Оценка безопасности криптографических решений
Построение модели рисков активов приложения и самого приложения в контексте возможных атак с применением квантовых компьютеров.
Фундаментальной проблемой для большинства существующих сегодня решений является использование асимметричных алгоритмов шифрования и получения секретных ключей. Данные алгоритмы уязвимы перед высокопроизводительным квантовым компьютером, так как он способен эффективно решать лежащие в их основе математические проблемы, которые классические компьютеры не способны решить за обозримое время
Построение модели рисков активов приложения и самого приложения в контексте возможных атак с применением квантовых компьютеров.
Фундаментальной проблемой для большинства существующих сегодня решений является использование асимметричных алгоритмов шифрования и получения секретных ключей. Данные алгоритмы уязвимы перед высокопроизводительным квантовым компьютером, так как он способен эффективно решать лежащие в их основе математические проблемы, которые классические компьютеры не способны решить за обозримое время
Рассчитать стоимость услуги
Цели проведения оценки
- Анализ текущей реализации продукта, поиск уязвимостей, вызванных некорректной имплементацией существующих криптографических алгоритмов и интеграцией сторонних решений
- Анализ угроз для используемых алгоритмов и активов с точки зрения существования квантового компьютера (устойчивость к квантовой угрозе)
Формат работы
- Ведение проекта и предоставление экспертизы, технической и научной
- Составление отчета по результатам проведенного анализа
- Составление рекомендаций относительно найденных проблем в текущей реализации
Результат оценки
По результатам проведенной оценки команда предоставляет клиенту отчет, в котором отражены детали технических работы, цели проекта, описание продукта и его архитектуры, а также проблемы и уязвимости и рекомендации к их исправлению. Клиент может потребовать уточнения в конечном отчете относительно представленной информации и дополнительные итерации рецензирования документа и внесения поправок в него
- Обзор архитектуры проекта
- Перечисление активов и методов их защиты
- Общие замечания относительно включенных в его состав механизмов защиты
- Описание функциональных возможностей проекта
- Модель атакующего и его сценарии
- Список уязвимостей
- Оценка представленных результатов по времени
- Включенные в состав проекта криптографические алгоритмы и материалы
- Предоставленные и использованные материалы
Подробнее об оценке безопасности
Наши эксперты проводят оценку безопасности криптографических решений с учетом стандартов и рекомендаций следующих организаций:
- ФСБ
- NIST
Для проведения оценки проекта в формате открытого тестирования нашим специалистам необходимо следующее:
Следует понимать, что оценка проводится для конкретной версии кода на момент его предоставления. Внесение изменений в оцениваемую версию следует производить по согласованию с нашей командой, так как они могут повлиять на сроки выполнения оценки. Рекомендуется сосредоточить изменения на проблемах безопасности решений, обнаруженных в ходе оценки
- Исходный код проекта. Опциональным условием является доступ к системе контроля версий
- Техническая и проектная документация проекта
- Связь с техническими специалистами со стороны клиента для уточнения технических деталей работы проекта
Следует понимать, что оценка проводится для конкретной версии кода на момент его предоставления. Внесение изменений в оцениваемую версию следует производить по согласованию с нашей командой, так как они могут повлиять на сроки выполнения оценки. Рекомендуется сосредоточить изменения на проблемах безопасности решений, обнаруженных в ходе оценки
Для эффективного проведения оценки существуют общие положения, сводящиеся к налаженному взаимодействию между клиентами и нашей командой. Перед началом проведения проекта необходимо предоставить контакты технических специалистов клиента, способных в рабочие часы провести сопровождение предоставленного решения. В задачи нашей группы не входит функциональное тестирование криптографических решений, однако информация о любых отклонениях от ожидаемого поведения в работе решения будет предоставлена в полном объеме.
Среди прочего необходимо еще раз подчеркнуть, что информация об уязвимостях, представленная на этапе проведения тестирования, не является поводом для их устранения на этапе проведения тестирования. Наша команда проводит оценку конкретной версии. Небольшие правки допустимы, но ожидается, что они не будут выходить за пределы минимально необходимых:
Повторные итерации оценки должны быть согласованы перед проведением проекта. Формат промежуточных отчетов, а также их частота должны быть также согласованы заранее.
Среди прочего необходимо еще раз подчеркнуть, что информация об уязвимостях, представленная на этапе проведения тестирования, не является поводом для их устранения на этапе проведения тестирования. Наша команда проводит оценку конкретной версии. Небольшие правки допустимы, но ожидается, что они не будут выходить за пределы минимально необходимых:
- Исключают рефакторинг
- Форматирование кода
- Внесения изменений в функциональные аспекты проекта, не относящиеся к его работоспособности и безопасности
Повторные итерации оценки должны быть согласованы перед проведением проекта. Формат промежуточных отчетов, а также их частота должны быть также согласованы заранее.
Команда специалистов производит оценку в формате открытого тестирования.
Оценка включает в себя следующие задачи:
По результатам завершенных работ по оценке текущей реализации клиент может запросить по согласованию дополнительные итерации оценки в целях проверки внесенных изменений с учетом наших рекомендаций.
Предлагаемое тестирование сосредоточено на используемых криптографических алгоритмах, их имплементации, модели защиты данных, а также угроз активам приложения в случае появления квантового компьютера. Оценка проводится с учетом существующих рекомендаций относительно используемых алгоритмов и криптографических материалов.
Оценка включает в себя следующие задачи:
- Анализ дизайна и архитектуры проекта
- Анализ сводной документации
- Изучение исходного кода продукта
- Подготовка финального отчета и согласование его с заказчиком
По результатам завершенных работ по оценке текущей реализации клиент может запросить по согласованию дополнительные итерации оценки в целях проверки внесенных изменений с учетом наших рекомендаций.
Предлагаемое тестирование сосредоточено на используемых криптографических алгоритмах, их имплементации, модели защиты данных, а также угроз активам приложения в случае появления квантового компьютера. Оценка проводится с учетом существующих рекомендаций относительно используемых алгоритмов и криптографических материалов.
В ходе оценки наша команда проводит ревью текущей реализации и исходного кода проекта, выставляя акцент на следующие аспекты:
- Используемые алгоритмы, их конечная реализация и режим работы
- Защита данных на конечных узлах и при передаче
- Качество интеграции сторонних решений и механизмов защиты
- Оценка угрозы квантового компьютера
В зависимости от типа проекта распределение времени на активность наших аналитиков может варьироваться.
Среди ключевых активностей в контексте проекта можно выделить следующие:
Среди ключевых активностей в контексте проекта можно выделить следующие:
- Ознакомление с документацией\структурой проекта
- Проверка функциональных возможностей проекта, установка и настройка решения
- Анализ исходного кода проекта
- Поиск уязвимостей в самом решении
- Написание и согласование финального отчета
Сопутствующие услуги и продукты