Вопросы обеспечения производительности криптографических средств при соблюдении требований по защите ООО «КРИПТО-ПРО» Начальник отдела криптографического анализа Попов Владимир Олегович vpopov@cryptopro.ru КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Реализация криптографических систем на платформе Intel/MS : аппаратные платформы Intel IA32 (Pentium III, Pentium IV c расширениями MMX, SSE II, SSE III); IA64 (Itanium); В перспективе EM64T (Xeon64) операционные системы MS (CSP 2.0) Windows 98/98SE/NT/ 2000/МЕ/ XP (CSP 3.0) Windows 2000/XP; Windows 2003. элементы КриптоПро CSP CSP 2.0 загружаемая библиотека CSP, криптографический сервис CSP, модуль сетевой аутентификации TLS, система настройки ОС CSP 3.0 (добавляется) КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации криптодрайвер www.cryptopro.ru Архитектура криптографических служб в ОС Windows КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Архитектура криптографических служб в ОС Windows предполагает возможность реализовывать на ее базе криптографические системы с национальными алгоритмами и форматами. Однако, в силу особенностей реализации, она не дает возможности непосредственного включения новых CSP без доработки модулей ОС либо использования механизмов обхода некоторых вызовов системных и прикладных библиотек ОС. Внедрение новых криптографических алгоритмов и форматов требует настройки ряда системных модулей и переработки служб криптографических протоколов ОС. КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Вопросы реализации СКЗИ ООО КРИПТО-ПРО на платформе Intel/MS • • Использование российских стандартов криптографической защиты данных. Выполнение требований российских нормативов обеспечения безопасности криптографических систем, • Обеспечение надежности выполнения криптографических запросов. • Настройка ОС на использование Крипто ПРО CSP, регистрация CSP. • Обеспечение высокой производительности сертифицированных средств криптографической защиты. КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Варианты использования Структурная схема IP шифратора Управление ключевой системой ключи CSP Прикладной уровеньовень Уровень ядра ОС Драйвер среднего уровня Криптодрайвер Драйвер IP (нижний уровень) КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Структурная схема шифрования дисков Система разграничения доступа ОС Ключевая система шифрования дисков CSP ключи Прикладной уровеньовень Уровень ядра ОС Драйвер файловой системы Криптодрайвер Драйвер дисков КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Выполнение требований российских нормативов по безопасности и надежности криптографических систем 1. надежностные характеристики узлов и элементов ПЭВМ. 2. система требований к системному программному обеспечению и прикладным программам • контроль загрузки • контроль целостности • контроль запусков • контроль влияния на СКЗИ (доверие к операционной системе) 3. надежность выполнения криптографических вызовов КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Производительность СКЗИ КриптоПро CSP Производительность блочного шифрования и расшифрования на Pentium 4 HT, 3.066ГГц. 70000 60000 57914 61522 60768 58988 57395 50000 44829 43636 40000 Кб/с 30000 30090 28695 29079 28547 28778 28436 24306 20000 19791 17942 20211 20000 17776 19394 18047 10000 0 CNT encrypt CSP 2.0 CNT decrypt CBC encrypt CBC decrypt CSP 3.0, быстрое шифрование выключено ECB encrypt ECB decrypt Hash CSP 3.0, быстрое шифрование включено Диаграммы производительности блочного шифрования на процессорах Intel Pentium 4 HT с CSP 2.0, CSP 3.0, использующим не оптимизированный код, и CSP 3.0 с оптимальным кодом КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Производительность блочного шифрования и расшифрования на Xeon Pentium 4, 1800 MHz 25000 24745 24612 24120 24061 23971 20380 20000 17470 17410 15705 16137 15560 15837 15000 15260 14601 Кб/с 10000 10144 10027 10101 10197 10120 10116 8638 5000 0 CNT encrypt CSP 2.0 CNT decrypt CBC encrypt CBC decrypt CSP 3.0, быстрое шифрование выключено ECB encrypt ECB decrypt Hash CSP 3.0, быстрое шифрование включено Диаграммы производительности блочного шифрования на процессорах Intel Pentium 4 Xeon с CSP 2.0, CSP 3.0, использующим не оптимизированный код, и CSP 3.0 с оптимальным кодом КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Производительность подписи по ГОСТ Р34.10-2001, Pentium 4 HT, 3.066ГГц. 586,7 600 496,8 500 456 389,1 400 290,3 op/s 300 228,5 200 100 0 Elliptic Sign CSP 2.0 CSP 3.0, выключен оптимальный код Elliptic Verify CSP 3.0, включен оптимальный код Диаграммы скорости операций генерации и проверки подписи по ГОСТ Р34.10-2001 на процессорах Intel Pentium 4 HT КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Производительность подписи по ГОСТ Р34.10-2001, Xeon Pentium 4, 1800Mhz 287,8 266,9 300 250 200 156,8 144,5 150,6 op/s 150 72,8 100 50 0 Elliptic Sign CSP 2.0 CSP 3.0, выключен оптимальный код Elliptic Verify CSP 3.0, включен оптимальный код Диаграммы скорости операций генерации и проверки подписи по ГОСТ Р34.10-2001 на процессорах Intel Pentium 4 Xeon КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Особенности переноса СКЗИ КриптоПро CSP на систему с процессором Intel Itanium. Особенности перехода на платформу IA64 (Itanium) 1. новая архитектура вычислителя 2. двойственность операционной системы в реализации архитектур IA64 и IA32. Направления разработки 1. создание двухпровайдерной системы. 2. разработка системы управления двумя провайдерами. 3. инструментирование системных библиотек Win64. 4. внедрение системы контроля целостности. КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru Проблемы внедрения криптографических средств на базе платформ Intel/MS общего назначения 1. Необходимость создания защищенных исполнений ОС общего назначения. 2. Желательно, чтобы фирма Intel в дополнение к общедоступным интегральным данным по надежности представила надежностные характеристики отдельных узлов и элементов ПЭВМ (процессор, ОЗУ, шина и т.п.). 3. Желательно с фирмой Microsoft проработать вопросы упрощения настроек операционной системы, осуществляемой при использовании продуктов ООО "КРИПТО-ПРО". КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru ВОПРОСЫ Попов Владимир Олегович vpopov@cryptopro.ru КОМПАНИЯ КРИПТО-ПРО ключевое слово в защите информации www.cryptopro.ru