Порядок верификации сертифицированных дистрибутивов, наборов обновлений и неизменных файлов установленных изделий

Перед установкой дистрибутива сертифицированного изделия и наборов сертифицированных обновлений, загруженных с Центра сертифицированных обновлений ЗАО «Профиль Защиты», необходимо провести их контроль целостности (верификацию) одним из следующих способов:

  • Проверить контрольные суммы (КС) дистрибутива и наборов обновлений изделия, указанных в Формуляре, с помощью сертифицированных средств контроля эффективности (целостности) средств защиты информации. Рассчитанная КС дистрибутива должна совпадать с КС, приведенной в Формуляре на изделие. А в случае наборов обновлений изделия – с КС наборов обновлений. КС сертифицированных обновлений изделий доступны для загрузки с Центра сертифицированных обновлений (рекомендуется загружать все файлы с ЦCO), а также в разделе Поддержка / Документация / Контроль соответствия СЗИ.
  • Проверить усиленную квалифицированную электронную подпись (ЭП), которой подписаны дистрибутив изделия или набор сертифицированных обновлений. ЭП должна принадлежать ЗАО «Профиль Защиты», в дистрибутиве и наборах сертифицированных обновлений должны отсутствовать изменения, ЭП не должна быть отозванной на момент подписания.

Рассмотрим варианты проверки (верификации) указанными выше способами.

Проверка контрольной суммы по алгоритму «Уровень-3»

Для расчета КС дистрибутива по алгоритму «Уровень-3» Вам понадобится сертифицированное ПО семейства ФИКС, или другое сертифицированное ПО, реализующее данный алгоритм.

Верификация с использованием программ ФИКС 2.0.1/ФИКС 2.0.2 (ОС Windows)

1. Запустите программу ФИКС 2.0.1 / ФИКС 2.0.2 и откройте вкладку «Задание».

2. В разделе «Режим» выберите «Фиксация версии» и установите флажок «Поиск дублей», в разделе «Алгоритм КС» установите «Уровень-3», в разделе «Код» выберите «Const-1»

3. В дереве дисков выберите диск/каталог с дистрибутивом/набором обновлений изделия (Рис.1).

1
Рис.1 – Главное окно программы ФИКС 2.0.2

4. Нажмите кнопку «Пуск». Начнется процесс расчета контрольных сумма файлов и директорий выбранного каталога.

5. По завершению расчета контрольных сумм выбранной директории во вкладке «Гл.Отчет» внизу таблицы будет выведена ее контрольная сумма.

2
Рис.2 – Окно отчета программы ФИКС 2.0.2

Верификация с использованием программы ФИКС Unix 1.0 (ОС Linux)

Предварительные операции

1. Скопируйте файл программы ФИКС-Unix 1.0 ufix на компьютер.

2. Откройте окно терминала. Для этого в директории с программой ufix кликните по свободному пространству правой кнопкой мыши и выберите пункт «Open in terminal».

3. Задайте программе ufix права на выполнение:

chomod 777 ufix

Внимание! При работе с программой ФИКС-Unix 1.0 в 64-х разрядных операционных системах может выдаваться ошибка /lib/ld-linux.so.2: bad ELF interpreter. Для устранения данной ошибки необходимо установить библиотеку glibc.i686.

Контроль целостности файлов, реализующих СЗИ (с использованием *.prj-файла)

1. Загрузите c Центра сертифицированных обновлений (предпочтительно) или из раздела Поддержка / Документация / Контроль соответствия СЗИ prj-файл, содержащий контрольные суммы файлов системы, реализующих средства защиты информации, прошедшие сертификацию.

2. Запустите в командной строке ФИКС Unix 1.0 с параметрами –yi и указанием пути к prj-файлу:

./ufix –yi /path/msvsphere_63_srv_r0_cs.prj

где

/path – путь к prj-файлу,

msvsphere_63_srv_r0_cs.prj – prj-файл, содержащий информацию контрольные суммы файлов системы, реализующих средств защиты информации.

ВАЖНО! Перед проверкой необходимо убрать связи с библиотеками из исполняемых файлов, добавленные утилитой prelink. Для этого необходимо от имени администратора выполнить команду:

prelink -uaf

Для возврата связей с библиотеками в исполняемые файлы после проверки целостности исполняемых файлов выполните команду:

prelink -amfR

По завершении контроля целостности будет выдано сообщение

ICHECK: OK! (КОНТРОЛЬ ЦЕЛОСТНОСТИ: НОРМА!) -  в случае если нарушений целостности не было обнаружено, или

ICHECK: FAILED! (КОНТРОЛЬ ЦЕЛОСТНОСТИ: НЕ НОРМА!) – если были обнаружены нарушения целостности.

Если по результатам контроля было обнаружено нарушения целостности, то окне терминала будут выведены соответствующие сообщения.

Подробнее о сообщениях нарушения целостности файлов

Если будет обнаружено отсутствие контролируемого файла, на стандартный вывод сообщений об ошибках будет выведено сообщение

ICHECK FAILURE: file Filename.ext removed!

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: файл Filename.ext удален!).

При обнаружении в процессе контроля целостности изменения размера файла  будет выдано сообщение:

ICHECK FAILURE: SIZE changed in file Filename.ext-25 and 26

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: изменена длина файла Filename.ext – было: 25 стало: 26).

При обнаружении изменения контрольной суммы будет выдано сообщение:

ICHECK FAILURE: checksum changed in file Filename.ext

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: изменена контрольная сумма файла Filename.ext)

При изменении режима доступа к файлу будет выдано сообщение:

ICHECK FAILURE: file Filename.ext mode changed: rwxr-xr-x and rwxrwxr-x

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: файл Filename.ext  изменен режим/тип – было: rwxr-xr-x, стало: rwxrwxr-x).

При изменении владельца или группыфайла будет выдано сообщение:

ICHECK FAILURE: file Filename.extowner/group changed: ROOT/ROOT and ROOT/WHEEL

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: файл Filename.extизменен владелец/группа – было: ROOT/ROOT стало: ROOT/WEEL).

При изменении времени модификации  файла будет выдано сообщение

ICHECK FAILURE: TIME changed in file Filename.ext – 22:12:24 03.02.2000 and 22:12:25 03.02.2000

(НАРУШЕНИЕ ЦЕЛОСТНОСТИ: изменено время файла Filename.ext – было: 22:12:24 03.02.2000 стало: 22:12:25 03.02.2000).

Контроль целостности файлов, реализующих СЗИ (без использования *.prj-файла)

Если prj-файл, содержащий информацию о контрольных суммах компонент СЗИ, отсутствует, для контроля целостности сертифицированных СЗИ необходимо выполнить следующие действия:

1. Создайте текстовый файл со списком файлов, для которых требуется рассчитать КС, в кодировке принятой в используемой операционной системе (например, msvsphere_server_list.txt). Файл со списком может быть подготовлен с использованием любого текстового редактора.

2. После создания списка введите в командной строке

./ufix –e msvsphere_server_list.txt

После этого будет создан проектный файл msvsphere_server_list.prj

ВАЖНО! Перед созданием проектного файла необходимо убрать связи с библиотеками из исполняемых файлов, добавленные утилитой prelink. Для этого необходимо от имени администратора выполнить команду:

prelink -uaf

Для возврата связей с библиотеками в исполняемые файлы после проверки целостности исполняемых файлов выполните команду:

prelink -amfR

3. Для представления КС файлов в html формате введите команду

./ufix –h msvsphere_server_list.prj

После этого будет создан html файл msvsphere_server_list.html, содержащий КС файлов директории drfolder, КС вложенных директорий и общую КС директории drfolder.

ФИКС-Unix 1.0 поддерживает и другие формы отчетов. Информацию о них можно найти в описании применения на программу.

4. Сравните общую КС директории с КС дистрибутива/набора обновлений, либо рассчитанные КС неизменных файлов (исполняемых), реализующих средства защиты информации с КС этих же файлов, указанными в формуляре на сертифицированный продукт.

Если КС совпадают, то целостность файлов, указанных в созданном текстовом файле msvsphere_server_list.txt не нарушена. В этом случае созданный файл msvsphere_server_list.prj можно в дальнейшем использовать для проверки целостности файлов, реализующих СЗИ.

Контроль целостности дистрибутива (набора обновлений)

Для контроля целостности дистрибутива, набора обновлений или какой-либо директории выполните следующие действия

1. Создайте список файлов, целостность которых проверяете. Это можно сделать средствами ФИКС-Unix 1.0. Для создания списка файлов средствами ФИКС-Unix 1.0  в окне командной строки введите

./ufix –jR /path/drfolder >> msvsphere_arm.txt,

где

/path/drfolder – путь к директории, КС который вы рассчитываете

msvsphere_arm.txt – название создаваемого списка файлов.

Замечание!

Если в директории имеются скрытые файлы, для расчета их КС используйте ключ –a

5. После создания списка введите в командной строке

./ufix –e msvsphere_arm.txt

После этого будет создан проектный файл msvsphere_arm.prj

6. Для представления КС файлов в html формате введите команду

./ufix –h msvsphere_arm.prj

После этого будет создан html файл msvsphere_arm.html, содержащий КС файлов директории drfolder, КС вложенных директорий и общую КС директории drfolder.

Сравните общую КС директории с КС дистрибутива/набора обновлений.

Проверка усиленной квалифицированной электронной подписи

Для проверки усиленной квалифицированной подписи (далее ЭП) потребуется:

  • Криптопровайдер «КриптоПро CSP», сертифицированный ФСБ России (версия 3.6 и выше). Использование ООО «КРИПТО-ПРО» для проверки ЭП не требует приобретения лицензии.
  • Программа «КриптоАРМ» (ее бесплатная версия «КриптоАРМ Старт» или платные – «КриптоАРМ Стандарт» и «КриптоАРМ Стандарт Плюс»), необходимая для проверки электронной подписи с использованием «КриптоПро CSP».
  • Интернет-соединение.

Если у вас отсутствуют указанные выше программы, Вы можете загрузить их на странице «Драйверы и программы». В настоящее время для работы «КриптоАРМ» и «КриптоПро CSP» требуется ОС Microsoft Windows.

Проверка ЭП ISO-образа/архива файлов

1. Загрузите с Центра сертифицированных обновлений ISO-образ (или архив файлов) дистрибутива (набора обновлений) и его электронную подпись (файл .sig с таким же названием, как и у проверяемого файла) на компьютер с установленными «КриптоПро CSP» и «КриптоАРМ Старт». Поместите ISO-образ и его ЭП в одну папку.

2. Запустите программу КриптоАРМ. В меню Настройки выберите пункт Управление настройками – Режимы и поставьте галки «Включить режим квалифицированной подписи» и «Автоматически обновлять список аккредитованных УЦ».

cryptoarmРис. 3. Режим КриптоАРМ 5.1 «Квалифицированная подпись»

3. Дождитесь, пока загрузятся сертификаты из «Списка доверенный УЦ».

4. В меню КриптоАРМ нажмите «Проверить ЭП». Откроет мастер проверки ЭП. В выпадающем списке выберите «Новая настройка» и нажмите «Далее».

5. В окне выбора файлов подписи нажмите «Добавить файл» и укажите путь к файлу ЭП ISO-образа дистрибутива. Нажмите «Далее».

6. В следующем окне нажмите «Далее».

Если кнопка «Далее» не активна, значит в папке с ЭП ISO-образа отсутствует сам образ, или наименование файла ЭП и ISO-образа различаются. В последнем случае нажмите «Выбрать» и укажите путь к файлу проверяемого ISO-образа.

7. В следующем окне проверьте соответствие ЭП и ISO-образа и нажмите «Готово». Начнется проверка.

8. По результатам проверки должен быть выдан результат «Успех».

Рис. 4. Успешная проверка ЭП программой КриптоАРМ
Рис. 4. Успешная проверка ЭП программой КриптоАРМ

9. Убедитесь, что файл был подписан компаний ЗАО «Профиль Защиты».

Для этого в окне результата выполнения операции проверки ЭП выберите проверенный файл и нажмите «Менеджер сообщений».

В дереве подписей поля должны иметь следующие значения:

Организация: Закрытое акционерное общество «Профиль Защиты» (или ЗАО «Профиль Защиты»)

ИНН: 005054089614

ОГРН: 1085018006534

Рис. 5. Статус сертификата, использовавшегося для создания ЭП
Рис. 5. Статус сертификата, использовавшегося для создания ЭП

Если значения полей отличаются – файл подписан другой компанией, его использование не допускается вне зависимости от полученного результата проверки. В этом случае обратитесь, пожалуйста, в службу сертификационного сопровождения ЗАО «Профиль Защиты» по электронной почте support@prp.su.

Если у Вас вдруг возникли вопросы или сложности с проверкой электронной подписи Вы также можете задать их по указанной почте службы сертификационного сопровождения.