Оценка безопасности криптографических решений
Целью оценки криптографических решений является построение модели рисков активов приложения и самого приложения перед угрозой возникновения квантового компьютера. Фундаментальной проблемой для существующих решений является использование асимметричных алгоритмов шифрования и получения секретных ключей. Данные алгоритмы уязвимы перед квантовым компьютером, так как он способен эффективно решать лежащие в их основе математические проблемы, которые классические компьютеры не способны решить за обозримое время.
Цели проведения оценки
Анализ текущей реализации продукта, поиск уязвимостей, вызванных некорректной имплементацией существующих криптографических алгоритмов и интеграцией сторонних решений.
Анализ угроз для используемых алгоритмов и активов с точки зрения существования квантового компьютера.
Составление отчета по результатам проведенного анализа, включающего рекомендации относительно найденных проблем в текущей реализации.
Сопровождение проекта и предоставление экспертизы, технической и научной.
Результат оценки
По результатам проведенной оценки команда предоставляет клиенту отчет, в котором отражены детали технических работы, цели проекта, описание продукта и его архитектуры, а также проблемы и уязвимости и рекомендации к их исправлению. Клиент может потребовать уточнения в конечном отчете относительно представленной информации и дополнительные итерации рецензирования документа и внесения поправок в него.
Обзор архитектуры проекта
Перечисление активов и методов их защиты
Включенные в состав проекта криптографические алгоритмы и материалы
Общие замечания относительно включенных в его состав механизмов защиты
Описание функциональных возможностей проекта
Список уязвимостей
Модель атакующего и его сценарии
Оценка представленных результатов по времени
Предоставленные и использованные материалы
Команда специалистов производит оценку в формате открытого тестирования.
Оценка включает в себя следующие задачи:
По результатам завершенных работ по оценке текущей реализации, клиент может запросить по согласованию дополнительные итерации оценки в целях проверки внесенных изменений с учетом наших рекомендаций.
Предлагаемое тестирование сосредоточено на используемых криптографических алгоритмах, их имплементации, модели защиты данных, а также угроз активам приложения в случае появления квантового компьютера. Оценка проводится с учетом существующих рекомендаций относительно используемых алгоритмов и криптографических материалов.
Оценка включает в себя следующие задачи:
- Анализ дизайна и архитектуры проекта;
- Анализ сводной документации;
- Изучение исходного кода продукта;
- Подготовка финального отчета и согласование его с заказчиком.
По результатам завершенных работ по оценке текущей реализации, клиент может запросить по согласованию дополнительные итерации оценки в целях проверки внесенных изменений с учетом наших рекомендаций.
Предлагаемое тестирование сосредоточено на используемых криптографических алгоритмах, их имплементации, модели защиты данных, а также угроз активам приложения в случае появления квантового компьютера. Оценка проводится с учетом существующих рекомендаций относительно используемых алгоритмов и криптографических материалов.
Наши эксперты проводят оценку безопасности криптографических решений с учетом стандартов и рекомендаций следующих организаций:
- ФСБ
- NIST
В ходе оценки наша команда проводит ревью текущей реализации и исходного кода проекта, выставляя акцент на следующие аспекты:
- Используемые алгоритмы, их конечная реализация и режим работы;
- Защита данных на конечных узлах и при передаче;
- Качество интеграции сторонних решений и механизмов защиты;
- Оценка угрозы квантового компьютера.
Для проведения оценки проекта в формате открытого тестирования нашим специалистам необходимо следующее:
Следует понимать, что оценка проводится для конкретной версии кода на момент его предоставления. Внесение изменений в оцениваемую версию следует производить по согласованию с нашей командой, т.к. они могут повлиять на сроки выполнения оценки. Рекомендуется сосредоточить изменения на проблемах безопасности решений, обнаруженных в ходе оценки.
- Исходный код проекта. Опциональным условием является доступ к системе контроля версий;
- Техническая и проектная документация проекта;
- Связь с техническими специалистами со стороны клиента для уточнения технических деталей работы проекта.
Следует понимать, что оценка проводится для конкретной версии кода на момент его предоставления. Внесение изменений в оцениваемую версию следует производить по согласованию с нашей командой, т.к. они могут повлиять на сроки выполнения оценки. Рекомендуется сосредоточить изменения на проблемах безопасности решений, обнаруженных в ходе оценки.
Для эффективного проведения оценки существуют общие положения, сводящиеся к налаженному взаимодействию между клиентами и нашей командой. Перед началом проведения проекта необходимо предоставить контакты технических специалистов клиента, способных в рабочие часы провести сопровождение предоставленного решения. В задачи нашей группы не входит функциональное тестирование криптографических решений, однако информация о любых отклонениях от ожидаемого поведения в работе решения будет предоставлена в полном объеме.
Среди прочего необходимо еще раз подчеркнуть, что информация об уязвимостях, представленная на этапе проведения тестирования, не является поводом для их устранения на этапе проведения тестирования. Наша команда проводит оценку конкретной версии. Небольшие правки допустимы, но ожидается, что они не будут выходить за пределы минимально необходимых:
Повторные итерации оценки должны быть согласованы перед проведением проекта. Формат промежуточных отчетов, а также их частота должны быть также согласованы заранее.
Среди прочего необходимо еще раз подчеркнуть, что информация об уязвимостях, представленная на этапе проведения тестирования, не является поводом для их устранения на этапе проведения тестирования. Наша команда проводит оценку конкретной версии. Небольшие правки допустимы, но ожидается, что они не будут выходить за пределы минимально необходимых:
- Исключают рефакторинг;
- Форматирование кода;
- Внесения изменений в функциональные аспекты проекта, не относящиеся к его работоспособности и безопасности
Повторные итерации оценки должны быть согласованы перед проведением проекта. Формат промежуточных отчетов, а также их частота должны быть также согласованы заранее.
В зависимости от типа проекта, распределение времени на активность наших аналитиков может варьироваться.
Среди ключевых активностей в контексте проекта можно выделить следующие:
Среди ключевых активностей в контексте проекта можно выделить следующие:
- Ознакомление с документацией\структурой проекта;
- Проверка функциональных возможностей проекта, установка и настройка решения;
- Анализ исходного кода проекта;
- Поиск уязвимостей в самом решении;
- Написание и согласование финального отчета.
Сопутствующие услуги и продукты