Засоби захисту IP-трафіку

Апаратні IP-шифратори

 • CryptoIP-459

IP-шифратор "CryptoIP-459" (ТУ У 26.2-32248356-022:2014, експертний висновок ДССЗЗІ України 04/03/02-1056 від 29.04.2020) призначений для криптографічного захисту інформації з обмеженим доступом (крім службової інформації та інформації, що становить державну таємницю) та відкритої інформації, вимога щодо захисту якої встановлена законом.

ІР-шифратор забезпечує крізне шифрування IP-трафіку, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації.

У пристрої реалізуються алгоритми криптографічного захисту інформації:

 • шифрування — ДСТУ ГОСТ 28147:2009
 • функція ґешування — ГОСТ 34.311-95
 • електронного цифрового підпису - ДСТУ 4145-2002
 • формування сеансового ключа - ДСТУ ISO/IEC 15946-3:2006

На базі пристроїв можуть бути побудовані криптографічні системи:

 • з відкритими ключами і підтримкою архітектури PKI
 • з відкритими ключами і ручним розподілом сертифікатів абонентів

Пристрій підтримує:

 • Два інтерфейси 10/100Base-Т(TX) для підключення до глобальної мережі
 • Два інтерфейси 10/100Base-Т(TX) для підключення до локальної мереж
 • USB 2.0 — для підключення до ПК локальне управління
 • CryptoIP-459D/DL

ІP-шифратори "CryptoIP-459D/DL" призначені для криптографічного захисту службової інформації, забезпечують крізне шифрування IP-трафику, який передається між захищеними локально обчислювальними мережами через ІР-мережу загального користування. "CryptoIP-459D/DO" є основою для створення віртуальних приватних мереж (VPN) з шифруванням інформації

В пристроях реалізуються алгоритми:

 • Шифрування — ДСТУ ГОСТ 28147:2009
 • Функція ґешування — ГОСТ 34.311-95
 • Електронного цифрового підпису — ДСТУ 4145-2002
 • Формування сеансового ключа — ДСТУ ISO/IEC 15946-3:2006

На базі пристроїв можуть бути побудовані криптографічні системи:

 • З відкритими ключами і підтримкою архітектури PKI
 • З відкритими ключами і ручним розподілом сертифікатів абонентів
 • З симетричною криптографією

Пристрої підтримують інтерфейси:

 • Два 10/100Base-Т для підключення до глобальної мережі
 • Два 10/100Base-Т в "CryptoIP-459D" для підключення до локальної мережі
 • Один 100Base-FX в "CryptoIP-459DO" для підключення до локальної мережі
 • USB 2.0 — для підключення до ПЕВМ (конфігурація)

Програмний IP-шифратор CryptoIP VPN Client/Server

Програмний ІР-шифратор CryptoIP VPN Client /Server – представлений двома модифікаціями програмного забезпечення, що реалізують два режими роботи:

 • CryptoIP VPN Client – режим "станція";
 • CryptoIP VPN Server – режим "шлюз".

Модифікації надають різні можливості щодо їх підключення до мережі та не є взаємозамінними.

Режим "станція" передбачає встановлення ПЗ ІР-шифратора безпосередньо на клієнтський ПК, при цьому ПК клієнта підключається до мережі загального користування, але одночасно містить в собі також сегмент мережі, що захищається. З цією метою на ПК встановлюється додатковий логічний мережевий інтерфейс, що призначений для передачі зашифрованої інформації.

Режим "шлюз" передбачає встановлення ІР-шифратора на виділений сервер, який має два фізичних мережевих інтерфейси. Один інтерфейс підключається до мережі загального користування, другий інтерфейс підключається до ЛОМ, в якій обробляється інформація, що підлягає криптографічному захисту. Інформація, що проходить крізь шлюз зашифровуються та розшифровується (в залежності від напрямку) ІР-шифратором в режимі реального часу.

CryptoIP VPN Client/Server здійснює шифрування пакетів IP-трафіку, інкапсуляцію зашифрованих пакетів в нові пакети і передачу останніх IP- шифратору абонента, якому адресуються дані. При цьому забезпечується конфіденційність, цілісність і автентичність змісту IP-пакетів.

Криптографічні алгоритми, що реалізуються:

 • Шифрування — ДСТУ 7624:2014 «Калина-128/256», AES-256, ДСТУ ГОСТ 28147:2009
 • Функція хешування — ДСТУ 7564:2014 «Купина-256», SHA-256, ГОСТ 34311:95
 • Електронний цифровий підпис — ДСТУ 4145-2002
 • Формування сеансового ключа — по схемі Діффі-Хеллмана з використанням еліптичних кривих згідно ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для ДСТУ 7624:2014), ДСТУ ISO/IEC 15946-3:2006, RFC 2631 (для AES-256), Наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України 18.12.2012 № 739 (для ДСТУ ГОСТ 28147:2009)

У шифраторі реалізована можливість одночасного використання всіх заявлених алгоритмів шифрування у одній захищеній мережі для усіх видів криптографічних систем.

Переваги використання:

 • Високий рівень захисту ключової інформації за рахунок використання, спеціального контролера безпеки на рівні Common Сriteria EAL5+
 • Високий рівень захисту доступу до захищеної мережі за рахунок використання носія ключової інформації і двофакторної аутентифікації
 • Низькі витрати на придбання (порівняно з апаратними шифраторами)
 • Зручний інтерфейс користування
 • Робота до 4 років без необхідності зміни ключів на носії ключових даних
 • Відповідність законодавчій базі України

Інфраструктурне програмне забезпечення

 • CryptoProxy

Комп’ютерна програма "Спеціальне програмне забезпечення сервера "CryptoProxy"

Використання протокольного шлюзу CryptoProxy забезпечує простоту реструктуризації і масштабування захищених мереж VPN. Програмне забезпечення CryptoProxy призначене для обслуговування запитів IP-шифраторів абонентів, які належать до однієї захищеної VPN.

CryptoProxy виконує наступні функції:

 • приймання запитів IP-шифраторів на здобуття відкритих ключів користувачів VPN, з якими необхідно встановити з'єднання;
 • передачу IP-шифраторам запитаних відкритих ключів або відмову в передачі ключів.

CryptoProxy безпосередньо не бере участь в передачі конфіденційної інформації і не забезпечує її конфіденційність. Протокольний шлюз CryptoProxy забезпечує цілісність передачі сертифікатів і самих відкритих ключів до IP-шифраторів.

 • CryptoIP-403

Центр генерації та запису ключових даних (ЦГЗКД) "CryptoIP-403" призначений для генерації ключових і інших документів управління ключами криптографічно захищених IP мереж.

ЦГЗКД забезпечує управління ключами захищених IP мереж на базі апаратних та програмних IP-шифраторів, призначених для захисту конфіденційної інформації.

ЦГЗКД задає один з трьох режимів роботи кожної захищеної мережі:

 • з відкритими ключами і підтримкою архітектури PKI;
 • з відкритими ключами і ручним розподілом сертифікатів абонентів;
 • з симетричною криптографією.

ЦГЗКД виконує наступні основні функції:

 • введення структури захищеної мережі;
 • генерацію і запис ключових даних на носії ключової інформації;
 • генерацію файлів запитів на отримання сертифікатів відкритих ключів і генерацію даних про структуру мережі для ЦУ VPN;
 • персоналізацію IP-шифраторів;
 • збереження інформації про структуру і абонентів мережі;
 • формування вихідних документів (звітів) про виконані дії.
 • CryptoIP-411D

ПЗ "Центр управління засобами криптографічного захисту ІР-трафіку "CryptoIP-411D"

Складається з двох комп’ютерних програм:

 1. ЦУ-менеджер (експертний висновок ДССЗЗІ України № 04/03/02-882 від 09.04.2020р)
 2. ЦУ-монітор (експертний висновок ДССЗЗІ України № 04/03/02-884 від 09.04.2020 р)

Центр управління "менеджер" – це програмно-апаратний засіб, призначений для обслуговування носіїв ключової інформації, що використовуються в системі засобів криптографічного захисту інформації CryptoIP.

Комп’ютерна програма виконує наступні функції:

 • введення структури мережі або завантаження і редагування раніше введеної структури мережі, збереження відредагованої структури мережі у файлі;
 • генерацію ключових даних для кожного абонента мережі відповідно до схеми зв'язності абонентів і збереження структури;
 • завдання режиму і параметрів роботи мережі;
 • запис ключових даних на мікропроцесорний НКІ (USB-ключ, SIM-карту, смарт-карту);
 • персоналізація IP-шифраторів і збереження ключових даних персоналізації;
 • формування і експорт файлу структури мережі для центру управління VPN;
 • видачу звіту про генерацію ключових даних і їх запису на носії;
 • знищення всіх ключових даних і параметрів після завершення роботи;
 • ведення журналу подій.

Загальний вигляд головного вікна складається з трьох вікон:

 • Вікно головної форми відображує список всіх абонентів.
 • Друге вікно відображує параметри генерації ключових даних.
 • Третє вікно відображує структуру мережі і стан процесу формування КД для кожного абонента.

Центр управління "Монітор" призначений для моніторингу криптографічної мережі, побудованої на базі систем засобів CryptoIP

Комп’ютерна програма  реалізує безперервний процес управління, протягом якого здійснюється:

 • збір інформації про стан елементів VPN;
 • відображення стану елементів мережі і історії зміни параметрів для оцінки поточного стану мережі;
 • підтримка вироблення рішення про втручання в роботу мережі;
 • інтерактивний набір і видачу команд;
 • протоколювання подій в мережі і команд управління.