Тунелі

ERP/1: Тунелі (zencrypted/vpn) — високопродуктивна система побудови захищених децентралізованих тунелів (L2/L3) на базі віртуальної машини Erlang/OTP. Продукт забезпечує криптографічний захист інформації в реальному часі та інтегрований з повноцінною інфраструктурою PKI (Центр сертифікації, EST, CMP, OCSP, TSP, LDAP) відповідно до вимог військових стандартів та КСЗІ.

Опис

ERP/1 VPN виводить мережеву безпеку на рівень Military-Grade. Завдяки реалізації на віртуальній машині BEAM (Erlang/OTP), система пропонує децентралізовані, захищені шифруванням віртуальні канали зв'язку через драйвери TUN/TAP з нульовою ймовірністю типових вразливостей переповнення буфера чи витоку пам'яті.

Продукт функціонує відповідно до Профілю безпеки Рівня 2 (L2: VPN & PKI Infrastructure Security Profile). Він розширює базовий рівень захисту специфічними заходами для віртуальних мереж, апаратного шифрування, автоматизованого управління життєвим циклом ключів та інтеграції з децентралізованими цифровими документами (EUDI Wallet) та корпоративними каталогами (LDAP).

Криптографічний захист та специфікації

Шифрування даних

  • ChaCha20-Poly1305 AEAD
  • AES-256-GCM
  • Криптографічний захист In-Transit

Мережевий рівень

  • L2/L3 Тунелювання (tunctl)
  • UDP Транспорт
  • Запобігання Split Tunneling

Ідентифікація

  • X.509 Кваліфіковані Сертифікати
  • Mutual TLS (IA-5(2))
  • EUDI Wallet / LDAP

Автоматизація управління

  • CMP та EST протоколи (SC-12)
  • Неспростовність дій (AU-10(5))
  • Мітки часу TSP / CMS

Параметри безпеки (L2: VPN & PKI)

Відповідно до профілю безпеки CA.L3.VPN, система реалізує комплекс технічних та криптографічних контролів для надійного захисту віртуальної інфраструктури:

VPN & Мережевий доступ (AC-17, SC-7, SC-10, SC-23)

  • Шифрування та моніторинг (AC-17(1,2,9)): Весь трафік тунелю повністю шифрується. Система забезпечує безперервний моніторинг підключень з можливістю примусового розриву сесії адміністратором на льоту.
  • Заборона Split Tunneling (SC-7(7)): Маршрутизація всього мережевого трафіку здійснюється через захищений VPN-канал для уникнення витоку даних поза криптографічним периметром.
  • Розрив сесій (SC-10 / SC-23): Автоматичний розрив VPN сесії при відсутності активності та додатковий криптографічний захист сесій після їх встановлення.

Інфраструктура відкритих ключів (IA-5, IA-7, SC-12, SC-17, SC-49, SC-51, AU-10)

  • Mutual TLS (IA-5(2)): Строга автентифікація на основі відкритого ключа для кожного підключення.
  • Автоматизація ключів (SC-12 / SC-17): Автоматичний випуск, верифікація та відкликання сертифікатів через стандарти CMP та EST.
  • Неспростовність дій (AU-10(5)): Використання міток часу (TSP) та цифрових підписів (CMS) для фіксації системних подій.
  • Захист ключів CA (IA-7 / SC-49 / SC-51): Обов'язкове використання апаратних модулів безпеки (HSM) для захисту приватних ключів CA/OCSP/TSP.

Каталог та Ідентифікація (IA-2, IA-4, AC-2, AC-3)

  • Багатофакторна автентифікація (IA-2(11,12)): Підтримка MFA, кваліфікованих сертифікатів та криптографічних цифрових гаманців EUDI Wallet для доступу.
  • Керування ідентифікаторами (IA-4): Інтеграція з централізованими каталогами LDAP.
  • Контроль доступу (AC-2 / AC-3): Управління обліковими записами та жорсткі політики доступу (ABAC).

Криптографічний захист даних (SC-8, SC-28)

  • Захист у русі (SC-8(1)): Шифрування та забезпечення цілісності пакетів у процесі мережевої передачі.
  • Захист у спокої (SC-28(1)): Шифрування баз даних LDAP каталогів та конфігураційних файлів у сховищі.

Безпекові переваги платформи Erlang/OTP (BEAM)

Реалізація VPN на базі віртуальної машини BEAM (Erlang) надає системі унікальні архітектурні переваги для захисту мережевих тунелів, виключаючи цілі класи класичних вразливостей:

SI-16: Безпека пам'яті

Унеможливлює Buffer Overflow та Use-After-Free атаки, які є основним вектором компрометації класичних C/C++ серверів VPN.

SC-39: Ізоляція процесів

Кожен тунель обслуговується окремим ізольованим процесом зі своїм збирачем сміття (GC). Скомпрометований чи аварійний процес не впливає на інші тунелі.

SI-13: Автоматичне відновлення

Завдяки деревам супервізорів (Supervision Trees), будь-які неочікувані збої мережі чи девайсів автоматично перезапускають з'єднання без простою всієї системи.

Специфікації та нормативна база

Продукт ERP/1 VPN та його профіль безпеки повністю відповідають вимогам технічного захисту інформації в Україні (НД ТЗІ 3.6-006-24, гармонізований з NIST SP 800-53), забезпечуючи повний мапінг вимог законодавства на технічні заходи захисту:

Національні стандарти (НД ТЗІ)

  • НД ТЗІ 3.6-006-24 — Профілі безпеки для державних реєстрів та систем
  • НД ТЗІ 2.3-025-24 — Захист інформації в інформаційно-комунікаційних системах
  • ДСТУ 4145-2002 / ДСТУ 7624:2014 — Вітчизняні стандарти підпису та шифрування

Міжнародні вимоги та NIST

  • NIST SP 800-53 Rev. 5 — Каталог контролів безпеки та приватності
  • RFC 5652 / RFC 5751 — Формат повідомлень CMS/S-MIME
  • EST (RFC 7030) / CMPv2 (RFC 4210) — Автоматизований менеджмент сертифікатів

Відкритий код