Открыть сервис

Блок СКЗИ

Блок СКЗИ — это специализированное электронное устройство или программно-аппаратный комплекс, предназначенный для выполнения криптографических операций: шифрования, расшифрования, выработки и проверки электронной подписи, хеширования, а также генерации и хранения ключевой информации. Блоки СКЗИ (системы криптографической защиты информации) применяются для обеспечения конфиденциальности, целостности и аутентичности данных в системах автоматизированного управления, телекоммуникациях, банковской сфере и государственных информационных системах. В Российской Федерации требования к таким устройствам регулируются нормативными документами ФСБ России и ФСТЭК России.

История развития

Предпосылки появления

Потребность в аппаратных средствах шифрования возникла с развитием электронных систем передачи данных. Первые криптографические устройства (например, роторные машины «Энигма») были электромеханическими. С переходом на цифровые технологии в 1960–1970-х годах появились первые электронные шифраторы, реализующие симметричные алгоритмы (DES, ГОСТ 28147-89). В СССР и России разработка аппаратных СКЗИ велась в рамках оборонных программ, а с 1990-х годов — для гражданских нужд.

Эволюция в России

В 1992 году был принят стандарт ГОСТ 28147-89, который стал основой для отечественных СКЗИ. В 2000-х годах, с развитием интернета и электронного документооборота, появились компактные блоки СКЗИ для USB-подключения (например, «КриптоПро CSP» в виде токенов). В 2010-х годах началось внедрение блоков СКЗИ на базе ПЛИС (программируемых логических интегральных схем) и микроконтроллеров с аппаратной поддержкой криптографии (например, процессоры «Эльбрус» с модулем доверенной загрузки). С 2020 года в России действуют новые стандарты криптографической защиты (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012), что стимулирует модернизацию блоков СКЗИ.

Классификация блоков СКЗИ

По физическому исполнению

  • Аппаратные блоки — отдельные устройства (платы расширения, USB-токены, PCI-карты, защищённые смарт-карты). Примеры: «Рутокен ЭЦП», «JaCarta», «КриптоПро HSM».
  • Программно-аппаратные комплексы — встраиваемые модули в составе серверов, маршрутизаторов или АРМ (автоматизированных рабочих мест). Пример: блоки СКЗИ в составе системы «Континент-АП».
  • Программные модули — реализуют криптофункции на уровне драйверов или библиотек, но часто требуют сертифицированного аппаратного ключа (например, «КриптоПро CSP»).

По функциональному назначению

  • Шифраторы трафика — для защиты каналов связи (VPN-устройства, например, «ViPNet Coordinator HW»).
  • Устройства электронной подписи — для выработки и проверки ЭП (токены, HSM-модули).
  • Комбинированные блоки — выполняют шифрование, ЭП, хеширование и генерацию ключей (например, «КриптоПро HSM»).

По уровню сертификации

  • Класс КС1–КС3 (криптографическая стойкость) — для защиты государственной тайны (требуют лицензии ФСБ).
  • Класс КС1 — для коммерческих систем (например, банковские приложения).
  • Класс КС2 — для систем, обрабатывающих персональные данные (ПДн) и конфиденциальную информацию.

Устройство и принцип работы

Основные компоненты

Типовой аппаратный блок СКЗИ включает:

Принцип работы

  1. Инициализация — блок загружает ключи (из памяти или через защищённый канал).
  2. Криптографическая операция — хост передаёт данные (например, хеш документа) через интерфейс; сопроцессор выполняет шифрование/подпись по алгоритму ГОСТ Р 34.10-2012.
  3. Вывод результата — зашифрованный текст или подпись возвращаются хосту.
  4. Защита ключей — ключи никогда не покидают блок в открытом виде; доступ к ним защищён PIN-кодом или биометрией.

Применение

Государственные информационные системы

Банковская сфера

  • Обработка платёжных поручений (системы Банка России, SWIFT).
  • Дистанционное банковское обслуживание (ДБО) — подписание распоряжений.
  • Защита межбанковских переводов (например, в системе «Клиент-Банк»).

Промышленность и транспорт

  • Автоматизированные системы управления технологическими процессами (АСУ ТП) — шифрование команд между диспетчерскими и контроллерами.
  • Умные счётчики (ЖКХ) — защита данных о потреблении.
  • Бортовые системы транспортных средств (например, ГЛОНАСС/GPS-трекеры с шифрованием).

Персональные данные

  • Защита ПДн в медицинских информационных системах (МИС).
  • Электронные трудовые книжки и кадровый учёт.

Примеры блоков СКЗИ

Отечественные устройства

  • «Рутокен ЭЦП 2.0» (компания «Актив») — USB-токен для ЭП, поддерживает ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012. Сертифицирован ФСБ до класса КС2.
  • «КриптоПро HSM» (компания «КриптоПро») — аппаратный модуль безопасности (HSM) для серверов, поддерживает до 10 000 операций в секунду.
  • «ViPNet Coordinator HW» (компания «ИнфоТеКС») — аппаратный VPN-шлюз с шифрованием трафика по ГОСТ.
  • «JaCarta PKI» (компания «Аладдин Р.Д.») — смарт-карта/токен для ЭП и аутентификации.

Зарубежные аналоги (ограничены к ввозу в РФ)

  • YubiKey (США) — USB-токен, поддерживает алгоритмы RSA, ECC, но не сертифицирован по российским стандартам.
  • SafeNet eToken (США) — смарт-карты, аналогичные «Рутокен», но без поддержки ГОСТ.

Нормативное регулирование в РФ

Основные документы

  • Федеральный закон № 63-ФЗ «Об электронной подписи» (2011) — определяет требования к СКЗИ для ЭП.
  • Федеральный закон № 152-ФЗ «О персональных данных» (2006) — требует шифрования ПДн.
  • Приказы ФСБ России (например, № 378 от 2014 г.) — устанавливают порядок сертификации СКЗИ.
  • ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ 28147-89 — криптографические алгоритмы.

Лицензирование

Производство и эксплуатация блоков СКЗИ, предназначенных для защиты государственной тайны, требуют лицензии ФСБ. Для коммерческих систем достаточно сертификации ФСБ или ФСТЭК (в зависимости от класса защищаемой информации).

Критика и ограничения

Технические недостатки

  • Производительность — аппаратные блоки могут быть медленнее программных реализаций на современных процессорах (особенно при массовых операциях).
  • Совместимость — некоторые блоки СКЗИ работают только с определёнными ОС (Windows, Linux) или криптопровайдерами (КриптоПро CSP, VipNet CSP).
  • Стоимость — сертифицированные устройства (HSM) стоят от 50 000 до 500 000 рублей, что ограничивает их применение в малом бизнесе.

Политические аспекты

  • С 2022 года в России введены ограничения на ввоз зарубежных СКЗИ (например, YubiKey) из-за санкций. Это стимулирует импортозамещение, но создаёт дефицит некоторых типов устройств.
  • Критики отмечают, что требования к сертификации (особенно для госсектора) могут усложнять внедрение инноваций (например, квантово-устойчивых алгоритмов).

Перспективы развития

Квантово-устойчивые алгоритмы

С 2023 года в России ведётся разработка постквантовых криптоалгоритмов (например, на основе решёток). Ожидается, что новые блоки СКЗИ будут поддерживать их к 2025–2027 годам.

Интеграция с IoT

Блоки СКЗИ для интернета вещей (IoT) — миниатюрные устройства с низким энергопотреблением (например, на базе микроконтроллеров STM32 с аппаратным AES). В России такие решения разрабатываются для «умных» счётчиков и промышленных датчиков.

Облачные HSM

Сервисы облачных HSM (например, от «КриптоПро» или «ИнфоТеКС») позволяют арендовать криптографические мощности без покупки физического оборудования. Это актуально для малого и среднего бизнеса.

Источники

  1. Федеральный закон № 63-ФЗ «Об электронной подписи» (2011).
  2. Федеральный закон № 152-ФЗ «О персональных данных» (2006).
  3. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  4. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования».
  5. Приказ ФСБ России № 378 от 2014 г. «Об утверждении Требований к средствам криптографической защиты информации».
  6. Материалы компаний «КриптоПро», «ИнфоТеКС», «Актив», «Аладдин Р.Д.» (официальные сайты, техническая документация).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →