Открыть сервис

Служба управления ключами

Служба управления ключами (Key Management Service, KMS) — это программно-аппаратный комплекс или облачный сервис, предназначенный для централизованного управления криптографическими ключами на всех этапах их жизненного цикла: генерации, хранения, распространения, ротации, обновления, отзыва и уничтожения. KMS является ключевым компонентом инфраструктуры управления ключами (Key Management Infrastructure, KMI) и используется для обеспечения безопасности криптографических систем, соответствующих стандартам (например, ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, FIPS 140-2/3, PCI DSS, GDPR).

Функции и задачи

Основная задача службы управления ключами — автоматизация и централизация процессов, связанных с ключами шифрования, что снижает риск человеческих ошибок, утечек и компрометации. Ключевые функции KMS включают:

  • Генерация ключей: создание криптостойких ключей с использованием аппаратных или программных генераторов случайных чисел (TRNG/PRNG), соответствующих требованиям стандартов (например, ГОСТ Р 34.10-2012 для электронной подписи).
  • Хранение ключей: защищённое хранение ключей в изолированных аппаратных модулях (HSM — Hardware Security Module), в облачных хранилищах с шифрованием или в специализированных базах данных. Ключи могут храниться в зашифрованном виде (обёрнутые мастер-ключом).
  • Распространение ключей: безопасная доставка ключей между участниками криптосистемы (например, между серверами, клиентами, устройствами IoT) с использованием протоколов обмена (например, TLS, SSH, протоколы на основе асимметричной криптографии).
  • Ротация и обновление ключей: периодическая замена ключей в соответствии с политиками безопасности (например, раз в год или после компрометации). KMS автоматически генерирует новые ключи и обновляет их у клиентов.
  • Отзыв и уничтожение ключей: аннулирование ключей при утечке, компрометации или истечении срока действия. Уничтожение может быть физическим (стирание из HSM) или логическим (помещение в список отозванных).
  • Аудит и мониторинг: ведение журналов всех операций с ключами (генерация, доступ, удаление) для последующего анализа и расследования инцидентов.

Архитектура и компоненты

Типовая архитектура KMS включает несколько уровней:

  • Аппаратный уровень: HSM (например, «КриптоПро HSM» в России, Thales Luna, Utimaco SecurityServer) — физические устройства, выполняющие криптографические операции в изолированной среде. HSM защищены от взлома, имеют сертификацию ФСБ России (для использования в государственных информационных системах).
  • Программный уровень: серверное ПО, реализующее API для управления ключами (например, PKCS#11, KMIP — Key Management Interoperability Protocol, REST API). В России распространены решения на базе «КриптоПро CSP» и «ViPNet CSP».
  • Уровень управления: веб-интерфейс или CLI для администраторов, позволяющий задавать политики, выполнять операции и просматривать журналы.
  • Интеграционный уровень: модули для взаимодействия с приложениями (базы данных, веб-серверы, облачные платформы) через стандартные интерфейсы.

Классификация

KMS классифицируются по различным признакам:

По типу развёртывания

  • Локальные (on-premise): развёртываются на собственных серверах организации, часто с использованием HSM. Примеры: «КриптоПро KMS» (Россия), IBM Security Key Lifecycle Manager.
  • Облачные (Cloud KMS): предоставляются как услуга (SaaS) облачными провайдерами. Примеры: AWS Key Management Service, Google Cloud KMS, Azure Key Vault. В России — Yandex Key Management Service (KMS) от Яндекс.Облако.
  • Гибридные: комбинируют локальные и облачные компоненты, позволяя управлять ключами в единой среде.

По области применения

  • Сетевые KMS: для управления ключами в корпоративных сетях (VPN, SSL/TLS, шифрование дисков).
  • KMS для баз данных: для шифрования данных в СУБД (например, Oracle TDE, Microsoft SQL Server TDE).
  • KMS для электронной подписи: для управления ключами подписи в системах ЭДО (например, «1С-ЭДО», «Диадок»).
  • KMS для IoT: для управления ключами в устройствах интернета вещей (например, AWS IoT Device Management).

Стандарты и протоколы

Для обеспечения совместимости KMS используют международные и национальные стандарты:

  • KMIP (Key Management Interoperability Protocol): стандарт OASIS для взаимодействия между KMS и клиентами. Поддерживается большинством коммерческих KMS.
  • PKCS#11 (Cryptoki): стандарт RSA Laboratories для программного интерфейса к криптографическим токенам и HSM. Широко используется в России (например, «КриптоПро PKCS#11»).
  • ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012: российские стандарты криптографии, обязательные для использования в государственных информационных системах. KMS для РФ должны поддерживать алгоритмы на эллиптических кривых (ГОСТ Р 34.10-2012) и хеширование (ГОСТ Р 34.11-2012).
  • FIPS 140-2/3: стандарт NIST для сертификации криптографических модулей (включая HSM), используемый в международных системах.

Применение

Службы управления ключами применяются в широком спектре отраслей:

  • Государственные информационные системы: в России — для защиты персональных данных, государственной тайны, электронного документооборота (например, система «Госуслуги», ЕГИСЗ). Обязательно использование сертифицированных KMS (например, на базе «КриптоПро CSP»).
  • Финансовый сектор: для шифрования транзакций, хранения ключей банковских карт (PCI DSS), управления ключами электронной подписи в системах ДБО (дистанционное банковское обслуживание).
  • Промышленность и IoT: для защиты каналов связи между датчиками, контроллерами и серверами в АСУ ТП (автоматизированные системы управления технологическими процессами).
  • Облачные вычисления: для управления ключами шифрования данных в облачных хранилищах (например, Yandex Object Storage, S3-совместимые хранилища).

Примеры реализаций

Российские решения

  • «КриптоПро KMS» (ООО «КРИПТО-ПРО»): сертифицирован ФСБ России, поддерживает ГОСТ Р 34.10-2012, работает с HSM «КриптоПро HSM» и программными модулями. Используется в государственных и корпоративных системах.
  • «ViPNet CSP» (АО «ИнфоТеКС»): криптопровайдер с функциями управления ключами, совместимый с ГОСТ. Входит в состав платформы ViPNet.
  • Yandex Key Management Service (ООО «Яндекс.Облако»): облачный KMS, поддерживающий ГОСТ и AES, интегрированный с сервисами Yandex Cloud.

Международные решения

  • AWS Key Management Service (Amazon Web Services): облачный KMS, поддерживающий FIPS 140-2, управление ключами для шифрования S3, EBS, RDS.
  • Azure Key Vault (Microsoft): облачный сервис для управления ключами, сертификатами и секретами, интегрированный с Azure Active Directory.
  • Google Cloud KMS: облачный KMS с поддержкой HSM (Cloud HSM) и автоматической ротацией ключей.

Безопасность и риски

Использование KMS связано с рядом рисков:

  • Компрометация мастер-ключа: если злоумышленник получит доступ к мастер-ключу (ключу, шифрующему все остальные), все защищённые данные могут быть расшифрованы. Для защиты применяются HSM с физической изоляцией и многофакторной аутентификацией.
  • Атаки на API: уязвимости в интерфейсах KMS (например, инъекции, переполнение буфера) могут привести к утечке ключей. Требуется регулярное тестирование и обновление ПО.
  • Человеческий фактор: ошибки администраторов (например, неправильная настройка политик доступа) могут привести к утечке или потере ключей. Рекомендуется автоматизация и строгие ролевые модели.
  • Зависимость от провайдера: при использовании облачных KMS (например, Yandex KMS, AWS KMS) организация частично теряет контроль над ключами, что может быть проблематично для систем с высокими требованиями к конфиденциальности (например, государственная тайна). В таких случаях предпочтительны локальные решения.

Перспективы развития

С развитием квантовых вычислений и постквантовой криптографии KMS будут адаптироваться для поддержки новых алгоритмов (например, на основе решёток, кодов). В России разрабатываются стандарты постквантовой криптографии (в рамках деятельности Технического комитета по стандартизации «Криптографическая защита информации»). Также ожидается интеграция KMS с системами управления идентификацией (IAM) и платформами DevOps для автоматизации развёртывания ключей в контейнерных средах (Kubernetes, Docker).

Источники

  • Федеральный закон РФ «О персональных данных» № 152-ФЗ.
  • ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
  • ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования».
  • «Криптографическая защита информации: учебное пособие» / под ред. А. А. Грушо, М.: МГУ, 2020.
  • Документация «КриптоПро KMS» (ООО «КРИПТО-ПРО»).
  • Документация Yandex Key Management Service (Yandex Cloud).
  • Стандарт OASIS KMIP v1.4 (Key Management Interoperability Protocol).
  • NIST FIPS 140-3: Security Requirements for Cryptographic Modules.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →