Захищений Web-сервер призначений для організації захисту HTTP-з'єднань за протоколом HTTPS/TLS будується з використанням програмного комплексу криптографічного захисту мережевих TLS-з'єднань "Шифр-Web".
Безпосередньо у якості web-серверу може будти використано:
- Web-сервер NGINX
- Балансувальник HAProxy
Програмний комплекс надається у вигляді набору динамичних бібілотек:
- Cipher Engine for OpenSSL, ядром якого є бібліотека криптографічних перетворень «Шифр+» v2.1, яка має чинний експертний висновок у сфері КЗІ №04-1022/ВС1 від 21.08.2022. Cipher Engine for OpenSSL встановлюється як доповнення до встановленого в операційну систему OpenSSL v1.1.0.
- Cipher NGINX-addon for NGINX, який контролює навність відповідної версії OpenSSL та Cipher Engine for OpenSSL, інформує web-сторінку про використання захищеної сесії.
- Cipher HAProxy-addon for HAProxy, який контролює навність відповідної версії OpenSSL та Cipher Engine for OpenSSL, інформує web-сторінку про використання захищеної сесії.
Спрощена схема побудови програмного комплексу криптографічного захисту мережевих TLS-з'єднань "Шифр-Web" та специфіка побудови TLS наведена на рисунку нижче.
Можливі схеми побудови HTTPS/TLS з використанням програмного комплексу криптографічного захисту мережевих TLS-з'єднань "Шифр-Web" разом з web-сервером NGINX, коли підлеглі web-сервери можуть знаходиться, як на одному, так і на віддаленому сервері (потребує організації захищеного каналу).
Можливі схеми побудови HTTPS/TLS з використанням програмного комплексу криптографічного захисту мережевих TLS-з'єднань "Шифр-Web" разом з балансувальником і зворотнім proxy HAProxy, коли підлеглі web-сервери можуть знаходиться, як на одному, так і на віддаленому сервері (потребує організації захищеного каналу).
Програмний комплекс криптографічного захисту мережевих TLS-з'єднань «Шифр-WEB» може надаватися у вигляді віртуального аплаєнсу.
Підтримувані криптоалгоритми:
-
Шифрування:
- AES. Режими: OFB, CTR, CBC, CFB, ECB, AHEAD
-
Електронний підпис:
- RSA. Підтримується ключ двійкової довжини: 1024, 2048, 3072, 4096, 7168, 8192, 15360, 16384 біт
- ECDSA. Криві: prime192v1, secp224r1, prime256v1, secp384r1, secp521r1, sect163r2, sect233r1, sect283r1, sect409r1, sect571r1
- EdDSA. Криві: edwards25519, edwards448
-
Геш функції:
-
Узгодження ключів:
- ECDH: Криві: prime192v1, secp224r1, prime256v1, secp384r1, secp521r1, sect163r2, sect233r1, sect283r1, sect409r1, sect571r1
- EdCDH. Криві: X25519, X448
-
ПВП. Алгоритми:
-
NIST SP 800-90A rev.1
-
Hash-DRBG
- SHA-2
- SHA-3
- ДСТУ 7564:2014
-
ДСТУ 4145-2002
- ГОСТ 28147-89
- AES
- ДСТУ 7624:2014
- ДСТУ 8845:2019
- Підтримуються апаратні джерела ентропії