Блок СКЗИ
Блок СКЗИ — это специализированное электронное устройство или программно-аппаратный комплекс, предназначенный для выполнения криптографических операций: шифрования, расшифрования, выработки и проверки электронной подписи, хеширования, а также генерации и хранения ключевой информации. Блоки СКЗИ (системы криптографической защиты информации) применяются для обеспечения конфиденциальности, целостности и аутентичности данных в системах автоматизированного управления, телекоммуникациях, банковской сфере и государственных информационных системах. В Российской Федерации требования к таким устройствам регулируются нормативными документами ФСБ России и ФСТЭК России.
История развития
Предпосылки появления
Потребность в аппаратных средствах шифрования возникла с развитием электронных систем передачи данных. Первые криптографические устройства (например, роторные машины «Энигма») были электромеханическими. С переходом на цифровые технологии в 1960–1970-х годах появились первые электронные шифраторы, реализующие симметричные алгоритмы (DES, ГОСТ 28147-89). В СССР и России разработка аппаратных СКЗИ велась в рамках оборонных программ, а с 1990-х годов — для гражданских нужд.
Эволюция в России
В 1992 году был принят стандарт ГОСТ 28147-89, который стал основой для отечественных СКЗИ. В 2000-х годах, с развитием интернета и электронного документооборота, появились компактные блоки СКЗИ для USB-подключения (например, «КриптоПро CSP» в виде токенов). В 2010-х годах началось внедрение блоков СКЗИ на базе ПЛИС (программируемых логических интегральных схем) и микроконтроллеров с аппаратной поддержкой криптографии (например, процессоры «Эльбрус» с модулем доверенной загрузки). С 2020 года в России действуют новые стандарты криптографической защиты (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012), что стимулирует модернизацию блоков СКЗИ.
Классификация блоков СКЗИ
По физическому исполнению
- Аппаратные блоки — отдельные устройства (платы расширения, USB-токены, PCI-карты, защищённые смарт-карты). Примеры: «Рутокен ЭЦП», «JaCarta», «КриптоПро HSM».
- Программно-аппаратные комплексы — встраиваемые модули в составе серверов, маршрутизаторов или АРМ (автоматизированных рабочих мест). Пример: блоки СКЗИ в составе системы «Континент-АП».
- Программные модули — реализуют криптофункции на уровне драйверов или библиотек, но часто требуют сертифицированного аппаратного ключа (например, «КриптоПро CSP»).
По функциональному назначению
- Шифраторы трафика — для защиты каналов связи (VPN-устройства, например, «ViPNet Coordinator HW»).
- Устройства электронной подписи — для выработки и проверки ЭП (токены, HSM-модули).
- Комбинированные блоки — выполняют шифрование, ЭП, хеширование и генерацию ключей (например, «КриптоПро HSM»).
По уровню сертификации
- Класс КС1–КС3 (криптографическая стойкость) — для защиты государственной тайны (требуют лицензии ФСБ).
- Класс КС1 — для коммерческих систем (например, банковские приложения).
- Класс КС2 — для систем, обрабатывающих персональные данные (ПДн) и конфиденциальную информацию.
Устройство и принцип работы
Основные компоненты
Типовой аппаратный блок СКЗИ включает:
- Криптографический сопроцессор — специализированная микросхема (ASIC, FPGA) для выполнения операций по алгоритмам ГОСТ (например, «Магма», «Кузнечик»).
- Генератор случайных чисел (ГСЧ) — аппаратный источник энтропии (шумовой диод, квантовый эффект) для создания ключей.
- Защищённая память — энергонезависимая память (NVRAM, флеш) для хранения ключей, сертификатов и конфигурации.
- Интерфейсы — USB, Ethernet, PCI Express, SPI, I²C для подключения к хосту.
- Модуль управления — микроконтроллер, реализующий протоколы обмена (PKCS#11, MS CAPI, OpenSSL).
Принцип работы
- Инициализация — блок загружает ключи (из памяти или через защищённый канал).
- Криптографическая операция — хост передаёт данные (например, хеш документа) через интерфейс; сопроцессор выполняет шифрование/подпись по алгоритму ГОСТ Р 34.10-2012.
- Вывод результата — зашифрованный текст или подпись возвращаются хосту.
- Защита ключей — ключи никогда не покидают блок в открытом виде; доступ к ним защищён PIN-кодом или биометрией.
Применение
Государственные информационные системы
- Единая система межведомственного электронного взаимодействия (СМЭВ).
- Портал государственных услуг (gosuslugi.ru).
- Системы электронного документооборота (СЭД) в органах власти.
Банковская сфера
- Обработка платёжных поручений (системы Банка России, SWIFT).
- Дистанционное банковское обслуживание (ДБО) — подписание распоряжений.
- Защита межбанковских переводов (например, в системе «Клиент-Банк»).
Промышленность и транспорт
- Автоматизированные системы управления технологическими процессами (АСУ ТП) — шифрование команд между диспетчерскими и контроллерами.
- Умные счётчики (ЖКХ) — защита данных о потреблении.
- Бортовые системы транспортных средств (например, ГЛОНАСС/GPS-трекеры с шифрованием).
Персональные данные
- Защита ПДн в медицинских информационных системах (МИС).
- Электронные трудовые книжки и кадровый учёт.
Примеры блоков СКЗИ
Отечественные устройства
- «Рутокен ЭЦП 2.0» (компания «Актив») — USB-токен для ЭП, поддерживает ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012. Сертифицирован ФСБ до класса КС2.
- «КриптоПро HSM» (компания «КриптоПро») — аппаратный модуль безопасности (HSM) для серверов, поддерживает до 10 000 операций в секунду.
- «ViPNet Coordinator HW» (компания «ИнфоТеКС») — аппаратный VPN-шлюз с шифрованием трафика по ГОСТ.
- «JaCarta PKI» (компания «Аладдин Р.Д.») — смарт-карта/токен для ЭП и аутентификации.
Зарубежные аналоги (ограничены к ввозу в РФ)
- YubiKey (США) — USB-токен, поддерживает алгоритмы RSA, ECC, но не сертифицирован по российским стандартам.
- SafeNet eToken (США) — смарт-карты, аналогичные «Рутокен», но без поддержки ГОСТ.
Нормативное регулирование в РФ
Основные документы
- Федеральный закон № 63-ФЗ «Об электронной подписи» (2011) — определяет требования к СКЗИ для ЭП.
- Федеральный закон № 152-ФЗ «О персональных данных» (2006) — требует шифрования ПДн.
- Приказы ФСБ России (например, № 378 от 2014 г.) — устанавливают порядок сертификации СКЗИ.
- ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89 — криптографические алгоритмы.
Лицензирование
Производство и эксплуатация блоков СКЗИ, предназначенных для защиты государственной тайны, требуют лицензии ФСБ. Для коммерческих систем достаточно сертификации ФСБ или ФСТЭК (в зависимости от класса защищаемой информации).
Критика и ограничения
Технические недостатки
- Производительность — аппаратные блоки могут быть медленнее программных реализаций на современных процессорах (особенно при массовых операциях).
- Совместимость — некоторые блоки СКЗИ работают только с определёнными ОС (Windows, Linux) или криптопровайдерами (КриптоПро CSP, VipNet CSP).
- Стоимость — сертифицированные устройства (HSM) стоят от 50 000 до 500 000 рублей, что ограничивает их применение в малом бизнесе.
Политические аспекты
- С 2022 года в России введены ограничения на ввоз зарубежных СКЗИ (например, YubiKey) из-за санкций. Это стимулирует импортозамещение, но создаёт дефицит некоторых типов устройств.
- Критики отмечают, что требования к сертификации (особенно для госсектора) могут усложнять внедрение инноваций (например, квантово-устойчивых алгоритмов).
Перспективы развития
Квантово-устойчивые алгоритмы
С 2023 года в России ведётся разработка постквантовых криптоалгоритмов (например, на основе решёток). Ожидается, что новые блоки СКЗИ будут поддерживать их к 2025–2027 годам.
Интеграция с IoT
Блоки СКЗИ для интернета вещей (IoT) — миниатюрные устройства с низким энергопотреблением (например, на базе микроконтроллеров STM32 с аппаратным AES). В России такие решения разрабатываются для «умных» счётчиков и промышленных датчиков.
Облачные HSM
Сервисы облачных HSM (например, от «КриптоПро» или «ИнфоТеКС») позволяют арендовать криптографические мощности без покупки физического оборудования. Это актуально для малого и среднего бизнеса.
Источники
- Федеральный закон № 63-ФЗ «Об электронной подписи» (2011).
- Федеральный закон № 152-ФЗ «О персональных данных» (2006).
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования».
- Приказ ФСБ России № 378 от 2014 г. «Об утверждении Требований к средствам криптографической защиты информации».
- Материалы компаний «КриптоПро», «ИнфоТеКС», «Актив», «Аладдин Р.Д.» (официальные сайты, техническая документация).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →