Глава 9. Стандарты и сертификация

FIPS 140

Федеральные стандарты FIPS 140 (Federal Information Processing Standards) публикуются правительством США и описывают требования к защите информации. FIPS 140 определяет четыре уровня защиты, охватывающих широкий диапазон окружений, где могут применяться модули криптографии. Требования защиты распространяются на области разработки и реализации модулей криптографии, включая спецификации модулей, требования к портам и интерфейсам, ролям, службам, аутентификации, а также определяют окончательную модель, физическую защиту, операционное окружение, управление ключами, электромагнитные помехи, самоконтроль и методы реагирования на возможные атаки.
Red Hat Enterprise Linux 6.5 поддерживает обновления криптографических функций стандарта «Suite B», представленного агентством национальной безопасности (NSA). Suite B является обязательным требованием для государственных учреждений в соответствии с требованиями NIST 800 - 131. Основные компоненты:
  • режим GCM для алгоритма AES (Advanced Encryption Standard),
  • алгоритм Диффи — Хеллмана на эллиптических кривых,
  • SHA-256 (Secure Hash Algorithm 2).
Ниже перечислены компоненты в процессе подтверждения.
  • NSS FIPS-140 Level 1,
  • эллиптическая криптография Suite B,
  • OpenSSH (клиент и сервер),
  • Openswan,
  • dm-crypt,
  • OpenSSL,
  • Kernel Crypto,
  • AES-GCM, AES-CTS, AES-CTR.

Лицензирование ФСТЭК

Российская федерация имеет собственный процесс лицензирования иностранных производителей на основе общих критериев защищенности. Для предоставления продуктов и услуг государственным органам Российской Федерации иностранные производители должны быть лицензированы федеральной службой по техническому и экспортному контролю (ФСТЭК России).
Помимо лицензирования технологий, направленных на обеспечение защиты информации, ФСТЭК осуществляет проведение экспортного контроля, в том числе экспорта технологий, предоставляемых гражданским и военным субъектам.
Лицензирование иностранных производителей является законодательным требованием, если продукт использует, осуществляет хранение или обработку конфиденциальных данных. Лицензия ФСТЭК предоставляет право на коммерческое распространение и гостударственную продажу продуктов Red Hat на территории Российской Федерации.
Лицензия ФСТЭК предоставляется не на отдельный выпуск Red Hat Enterprise Linux 6, а распространяется на весь диапазон продуктов Red Hat Enterprise Linux 6 на протяжении жизненного цикла данного типа лицензирования.