Средства криптографической защиты
Средства криптографической защиты (СКЗИ) — это совокупность аппаратных, программно-аппаратных и программных средств, реализующих алгоритмы криптографического преобразования информации для обеспечения её конфиденциальности, целостности, аутентичности и неотказуемости. СКЗИ являются основным инструментом защиты информации в системах электронного документооборота, банковских операциях, государственном управлении, а также в сетях общего пользования, включая интернет. В Российской Федерации обращение и применение СКЗИ регулируется законодательством в области информационной безопасности и подлежит обязательной сертификации.
История развития
Первые криптографические методы, такие как шифр Цезаря или шифр Виженера, использовались для защиты сообщений вручную. С развитием телеграфа и радио в XIX — начале XX века возникла потребность в механических и электромеханических устройствах шифрования (например, «Энигма»). Появление электронно-вычислительных машин в середине XX века привело к созданию первых программных криптоалгоритмов (DES, 1977 год). В СССР и России криптография развивалась в рамках государственных стандартов: в 1989 году был принят ГОСТ 28147-89, который долгое время оставался основным симметричным алгоритмом. Современный этап характеризуется переходом на асимметричные алгоритмы (на основе эллиптических кривых) и квантовоустойчивые методы.
Классификация СКЗИ
СКЗИ классифицируются по нескольким признакам.
По типу реализации
- Аппаратные СКЗИ — специализированные устройства (платы расширения, USB-токены, смарт-карты, аппаратные криптомодули HSM), в которых криптографические операции выполняются на физическом уровне. Отличаются высокой производительностью и устойчивостью к программным атакам.
- Программно-аппаратные СКЗИ — комбинация аппаратного модуля (например, токена) и программного обеспечения (драйверы, библиотеки). Пример: криптопровайдеры для работы с электронной подписью.
- Программные СКЗИ — библиотеки, утилиты и приложения, реализующие криптоалгоритмы на уровне операционной системы или прикладного ПО. Наиболее гибкие, но менее защищённые от вредоносного кода.
По назначению
- Шифрование данных — обеспечение конфиденциальности (симметричные и асимметричные алгоритмы).
- Электронная подпись (ЭП) — аутентификация и целостность документов (ГОСТ Р 34.10-2012, ГОСТ Р 34.10-2021).
- Хеширование — создание контрольных сумм (ГОСТ Р 34.11-2012 «Стрибог»).
- Генерация ключей — формирование криптостойких ключей (в том числе на основе аппаратных генераторов случайных чисел).
- Управление ключами — распределение, хранение, обновление и отзыв ключевой информации.
По уровню защиты
В России СКЗИ делятся на классы в соответствии с требованиями ФСБ России:
- КС1 — защита от атак на уровне программного окружения (подходит для персональных данных, не содержащих гостайну).
- КС2 — защита от атак на уровне операционной системы.
- КС3 — защита от атак на уровне аппаратного обеспечения (высший класс для коммерческого использования).
- КВ — защита сведений, составляющих государственную тайну (особый порядок сертификации).
Основные алгоритмы и стандарты
В Российской Федерации обязательными к применению в государственных информационных системах являются национальные криптографические стандарты.
Симметричное шифрование
- ГОСТ 28147-89 — блочный шифр с длиной ключа 256 бит, работающий в режимах простой замены, гаммирования и гаммирования с обратной связью.
- ГОСТ Р 34.12-2015 («Кузнечик» и «Магма») — современные блочные шифры с длиной блока 128 и 64 бит соответственно. «Кузнечик» является российским аналогом AES и рекомендуется для использования в системах высшей степени защиты.
Асимметричное шифрование и электронная подпись
- ГОСТ Р 34.10-2012 (и его обновление ГОСТ Р 34.10-2021) — алгоритмы формирования и проверки электронной подписи на основе эллиптических кривых (кривые 256 и 512 бит). Является основой для сертификатов ключей проверки ЭП в РФ.
- ГОСТ Р 34.11-2012 («Стрибог») — функция хеширования, формирующая дайджест длиной 256 или 512 бит. Используется совместно с алгоритмами ЭП.
Протоколы и инфраструктура
- VipNet — семейство программно-аппаратных СКЗИ для построения защищённых сетей VPN, разработанное компанией «ИнфоТеКС».
- КриптоПро CSP — программный криптопровайдер, реализующий российские стандарты, широко применяемый для электронного документооборота и работы с порталом «Госуслуги».
- PKI (инфраструктура открытых ключей) — система управления сертификатами, включающая удостоверяющие центры (УЦ), аккредитованные Минцифры России.
Применение СКЗИ
Государственное управление и электронный документооборот
СКЗИ являются обязательным элементом систем межведомственного электронного взаимодействия (СМЭВ), портала «Госуслуги», ГАС «Выборы», Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Все документы с электронной подписью, созданные с использованием сертифицированных СКЗИ, имеют юридическую силу, равную бумажным.
Финансовый сектор
Банки и платёжные системы (например, «Мир», СБП) используют СКЗИ для защиты транзакций, аутентификации клиентов (в том числе по биометрическим данным) и шифрования каналов связи. Криптографические модули HSM применяются для хранения мастер-ключей и выполнения операций с высокой скоростью.
Защита каналов связи
СКЗИ используются для построения виртуальных частных сетей (VPN) в корпоративных и государственных сетях. Продукты класса VipNet, «Континент» (компания «Код Безопасности») и «АПКШ Континент» обеспечивают шифрование трафика на уровнях IP и Ethernet.
Персональные данные
Согласно Федеральному закону № 152-ФЗ «О персональных данных», операторы обязаны применять СКЗИ для защиты персональных данных, особенно при их обработке в информационных системах. Класс защиты определяется в зависимости от категории данных и угроз.
Правовое регулирование в РФ
Оборот СКЗИ в России строго регламентирован. Основные нормативные акты:
- Федеральный закон № 63-ФЗ «Об электронной подписи» — определяет виды электронных подписей (простая, усиленная неквалифицированная, усиленная квалифицированная) и требования к СКЗИ.
- Постановление Правительства РФ № 313 — утверждает Положение о лицензировании деятельности по разработке, производству, распространению и техническому обслуживанию СКЗИ.
- Приказы ФСБ России — устанавливают классы защиты и порядок сертификации СКЗИ.
- ГОСТы серии Р 34 — обязательные для применения в государственных информационных системах.
Все СКЗИ, предназначенные для защиты государственной тайны или персональных данных, должны пройти сертификацию в ФСБ России или ФСТЭК России. Несертифицированные средства не могут использоваться в государственных и муниципальных системах.
Критика и ограничения
Основные претензии к современным СКЗИ связаны с их сложностью и высокой стоимостью внедрения. Программные реализации могут быть уязвимы к атакам на уровне операционной системы (например, к перехвату ключей через вредоносное ПО). Аппаратные модули (HSM) дороги и требуют квалифицированного обслуживания. Кроме того, существует риск появления квантовых компьютеров, способных взломать асимметричные алгоритмы на основе эллиптических кривых, что стимулирует разработку постквантовых криптостандартов.
Перспективы развития
В России активно ведутся работы по созданию постквантовых криптоалгоритмов, устойчивых к атакам с использованием квантовых вычислителей. В 2024 году был опубликован проект ГОСТ Р 34.13-2024, описывающий методы квантовоустойчивого шифрования. Также развиваются технологии гомоморфного шифрования и многосторонних вычислений, позволяющие обрабатывать зашифрованные данные без их расшифровки. Внедрение блокчейна и распределённых реестров требует новых подходов к управлению ключами и подписями.
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования».
- ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры».
- Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению и техническому обслуживанию средств криптографической защиты информации».
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации».
- «Криптографическая защита информации: учебное пособие» / под ред. А.А. Чечёткина. — М.: Горячая линия – Телеком, 2020.
- Материалы сайта ФСБ России (раздел «Криптографическая защита информации»).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →