Концепция безопасности

Наши решения предназначены для защиты:

• информации, которой обмениваются пользователи мобильных устройств и персональных компьютеров по различным каналам связи;
  
  
• информации, хранящейся на мобильных устройствах, персональных компьютерах и внешних носителях (флеш-картах, ZIV-накопителях и т.д.).

Главным вопросом является выбор пользователями необходимого уровня защиты своей информации. Чем выше уровень, тем выше стоимость средств защиты. Выбор оптимального уровня защиты определяется техническими возможностями средств перехвата информации, которыми располагает противник (например, хакеры).

Для решения указанных задач наши клиенты могут выбрать одно из двух решений компании Mobile Trust Telecommunications (MTT):

• присоединиться к защищенной сети Stealthphone Tell компании MTT;
  
  
• создать собственную защищенную корпоративную сеть Stealthphone на базе решений, предоставляемых компанией MTT.

Общими принципами, повышающими доверие к обоим подходам, являются:

• использование криптографических алгоритмов и параметров ключевых систем, которые применяются в военных и государственных системах защиты информации
  
  
• использование принципа «точка-точка» при шифровании информации, которой обмениваются пользователи

Концепции, положенные в основу решений Stealthphone Tell и Stealthphone, имеют существенные различия как по заложенным принципам построения и функционирования, так и по функциональным возможностям. Во многих случаях для сохранения частной информации достаточно использования защищенной сети Stealthphone Tell. Низкая стоимость программного обеспечения, легкость и удобство использования, позволяют пользователям, которые ранее никогда не применяли системы защиты информации, быстро освоиться с работой защищенной сети Stealthphone Tell.

Использование корпоративной сети Stealthphone, по сравнению с общей защищенной сетью Stealthphone Tell, предоставляет новые функциональные возможности и сервисы, и гарантирует качественно более высокий уровень защиты информации, что обеспечивается использованием разработанных компанией МТТ аппаратных устройств шифрования, соответствующих TEMPEST-стандартам и реализующих функции шифрования и генерации ключей самими пользователями.

Выбор решения определяется клиентом, исходя из многих факторов, включающих:

• возможность самостоятельного изготовления и распределения ключей шифрования;
  
  
• назначение системы защиты информации, учитывающее ее использование, – для корпоративных или личных целей;
  
  
• требуемые функции;
  
  
• оценку рисков и угроз информационной безопасности;
  
  
• возможность централизованного управления ключами абонентов;
  
  
• географию сети абонентов,
  
  
• а также ряд других факторов.

Защищенная сеть Stealthphone Tell

Защищенная сеть Stealthphone Tell является открытой сетью обмена зашифрованной информацией (речь, изображения, текстовые данные и т.д.) между абонентами. Она построена на основе открытого распределения ключей и не требует предварительного обмена ключами между абонентами. Ее открытость означает, что к сети может присоединиться любой человек. Защищенная сеть Stealthphone Tell функционирует в рамках сети интернет.

Подключение к защищенной сети Stealthphone Tell

Подключиться к защищенной сети Stealthphone Tell, став ее абонентом, может каждый, у кого есть смартфон и доступ в интернет. Для подключения необходимо:

• скачать на смартфон приложение Stealthphone Tell;
  
  
• внести абонентскую плату за выбранный период работы в защищенной сети Stealthphone Tell;
  
  
• активировать приложение Stealthphone Tell.

Активация приложения занимает всего несколько минут, после чего абоненты могут пользоваться приложением.

Что может абонент защищенной сети Stealthphone Tell

Абонентам защищенной сети Stealthphone Tell доступны следующие сервисы:

• шифрование речи;
  
  
• обмен зашифрованными сообщениями и файлами;
  
  
• организация группового чата с возможностью передачи файлов.

Корпоративный абонент сети Stealthphone Tell

Мы предлагаем возможность корпоративного подключения абонентов к сети Stealthphone Tell. При корпоративном подключении группа абонентов («корпорация») образует собственную подсеть, в рамках которой им доступны те же сервисы, что и абонентам защищенной сети Stealthphone Tell, однако связь возможна исключительно между абонентами корпоративной подсети.

Как работает защищенная сеть Stealthphone Tell

Передача данных в защищенной сети Stealthphone Tell производится через коммуникационные сервера, расположенные в различных странах и функционирующие в сети интернет. Для доступа к сервисам сети Stealthphone Tell абонент должен иметь доступ в интернет.

Шифрование данных производится по принципу «точка-точка», при этом операции генерации ключей шифрования и шифрование данных производятся самими абонентами. Коммуникационные сервера используются исключительно как транзитные узлы для обмена зашифрованной информацией между абонентами сети, администраторы сети не могут расшифровать проходящую через сервера информацию.

Отличием защищенной сети Stealthphone Tell от аналогичных решений конкурентов является использование электронных сертификатов, с помощью которых реализован дополнительный мощный механизм (наряду с механизмами, включенными в протокол ZRTP), позволяющий обоим абонентам удостоверять личности друг друга (взаимная аутентификация). Для работы с электронными сертификатами в рамках защищенной сети Stealthphone Tell реализована и развернута Инфраструктура открытых ключей (ИОК), ядром который является Удостоверяющий Центр (УЦ).

Преимущества защищенной сети Stealthphone Tell

Основной упор при разработке защищенной сети Stealthphone Tell был сделан на достижение её максимальной защищенности. Наряду с общепринятыми мерами, нами дополнительно внедрены технологии, существенно усиливающие защищенность данного решения:

• Использование одновременно двух независимых подходов к обеспечению безопасности в открытых сетях, а именно, использование протокола ZRTP совместно с электронными сертификатами ключей абонентов;
  
  
• Использование методов инженерно-криптографического анализа, качественно усиливающих защищенность приложения Stealthphone Tell по отношению к целому ряду вредоносных воздействий;
  
  
• Усиленный механизм парольной защиты, являющийся механизмом авторизации для доступа к функциям и данным приложения Stealthphone Tell.

Корпоративная сеть Stealthphone

Корпоративная сеть Stealthphone обеспечивает защиту информации на мобильных устройствах и персональных компьютерах и позволяет обмениваться зашифрованной информацией (речь, почта, короткие сообщения, файлы и т.д.) между абонентами.

Корпоративная сеть Stealthphone – многоуровневая защита от атак преступников

Надо признать тот факт, что в настоящее время киберпреступники имеют на своем вооружении технические средства, которые мало чем уступают по своей эффективности современным спецслужбам. И не последнюю роль в этом играют баснословные прибыли хакеров, которые уже превосходят прибыли наркобаронов и составляют более $400 000 000. Поэтому, перед лицом все более многогранных угроз безопасности информации, государственные и частные организации вынуждены использовать сложные и многослойные средства защиты. В ином случае информационная защита будет сломана преступниками.

Немного истории

В средние века деревянные ворота славились своей прочностью. Как правило, типичные ворота изготовлялась из двух слоев дубовых досок. Древесное волокно располагали вертикально во внешнем слое и горизонтально — во внутреннем, получалось нечто вроде упрощенной фанеры. Железные гвозди скрепляли два слоя досок между собой, а вся конструкция еще усиливалась железными полосами. Сами гвозди торчали остриями наружу так, чтобы повредить оружие тех, кто попытается прорваться через такие ворота.

Принципы защиты

Многоуровневую защиту практиковали с древних времен: Если враг прорывался через первый кордон, ему приходилось преодолевать еще несколько, неся ощутимые потери на своем пути, что препятствовало взятию укрепленных позиций.

Корпоративная сеть Stealthphone строится по этому же принципу. Традиционно, системы защиты информации мобильных телефонов и компьютеров встраиваются в них. На первый взгляд это удобно. Но обеспечивает ли такой подход реальную защиту? Не всегда. Дело в том, что злоумышленники в первую очередь нацеливают свои атаки именно на то, чтобы сломать эту защиту. Поэтому мы и создали универсальный шифратор Stealthphone Hard, который защищает информацию в мобильных телефонах и компьютерах, и в то же время не является их составной частью. Процедура шифрования информации отделена от процедуры её передачи. Тем самым достигается максимальная безопасность передаваемой информации. Stealthphone Hard имеет собственную операционную систему, написанную на языке низкого уровня, и выполнен по требованиям военного стандарта TEMPEST, исключающего опасные электромагнитные излучения, позволяющие влиять на стойкость шифрования, поэтому вероятность того, что злоумышленники могут дешифровать информацию, ничтожно мала. Многоуровневая система защиты информации в корпоративной сети Stealthphone обеспечивает надежную защиту практически от любых атак со стороны злоумышленников.

Коммуникационная часть сети состоит из набора выделенных серверов, использующих интернет-каналы. Уникальной особенностью корпоративной сети Stealthphone является возможность защищенной голосовой связи по каналам интернет (протокол VoIP) не только в рамках собственной сети, но и по каналам широко используемых сетей и систем связи, таких как:

• голосовой канал мобильных систем: GSM, CDMA и т.д.;
  
  
• голосовой канал спутниковых систем: Inmarsat и т.д.;
  
  
• аналоговые телефонные сети (PSTN);
  
  
• системы IP-телефонии: Skype, Viber и т.д.

Корпоративная сеть Stealthphone содержит в себе следующие компоненты:

• систему управления сетью, включающую подсистему управления секретными ключами;
  
  
• систему коммуникационных серверов;
  
  
• абонентское оборудование – совокупность программных и аппаратных средств абонентов сети.

Все три компонента сети являются масштабируемыми и вариативными по функциональным возможностям и степени защищенности. Таким образом, корпоративная сеть Stealthphone, в качестве решения для клиента, может быть оптимизирована под его задачи и потребности.

Абоненты одной корпоративной сети Stealthphone не обязательно должны принадлежать одному юридическому лицу – это может быть произвольная группа лиц, доверяющих управление сетью своему администратору.

Корпоративная сеть Stealthphone может использоваться как небольшой группой лиц, так и обслуживать крупнейшие корпорации и государственные структуры.

Система управления секретными ключами и логической структурой сети

Управлением секретными ключами абонентов и логической структурой сети производится из единого центра, условно – администратором сети.

Администратор корпоративной сети создает и поддерживает в актуальном состоянии базу данных абонентов сети, определяет группы (не обязательно непересекающиеся) абонентов, внутри которых возможен защищенный обмен информацией.

Управление ключами производится на основе предварительного обмена секретными ключами между абонентами сети. Администратор корпоративной сети производит выработку и распределение секретных ключей парной связи для всех абонентов корпоративной сети Stealthphone. В его функции также входит плановая или внеплановая замена ключей.

Функции управления секретными ключами абонентов и логической структурой сети администратор реализует через программный комплекс Stealthphone Key.

Для обеспечения высочайшего качества вырабатываемых ключей программный комплекс Stealthphone Key может быть дооборудован выполненным по стандартам TEMPEST устройством Stealthphone Key Hard, являющимся аппаратным генератором ключевой информации.

Система коммуникационных серверов корпоративной сети Stealthphone

Коммуникационная часть сети состоит из набора выделенных серверов, использующих каналы сети интернет. Через коммуникационные сервера в рамках корпоративной сети происходит обмен зашифрованной информацией (речь, почта, короткие сообщения, файлы и т.д.). Никакие процедуры шифрования информации на серверах не производятся, и администраторы сети не имеют доступа к передаваемой информации.

Управления серверами осуществляется клиентом через предоставляемую ему подсистему управления серверами.

Клиенты компании МТТ имеют возможность спроектировать и развернуть (реализуется компанией МТТ) собственную систему коммуникационных серверов, исходя из нагрузки, требуемой топологии, особенностей географического размещения и других критериев, либо арендовать серверы у компании МТТ.

Абонентское оборудование корпоративной сети Stealthphone

Абонентом корпоративной сети Stealthphone может быть либо отдельное физическое лицо, либо офис (групповой абонент), оборудованный внутренней телефонной сетью.

Для доступа к сервисам корпоративной сети Stealthphone абонент должен обладать абонентским оборудованием, с предварительно загруженным в него массивом секретных ключей для связи с другими абонентами.

Вариантами абонентского оборудования для физического лица являются: программный шифратор Stealthphone Soft или аппаратный шифратор Stealthphone Hard. Для группового абонента – офиса – таким оборудованием является программно-аппаратный комплекс Office Gate.

Программный шифратор Stealthphone Soft является приложением, совместимым с большинством мобильных операционных систем (Android, Windows Phone, iOS, BlackBerry). Приложение спроектировано и реализовано с учетом требований инженерной криптографии. Легко устанавливается, имеет понятный интерфейс и реализует функции обмена зашифрованной информацией (речь, почта, мгновенные текстовые сообщения, файлы и т.д.) через коммуникационные сервера корпоративной сети Stealthphone. Для доступа к сервисам сети требуется доступ в интернет.

Stealthphone Hard представляет собой уникальный аппаратный шифратор, выполненный в соответствии с самыми высокими требованиями (включающими стандарт TEMPEST), предъявляемыми к оборудованию по защите информации. Концепция шифратора состоит в том, что он предназначен для выполнения функций шифрования данных, генерации и хранения ключей, в то время как функции передачи данных возлагаются на мобильное устройство или компьютер, к которому подключается Stealthphone Hard. Stealthphone Hard совместим практически со всеми типами мобильных устройств и компьютеров и подключается к ним либо по Bluetooth либо через USB.

Аппаратный шифратор Stealthphone Hard может работать в нескольких режимах:

• Режим работы через коммуникационные сервера сети Stealthphone. В этом режиме абоненту доступны те же защищенные сервисы (шифрование речи, почты, мгновенных текстовых сообщений и файлов), что и при использовании Stealthphone Soft. Шифратор подключается к смартфону, с установленным приложением Stealthphone Sec, которое выполняет интерфейсные и коммуникационные функции, а все функции шифрования выполняются внутри Stealthphone Hard. В данном режиме Stealthphone Hard и Stealthphone Soft полностью совместимы, связь между абонентами возможна при условии доступа в интернет;
  
  
• Режим шифрования речи по внешним каналам связи (операторы мобильной связи, спутниковые системы связи, аналоговые телефонные линии, приложения IP-телефонии). В данном режиме работы Stealthphone Hard подключается как обычная внешняя гарнитура к соответствующему устройству (мобильному, спутниковому или городскому телефону, а также смартфону или компьютеру с установленным приложением IP-телефонии) и обеспечивает шифрование речевого трафика с другим абонентом сети, использующим Stealthphone Hard;
  
  
• Режим шифрования данных, хранящихся на компьютере. В данном режиме Stealthphone Hard подключается к компьютеру (Windows или Mac Os) через USB и выполняет функции аппаратного шифратора логических дисков или отдельных файлов. Данный режим работы может использоваться не только для защиты информации на компьютере, но и для обмена с абонентами сети предварительно зашифрованными файлами, используя любые почтовые сервисы (Gmail, MSN, Yahoo и т.п.) или социальные сети (Facebook, Twitter и т.п.).

OfficeGate представляет собой криптошлюз между офисной телефонной сетью и остальными абонентами корпоративной сети Stealthphone. OfficeGate позволяет защищать телефонные соединения между абонентами корпоративной сети Stealthphone и сотрудниками офиса, или между сотрудниками двух различных офисов, оборудованных OfficeGate, причем шифрование речи происходит на отрезке между абонентом сети и криптошлюзом OfficeGate (или между двумя OfficeGate). Внутри офисной телефонной сети речь передается в открытом виде. Посредством OfficeGate абонент корпоративной сети Stealthphone может производить звонки абонентам вне корпоративной сети Stealthphone путем установления защищенного голосового соединения с OfficeGate, расшифровывания голоса и дальнейшей переадресации вовне через офисную телефонную сеть.