файла относительно домашней директории пользователя.

Примеры применения команд для импорта открытого ключа forsec-keypair:

> crypto forsec-keypair add new_key hex D20C447D48964C4B43E97498D034B9D936DC15C00713CA03B49C8333B6A2BB4A343D715E775A63CB02C05C9972C1E04C594EADF80023BFEA146051603CA682C812B95CD05B557861A74016B867CE2E633E437F43E0631927064D5C95830CA39185B413FE16B1D631AE9439FA02AAD415F3E88199EF73BF49B81FD3444ABA3C36

> crypto forsec-keypair add new_key2 file /home/user/hex_key

31.3.3. Просмотр информации о ключах forsec-keypair¶

Для получения информации о всех ключах forsec-keypair, присутствующих в ПАК “Фортикс”, применяется команда:

> show crypto forsec-keypair

Пример вывода команды для получения информации о всех ключах forsec-keypair, присутствующих в ПАК “Фортикс”:

  Keyname                 HEX           Date            Usage
+ test                    3069CEFB      2024-02-14      fort1
+ test3                   D20C447D      2024-02-14
- test2                   A9B6118E      undefined       fort1

Каждая строка содержит информацию об открытом ключе или о ключевой паре.

В столбце “Keyname” указаны имена ключей forsec-keypair.

Знак “+” означает, что в системе указанному ключу forsec-keypair соответствует закрытый и открытый ключи.

Знак “-” означает, что в системе указанному ключу forsec-keypair соответствует только открытый ключ.

В столбце “HEX” указаны первые 4 байта открытого ключа forsec-keypair в 16-ричном виде.

В столбце “Date” указана дата генерации ключа forsec-keypair (значение “undefined” указано для ключей, импортированных с помощью команды crypto forsec-keypair add, см. ниже).

В столбце “Usage” указано имя интерфейса fortun, в котором задействован указанный ключ forsec-keypair.

Для получения информации об указанном ключе forsec-keypair применяется команда:

> show crypto forsec-keypair <forsec-keypair-name>

где <forsec-keypair-name> – имя существующего ключа forsec-keypair.

По данной команде отображается значение открытого ключа forsec-keypair в 16-ричном виде и дата генерации ключа forsec-keypair, значение закрытого ключа forsec-keypair не отображается.

Пример применения команды для получения информации об указанном ключе forsec-keypair и её вывода:

> show crypto forsec-keypair test3

KEY:
D20C447D48964C4B43E97498D034B9D936DC15C00713CA03B49C8333B6A2BB4A343D715E775A63CB02C05C9972C1E04C594EADF80023BFEA146051603CA682C812B95CD05B557861A74016B867CE2E633E437F43E0631927064D5C95830CA39185B413FE16B1D631AE9439FA02AAD415F3E88199EF73BF49B81FD3444ABA3C36
Gen time:
2024-02-14

Для записи шестнадцатеричного значения открытого ключа forsec-keypair в указанный файл применяется команда:

> show crypto forsec-keypair <forsec-keypair-name> <path-to-file>

где

<forsec-keypair-name> – имя существующего ключа forsec-keypair;
<path-to-file> – полное имя файла или имя файла относительно домашней директории пользователя.

Пример применения команды для записи шестнадцатеричного значения открытого ключа forsec-keypair в указанный файл:

> show crypto forsec-keypair test3 test3
> cat test3
D20C447D48964C4B43E97498D034B9D936DC15C00713CA03B49C8333B6A2BB4A343D715E775A63CB02C05C9972C1E04C594EADF80023BFEA146051603CA682C812B95CD05B557861A74016B867CE2E633E437F43E0631927064D5C95830CA39185B413FE16B1D631AE9439FA02AAD415F3E88199EF73BF49B81FD3444ABA3C36

31.3.4. Удаление ключей forsec-keypair¶

Для удаления указанного ключа forsec-keypair применяется команда:

> crypto forsec-keypair remove key <forsec-keypair-name>

где <forsec-keypair-name> – имя существующего ключа forsec-keypair.

Примечание

Удаление ключей, используемых в туннеле fortun, невозможно (см. пункт 31.4.2.3 Использование ключей в туннелях fortun).

Для удаления всех неиспользуемых ключей forsec-keypair применяется команда:

> crypto forsec-keypair remove unused

Для удаления всех ключей forsec-keypair, в том числе используемых в туннелях, применяется команда:

> crypto forsec-keypair cleanup

Примечание

Применение данной команды необходимо осуществлять с осторожностью (см. пункт 31.4.2.3 Использование ключей в туннелях fortun).

31.3.5. Электронная подпись с использованием ключей forsec-keypair¶

Формирование и проверка электронной подписи возможны с помощью ключей forsec-keypair.

Для формирования электронной подписи в указанную директорию применяется команда:

> crypto forsec-keypair sign <file-name> <forsec-keypair-name> <path-to-sign-dir>

где

<file-name> – полное имя подписываемого файла или имя файла относительно домашней директории пользователя;
<forsec-keypair-name> – имя существующего ключа forsec-keypair;
<path-to-sign-dir> – полное имя директории или имя директории относительно домашней директории пользователя.

При формировании файл подписи записывается в указанную директорию с именем <file-name>.sig.

Пример применения команды для формирования подписи:

> crypto forsec-keypair sign test_file.txt test3 /home/user/2/

Для проверки электронной подписи применяется команда:

> crypto forsec-keypair verify <file-name> <forsec-keypair-name> <path-to-sign-file>

где

<file-name> – полное имя проверяемого файла или имя файла относительно домашней директории пользователя;
<forsec-keypair-name> – имя существующего ключа forsec-keypair;
<path-to-sign-file> – полное имя файла подписи или имя файла относительно домашней директории пользователя.

Пример применения команды для проверки подписи:

> crypto forsec-keypair verify test_file.txt test3 /home/user/2/test_file.txt.sig

31.4. Интерфейсы fortun¶

Интерфейс fortun – это туннельный интерфейс уровней L3 и L2 с поддержкой шифрования. Туннель может работать как в режиме шифрования, так и в режиме открытого трафика. Для работы в режиме шифрования требуется наличие ключа доступа в оперативной памяти ПАК “Фортикс” (см. пункт 31.1.4 Загрузка КД).

Настройка интерфейса fortun осуществляется на следующем уровне конфигурации:

[edit interface fortun <fortun-interface-name>]

где <fortun-interface-name> – строка длиной от 1 до 15 символов.

На данном уровне конфигурации доступны следующие настройки, уникальные для интерфейсов fortun:

mode tun|tap – указать режим интерфейса, где tun – режим L2, tap – режим L3, по умолчанию – tun;
id <id-value> – указать идентификатор соединения, одинаковый на обеих сторонах туннеля, где <id-value> – число от 0 до 65535;
encap – перейти на уровень конфигурации UDP-инкапсуляции;
keepalives – перейти на уровень конфигурации keep-alive;
forsec-key – перейти на уровень конфигурации использования ключей forsec-key для шифрования туннеля;
forsec-keypair – перейти на уровень конфигурации использования ключей forsec-keypair для шифрования туннеля;
encryption – включить режим шифрования туннеля;
ttl <ttl-value> – указать время жизни пакета, где <ttl-value> – число от 0 до 255;
tos <tos-value> – указать тип обслуживания, где <tos-value> – строка в формате 0x<hex-value>;
ipv4|ipv6 – перейти на уровень конфигурации IPv4/IPv6 (кроме стандартных IP-настроек доступны настройки local и remote).

31.4.1. Минимальные настройки¶

Для работы туннеля достаточно определить его концы, настройки id и enable.

Пример минимальной настройки туннеля:

# edit interface fortun fort1
# set ipv4 local 10.10.10.1
# set ipv4 remote 10.10.10.34
# set id 128
# set enable
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 10.10.10.34
+    }
+    id 128
+  }
+}
# commit

31.4.2. Настройка шифрования в интерефейсе fortun¶

В примере из пункта 31.4.1 Минимальные настройки рассматривается настройка туннеля без шифрования трафика.

Для криптографической защиты туннеля необходимо указать настройку encryption и настроить использование ключей forsec-keypair или forsec-key.

31.4.2.1. Шифрование с использованием ключей forsec-key¶

Для корректной работы туннеля на обоих его концах должны совпадать серия ключей и настройка id; настройки local-cn и remote-cn (номера локального и удалённого абонентов) должны быть зеркально симметричными, при этом local-cn и remote-cn не должны быть равны друг другу.

Настройка режима шифрования на интерефейсе fortun с использованием ключей forsec-key осуществляется на следующем уровне конфигурации:

[edit interface fortun <fortun-interface-name> forsec-key]

где <fortun-interface-name> – имя существующего интерфейса fortun.

На данном уровне конфигурации доступны следующие настройки:

local-cn <local-cn-number> – указать номер локального абонента, где <local-cn-number> – число от 0 до 65535;
remote-cn <remote-cn-number> – указать номер удалённого абонента, где <remote-cn-number> – число от 0 до 65535;
serial <serial-number> – указать номер серии ключа, где <serial-number> – число от 0 до 4294967295.

Дополнение примера, приведённого в пункте 31.4.1 Минимальные настройки, командами для настройки режима шифрования с использованием ключей forsec-key:

[edit interface fortun fort1]
# edit forsec-key
# set local-cn 14
# set remote-cn 19
# set serial 12345
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 10.10.10.34
+    }
+    id 128
+    forsec-key {
+      serial 12345
+      local-cn 14
+      remote-cn 19
+    }
+    encryption
+  }
+}
# commit

31.4.2.2. Шифрование с использованием ключей forsec-keypair¶

Для корректной работы туннеля абонентам необходимо сгенерировать ключ forsec-keypair (каждому свой), а затем обменяться открытыми ключами forsec-keypair по каналу, гарантирующему защиту от подмены, и указать полученные ключи в настройках интерфейса fortun.

Настройка режима шифрования на интерефейсе fortun с использованием ключей forsec-keypair осуществляется на следующем уровне конфигурации:

[edit interface fortun <fortun-interface-name> forsec-keypair]

где <fortun-interface-name> – имя существующего интерфейса fortun.

На данном уровне конфигурации доступны следующие настройки:

local-key <local-key-name> – указать имя ключа forsec-keypair, сгенерированного на ПАК “Фортикс”, где <local-key-name> – имя существующего ключа forsec-keypair;
remote-key <remote-key-name> – указать имя импортированного открытого ключа forsec-keypair удалённого абонента, где <remote-key-name> – имя существующего ключа forsec-keypair.

Дополнение примера, описанного в пункте 31.4.1 Минимальные настройки, командами для настройки режима шифрования с использованием ключей forsec-keypair:

[edit interface fortun fort1]
# edit forsec-keypair
# set local-key mykey
# set remote-key herson-key
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 10.10.10.34
+    }
+    id 128
+    forsec-keypair {
+      local-key mykey
+      remote-key herson-key
+    }
+    encryption
+  }
+}
# commit

31.4.2.3. Использование ключей в туннелях fortun¶

Особенности работы с ключами forsec-key/forsec-keypair в интерфейсах fortun:

Для определения настроек forsec-key/forsec-keypair необходимо указание настройки encryption.
Загрузка ключевой информации интерфейса в ядро осуществляется в момент выполнения команды commit (а также при загрузке системы) без учёта состояния интерфейса (настройки enable), в связи с чем, в случае отсутствия в системе КД, в журнал записывается сообщение уровня ALERT о невозможности загрузки ключевой информации. Если в конфигурации интерфейса указана настройка enable, при успешной загрузке КД интерфейс автоматически становится доступным.
При конфигурировании туннеля fortun для настроек forsec-keypair/forsec-key предусмотрено автодополнение по клавише Tab (для local-key/remote-key/serial), которое работает только при наличии КД в оперативной памяти.
Если в конфигурации интерфейса fortun одновременно заданы настройки forsec-keypair и forsec-key, для шифрования используются ключи forsec-key.

31.4.2.4. Балансировка шифрования по ядрам¶

В ПАК “Фортикс” реализована возможность настройки балансировки шифрования по ядрам процессоров.

Для настройки балансировки шифрования по ядрам процессоров применяется команда:

# set crypto forsec smp-affinity <smp-affinity-number>

где <smp-affinity-number> – номера ядер процессоров.

Пример применения команды для настройки балансировки шифрования по ядрам процессоров:

# set crypto forsec smp-affinity 1-2,4
# commit

31.4.2.5. Защита от replay-атак¶

Для защиты от replay-атак используется специальное окно номеров пакетов, в рамках которого возможен приём трафика. Также возможен приём более позднего трафика. В случае получения (и успешного расшифрования) трафика окно сдвигается.

Для настройки размера окна применяется команда:

# set crypto forsec replay-window <replay-window-size>

где <replay-window-size> – число от 64 до 131008 пакетов или номеров, по умолчанию – 4096.

Пример применения команды для настройки размера окна:

# set crypto forsec replay-window 32
# commit

31.4.2.6. Таймаут ресинхронизации туннелей¶

Для отправки служебных сообщений синхронизации тунелей устанавливается настраиваемое ограничение. По умолчанию оно составляет одно сообщение в 30 секунд.

Для настройки значения таймаута применяется команда:

# set crypto forsec resync-delay <resync-delay-value>

где <resync-delay-value> – число секунд от 1 до 65535, по умолчанию – 30.

Пример применения команды для настройки значения таймаута:

# set crypto forsec resync-delay 5
# commit

31.4.3. Сетевые настройки туннелей fortun¶

31.4.3.1. Настройка UDP-инкапсуляции¶

Весь трафик fortun по умолчанию инкапсулируется в протокол UDP. В настройках интерфейса возможно указание портов получателя и отправителя (по умолчанию используются порты 505).

Настройка UDP-инкапсуляции осуществляется на следующем уровне конфигурации:

[edit interface fortun <fortun-interface-name> encap]

где <fortun-interface-name> – имя существующего интерфейса fortun.

На данном уровне конфигурации доступны следующие настройки:

sport <sport-number> – указать порт отправителя, где <sport-number> – число от 0 до 65535;
dport <dport-number> – указать порт получателя, где <dport-number> – число от 0 до 65535.

Дополнение примера, приведённого в пункте 31.4.1 Минимальные настройки, командами для настройки UDP-инкапсуляции:

[edit interface fortun fort1]
# edit encap
# set sport 501
# set dport 503
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 10.10.10.34
+    }
+    id 128
+    encap {
+      sport 501
+      dport 503
+    }
+  }
+}
# commit

31.4.3.2. NAT-traversal¶

Для работы через NAT при неизвестном адресе/номере порта удалённого конца следует указать значение 0 UDP-порта и 0.0.0.0 IP-адреса удалённого абонента. В этом случае интерфейс ожидает входящий пакет от любого IP-адреса с любого порта.

Дополнение примера, приведённого в пункте 31.4.1 Минимальные настройки, командами для настройки NAT-traversal:

[edit interface fortun fort1]
# set encap dport 0
# set ipv4 remote 0.0.0.0
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 0.0.0.0
+    }
+    encap dport 0
+    id 128
+  }
+}
# commit

31.4.3.3. Пинг-пробы¶

Пинг-пробы предназначены для определения статуса удалённого конца.

Настройка пинг-проб осуществляется на следующем уровне конфигурации:

[edit interface fortun <fortune-interface-name> keepalive]

где <fortun-interface-name> – имя существующего интерфейса fortun.

На данном уровне конфигурации доступны следующие настройки:

interval <interval-value> – указать временной интервал пинг-проб, где <interval-value> – число секунд от 0 до 65535, по умолчанию – 3;
retries <retries-number> – указать максимально допустимое количество пинг-проб, где <retries-number> – число от 0 до 65535, по умолчанию – 3.

При отсутствии ответной пробы через указанное в настройке retries количество попыток интерфейс переходит в состояние NO-CARRIER (отсутствие соединения).

Дополнение примера, приведённого в пункте 31.4.1 Минимальные настройки, командами для настройки пинг-проб:

[edit interface fortun fort1]
# edit keepalive
# set interval 10
# set retries 4
# diff
+interface {
+  fortun fort1 {
+    enable
+    ipv4 {
+      local 10.10.10.1
+      remote 10.10.10.34
+    }
+    keepalive {
+      interval 10
+      retries 4
+    }
+    id 128
+  }
+}
# commit

31.5. Генератор ключевых документов (ГКД)¶

Генератор ключевых документов (далее по тексту – ГКД) представляет собой программное обеспечение, выполняющее генерацию матрицы симметричных ключей для обеспечения защищённой парной связи между ПАК “Фортикс” по принципу “все со всеми”. Матрица является квадратной и симметричной. Каждый элемент матрицы представляет собой два 256-разрядных ключа, которые возможно использовать в алгоритмах симметричного шифрования согласно ГОСТ Р 34.12-2015. Данная пара ключей используется для обеспечения защищённой связи между двумя абонентами (ПАК “Фортикс”). Абоненты идентифицируются порядковыми номерами (начиная с 1). Номера пары абонентов являются координатами элемента в матрице.

Генерация ключей осуществляется с использованием ФДСЧ устройства “Фортикс-Стена”.

В процессе генерации матрица ключей находится только в оперативной памяти ПАК “Фортикс” и не сохраняется в постоянной памяти ПАК “Фортикс”.

После генерации осуществляется запись матрицы в зашифрованном виде на внешний носитель. Ключи шифрования матрицы записываются на другой внешний носитель. Далее ключевые данные удаляются из оперативной памяти ПАК “Фортикс” (с предварительной зачисткой псевдослучайными данными).

Далее строки матрицы выборочно загружаются в оперативную память ПАК “Фортикс” с внешнего носителя и осуществляется их последующий экспорт на ключевые носители абонентов. Строка может быть экспортирована только один раз.

Каждая матрица ключей идентифицируется номером (серией) – числом от 1 до 4294967295. Другими атрибутами матрицы являются: количество абонентов (от 2 до 10000), дата/время выпуска.

Для хранения ключей доступа к матрице, самой матрицы, ключевых документов абонентов на внешних носителях используется ключевой контейнер SymEx.

В каждом контейнере присутствует файл info.txt, который содержит информацию о матрице/строке в текстовом виде. Данный файл является исключительно информационным и не влияет на целостность контейнера.

Генерация и экспорт ключей осуществляются при отключённых сетевых интерфейсах.

Для работы генератора ключевых документов необходимо наличие ключа доступа в оперативной памяти ПАК “Фортикс”.

31.5.1. Генерация ключей¶

При работе службы генерации ключей все сетевые кабели должны быть отключены или в конфигурации всех Ethernet-интерфейсов должна отсутствовать настройка enable.

Для отключения проверки на отсутствие подключения к сети применяется команда:

# set crypto matrix no-net-check
# commit

Указанная команда доступна для учётных записей администраторов СКЗИ.

Примечание

Отключать данную проверку не рекомендуется, так как иначе пользователь ПАК “Фортикс”, доступ которого к ключевой информации запрещён, имеет возможность подключиться к ПАК по сети (SSH, NETCONF и т.д.) и получить несанкционированный доступ к внешним носителям с ключевой информацией.

Для работы с ГКД используется режим генерации ключей.

Для входа в режим генерации ключей применяется команда:

> crypto matrix operate
(keygen)> _

Режим генерации ключей в командной строке отображается следующим образом:

(keygen)> _

Для просмотра текущего статуса службы генерации ключей применяется команда:

(keygen)> show status
Status: empty

Генерация ключей осуществляется службой только в статусе empty, иначе необходимо выполнить очистку службы.

Для очистки службы применяется команда:

(keygen)> cleanup

Примечание

Очистка выполняется в фоновом режиме и, как правило, не занимает большого количества времени. После очистки службы рекомендуется выполнить команду show status повторно для проверки соответствия значения статуса службы (Status: empty).

Для запуска генерации матрицы ключей применяется команда:

(keygen)> generate <serial-number> <peer-number>

где

<serial-number> – номер серии матрицы ключей от 1 до 4294967295;
<peer-number> – количество абонентов от 2 до 10000.

После запуска генерация осуществляется в фоновом режиме.

Для отслеживания процесса генерации применяется команда:

(keygen)> show status [follow]

где follow – параметр, при указании которого используется режим непрерывного отслеживания прогресса.

Для прерывания отслеживания используется комбинация клавиш <Ctrl>+<C>.

При длительном процессе генерации матрицы возможен выход из режима генерации ключей и сессии, при этом генерация продолжится в фоновом режиме.

Для отслеживания статуса службы вне режима генерации ключей применяется команда:

> show crypto matrix status [follow]

Если генерация завершается с ошибкой, отражаемой в статусе, ключевые данные автоматически зачищаются и удаляются из оперативной памяти ПАК “Фортикс”.

Возможные причины неуспешного завершения генерации:

подключение сетевого кабеля к интерфейсу с указанной настройкой enable в конфигурации;
недостаточный объём оперативной памяти ПАК “Фортикс”;
некорректная работа ФДСЧ устройства “Фортикс-Стена” (устройство не отвечает или вырабатывает данные с энтропией неудовлетворительного качества).

После неуспешной генерации необходимо выполнить очистку с помощью команды:

(keygen)> cleanup

Очистка может быть выполнена вне режима генерации ключей с помощью команды:

> crypto matrix cleanup

При успешном завершении генерации служба переходит в следующее состояние:

Status: matrix generated

Далее необходимо подключить внешний носитель для сохранения на него ключей шифрования матрицы (main keys).

Для сохранения ключей шифрования матрицы на внешний носитель применяется команда:

(keygen)> save-main-keys <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

Пример применения команды для сохранения ключей шифрования матрицы на внешний носитель:

(keygen)> save-main-keys /media/flash0

При успешном сохранении ключей шифрования матрицы служба переходит в следующее состояние:

Status: main keys saved

Далее необходимо подключить другой носитель и сохранить на него зашифрованную матрицу ключей.

Для сохранения зашифрованной матрицы ключей на внешний носитель применяется команда:

(keygen)> save-matrix <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

В случае матриц больших объёмов процесс сохранения занимает длительное время, в течение которого на экране отображается прогресс сохранения.

После успешного сохранения матрицы автоматически инициируется зачистка ключевой информации в оперативной памяти ПАК “Фортикс”, и (через некоторое время) служба переходит в состояние:

Status: empty

Примечание

Рекомендуется хранить носитель с ключами шифрования матрицы и носитель с самой матрицей отдельно от друг друга.

31.5.2. Создание ключевых документов абонентов¶

Создание ключевых документов абонентов на основе матрицы ключей осуществляется в режиме генерации ключей.

Для входа в режим генерации ключей применяется команда:

> crypto matrix operate

Создание ключевых документов абонентов возможно только при нахождении службы генерации ключей в состоянии empty.

Для проверки состояния службы применяется команда:

(keygen)> show status
Status: empty

Если служба находится не в состоянии empty, необходимо выполнить очистку службы.

Для очистки службы применяется команда:

(keygen)> cleanup
(keygen)> show status
Status: empty

Далее необходимо ввести в систему ключи шифрования матрицы с внешнего носителя.

Для ввода ключей шифрования матрицы с подключённого к ПАК “Фортикс” внешнего носителя применяется команда:

(keygen)> load-main-keys <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

В случае успешной загрузки отображается информация о матрице (серия, количество абонентов, дата/время выпуска) и служба переходит в следующее состояние:

Status: main keys loaded

При успешной загрузке команда show status отображает информацию о матрице.

Далее необходимо подключить носитель с зашифрованной матрицей ключей (носитель с ключами шифрования матрицы можно отключить).

Примечание

Рекомендуется выполнить проверку целостности матрицы.

Для проверки целостности матрицы применяется команда:

(keygen)> check-matrix <path-to-dir>

где <path-to-dir> – полное имя директории на внешнем носителе относительно директории /media.

В случае матриц большого объёма процесс проверки занимает некоторое время, в течение которого отображается прогресс проверки.

Далее необходимо выборочно загрузить в оперативную память ПАК “Фортикс” строки ключей для абонентов с целью их последующего экспорта в качестве ключевых документов абонентов.

Для загрузки в оперативную память ПАК “Фортикс” строк ключей для указанных абонентов применяется команда:

(keygen)> load-key-line <path-to-dir> <peer-number>

где

<path-to-dir> – полное имя директории на внешнем носителе относительно директории /media;
<peer-number> – число от 1 до 10000.

Пример применения команды для загрузки в оперативную память ПАК “Фортикс” строк ключей для указанных абонентов:

(keygen)> load-key-line /media/flash0 1
(keygen)> load-key-line /media/flash0 2
...

Для просмотра списка загруженных строк применяется команда:

(keygen)> show key-lines

Для просмотра строки ключей указанного абонента применяется команда:

(keygen)> show key-line-status <peer-number>

где <peer-number> – число от 1 до 10000.

Далее необходимо подключить носитель для сохранения ключевого документа абонента и экспортировать строки ключей.

Для экспорта строк ключей указанного абонента на внешний носитель применяется команда:

(keygen)> export-key-line <path-to-dir> <peer-number>

где

<path-to-dir> – полное имя директории на внешнем носителе относительно директории /media;
<peer-number> – число от 1 до 10000.

Пример алгоритма создания ключевых документов:

Отключить носитель с матрицей ключей.
Подключить носитель ключевого документа абонента 1.
Экспортировать строку ключей для абонента 1:

(keygen)> export-key-line /media/flash0 1

Отключить носитель абонента 1.
Повторить пункты 2-4 для абонента 2:

(keygen)> export-key-line /media/flash0 2

Повторить для экспорта всех строк из оперативной памяти ПАК “Фортикс”.

После экспорта строка автоматически удаляется из оперативной памяти ПАК “Фортикс”.

Примечание

Все строки, находящиеся в оперативной памяти ПАК “Фортикс”, необходимо экспортировать на носители ключевых документов абонентов, так как при выполнении команды load-key-line данные строки помечаются как экспортированные в контейнере матрицы ключей и далее повторное выполнение команды load-key-line для указанных строк невозможно. В случае перезагрузки устройства или выполнения команды cleanup неэкспортированные строки безвозвратно утрачиваются.

31.5.3. Диагностика¶

Для просмотра состояния службы применяются команды:

> show crypto matrix status
(keygen)> show status

Служба осуществляет запись значимых событий в журнал СКЗИ (см. подраздел 31.7 Журнал событий СКЗИ).

При нештатном поведении службы (например, из-за внутренних ошибок) возможно проведение более подробной диагностики по системным сообщениям службы.

Для просмотра всех системных сообщений службы применяется команда:

> show journal service zmatrixd

31.6. Контейнер парольной защиты¶

В ПАК “Фортикс” реализована возможность создания контейнера для файла, защищённого паролем. Для успешного выполнения команд по настройке контейнераов необходимо наличие ключа доступа в оперативной памяти ПАК “Фортикс”.

31.6.1. Создание контейнера парольной защиты¶

Для создания контейнера для указанного файла применяется команда:

> crypto encrypt <path-to-file>

где <path-to-file> – полное имя файла (размер файла не должен превышать 16 МБ) или имя файла относительно домашней директории пользователя.

При выполнении команды запрашивается пароль, который должен удовлетворять следующим требованиям:

длина пароля составляет не менее 8 символов;
пароль нетривиален.

В случае несоответствия пароля требованиям выполнение команды прерывается.

После выполнения команды исходный файл удаляется, в директории исходного файла создаётся файл с именем исходного файла и расширением “.cpt”.

31.6.2. Расшифрование контейнера парольной защиты¶

Для извлечения файла из зашифрованного контейнера применяется команда:

> crypto decrypt <path-to-file-with-container> <path-to-save-decrypted-data>

где

<path-to-file-with-container> – полное имя файла с зашифрованным контейнером или имя файла относительно домашней директории пользователя;
<path-to-save-decrypted-data> – полное имя выходного файлаили имя файла относительно домашней директории пользователя.

При выполнении команды запрашивается пароль.

31.7. Журнал событий СКЗИ¶

Подсистемы СКЗИ осуществляют запись значимых событий в специальный журнал событий СКЗИ, целостность и подлинность которого защищается ключом доступа.

Каждая запись в журнале представляет собой строку, содержащую дату, время и описание события. В журнале указываются локальные дата/время согласно настройке временной зоны.

Пример формата записи в журнале:

2025-03-24 09:20:04 : Security log created.

Журнал событий СКЗИ является многотомным и ротируемым. Журнал состоит из томов (частей), нумерующихся с нуля. Том с номером 0 является наиболее новым, в него записываются текущие события. В случае, когда при очередной записи размер тома с номером 0 превышает предельно допустимый, выполняется ротация, при которой все тома перенумеровываются по принципу “+1”, и создаётся новый пустой том с номером 0. При этом, если количество томов достигло предельно допустимого, удаляется старший том (с наибольшим номером). События ротации и удаления томов регистрируются в журнале.

Возможна настройка предельных значений размера тома и количества томов в журнале. По умолчанию установлены значения 500 кБ и 11 томов (от 0-го до 10-го) соответственно.

Целостность журнала (нулевого тома) проверяется каждый раз при регистрации нового события и при перезапуске системы. В случае нарушения целостности генерируется событие уровня ALERT со звуковым оповещением. Также целостность тома журнала проверяется перед его просмотром. Возможно ручное инициирование проверки целостности томов с помощью команды.

Для регистрации событий и проверки целостности необходимо наличие ключа доступа в оперативной памяти ПАК “Фортикс”.

Если в оперативной памяти ПАК “Фортикс” отсутствует ключ доступа или нарушена целостность журнала СКЗИ, при попытке регистрации события в системный журнал записывается сообщение о невозможности регистрации события СКЗИ.

Для просмотра содержимого младшего тома (с номером 0) применяется команда:

> show crypto log

Для просмотра журнала в случае отсутствия ключа доступа или нарушения целостности применяется команда:

> show crypto log no-check

Для просмотра номера старшего тома (с наибольшим номером) применяется команда:

> show crypto log oldest

Для просмотра содержимого тома с указанным номером применяется команда:

> show crypto log volume <volume-number> [no-check]

где

<volume-number> – число от 0 до 65535;
no-check – параметр, при указании которого проверка целостности тома не осуществляется.

Для проверки целостности тома с указанным номером применяется команда:

> crypto log check volume <volume-number>

где <volume-number> – число от 0 до 65535.

Для проверки целостности всех томов применяется команда:

> crypto log check all

Если целостность нарушена по каким-либо причинам, регистрация новых событий в журнале СКЗИ невозможна. Для возобновления работоспособности журнала необходимо выполнить его восстановление.

Для восстановления журнала применяется команда:

> crypto log repair

Команда обновляет имитозащиту всего журнала и регистрирует факт восстановления с указанием имени пользователя, инициировавшего данную команду. В журнал СКЗИ заносится уведомление о том, что достоверность предыдущих записей не гарантируется.

Если восстановление журнала не требуется, данная команда не осуществляет никаких действий и выводит соответствующее сообщение.

Для изменения максимального размера тома журнала применяется команда:

# set crypto log max-volume-size <max-volume-size-value>

где <max-volume-size-value> – число КБ от 1, по умолчанию – 500.

Для изменения предельного номера старшего тома журнала применяется команда:

# set crypto log max-volume-no <max-volume-no-number>

где <max-volume-no-number> – число от 1, по умолчанию – 10).

Указанные в настройках параметры применяются при регистрации очередного события в журнале СКЗИ. То есть (если необходимо) осуществляется ротация и удаление старых томов, имеющих больший номер, чем значение <max-volume-no-number>.

Для немедленного удаления старых томов применяется команда:

> crypto log trim-volumes

Для очистки журнала применяется команда:

> crypto log clear

По указанной команде удаляются тома, все события в которых старше трёх суток, при этом том с номером 0 никогда не удаляется. В журнале СКЗИ регистрируется факт очистки и имя инициировавшего её пользователя. Перед выполнением команды запрашивается подтверждение.

События, регистрируемые в журнале:

создание журнала;
ротация журнала;
автоматическое удаление старых томов при ротации;
очистка журнала администратором;
факт входа администратора в режим генерации ключей (при выполнении команды ‘crypto matrix operate’) и имя его учётной записи;
закрытие сессии администратора, использовавшего режим генерации ключей (при его выходе из всех командных оболочек);
генерация матрицы ключей, атрибуты матрицы;
ошибки генерации матрицы ключей;
очистка ключевых данных в оперативной памяти ПАК “Фортикс”;
сохранение матрицы и ключей шифрования на внешние носители;
загрузка ключей шифрования матрицы в оперативную память ПАК “Фортикс”;
загрузка строк ключей в оперативную память ПАК “Фортикс”;
создание ключевых документов абонентов;
выработка, удаление и ввод ключевых пар;
факты окончания срока действия ключа доступа, ключей парно-выборочной связи и ключевых пар;
ввод ключей и удаление ключей парно-выборочной связи;
факты отказа от ввода ключей в связи с нарушением требования наличия ключа парно-выборочной связи указанного абонента в хранилище при настройке туннеля;
нарушение целостности ПО ПАК “Фортикс”;
выработка, экспорт, замена и удаление ключа доступа;
факт окончания срока действия ключа доступа;
файловые операции с ключевым хранилищем;
дублированные из системного журнала события, попадающие под правила action crypto-log (см. раздел 20 Служба journal);
факт блокировки СКЗИ при обнаружении проблем с ФДСЧ;
факт инициации администратором процедуры регламентного контроля ФДСЧ и имя его учётной записи;
факт инициации регулярной процедуры динамического контроля ФДСЧ;
факт завершения регламентного/динамического контроля ФДСЧ и его результат;
ошибки при обращении к ключевым документам на внешних носителях.

31.8. Динамический и регламентный контроль ФДСЧ¶

Процедура регламентного контроля ФДСЧ устройства “Фортикс-Стена” представляет собой проверку на прохождение статистических тестов 4 кБ случайных данных, полученных от ФДСЧ.

Для выполнения регламентного контроля применяется команда:

> crypto rng check-phrng

При успешном прохождении регламентного контроля выводится следующее сообщение:

Info: PhRNG check passed successfully.

При неуспешном прохождении регламентного контроля выводится сообщение об ошибке и подсистема СКЗИ блокируется. (см. подраздел 31.9 Блокировка СКЗИ).

Динамический контроль ФДСЧ аналогичен регламентному за исключением того, что динамический контроль запускается системой автоматически на регулярной основе.

Частота запуска динамического контроля определяется настройкой system software-integrity (см. подраздел 29.6 Контроль целостности).

Динамический контроль проводится только в случае, если в конфигурации системы определена настройка system software-integrity и в постоянной памяти ПАК “Фортикс” присутствует ключ доступа.

Факт инициации и результат динамического контроля регистрируются в журнале событий СКЗИ.

31.9. Блокировка СКЗИ¶

Если при обращении к ФДСЧ обнаруживается его неработоспособность, подсистема СКЗИ блокируется.

Неработоспособность ФДСЧ может быть обнаружена в момент выполнения следующих операций:

при загрузке системы и попытке осуществления начальной инициализации ПДСЧ;
при попытке осуществления регулярной переинициализации ПДСЧ (раз в минуту);
при проведении регламентного контроля ФДСЧ;
при проведении динамического контроля ФДСЧ;
при попытке осуществления генерации матрицы симметричных ключей;
при попытке осуществления генерации ключевой пары асимметричных ключей.

При блокировке СКЗИ выполняются следующие действия:

Если в постоянной памяти ПАК “Фортикс” присутствует ключ доступа, в журнале событий СКЗИ регистрируется событие о неработоспособности ФДСЧ.
Ключ доступа зачищается/удаляется из постоянной памяти ПАК “Фортикс”.
В системном журнале регистрируется событие уровня ALERT со звуковым оповещением.
В оперативной памяти ПАК “Фортикс” устанавливается признак блокировки СКЗИ. Данный признак запрещает выполнение команд загрузки/инициализации ключа доступа. Признак удаляется при перезагрузке системы.
Ключевой материал, присутствующий в памяти службы генерации матрицы ключей, зачищается/удаляется.

При выполнении процедуры блокировки СКЗИ невозможно выполнение следующих операций:

загрузка/инициализация ключа доступа;
запись в журнал событий СКЗИ;
генерация матрицы симметричных ключей;
генерация закрытых/открытых ключей;
создание контейнеров парольной защиты;
создание электронных подписей файлов;
инициация новых туннелей fortun.

Примечание

Инициированные до блокировки СКЗИ туннели fortun продолжат свою работу, так как они не нуждаются в ФДСЧ/ПДСЧ и их ключи шифрования находятся в постоянной памяти ПАК “Фортикс”.