Средства криптографической защиты информации
Средства криптографической защиты информации (СКЗИ) — это совокупность аппаратных, программных или программно-аппаратных средств, реализующих алгоритмы криптографического преобразования данных для обеспечения их конфиденциальности, целостности, аутентичности и неотказуемости. СКЗИ относятся к классу средств защиты информации (СЗИ) и применяются для шифрования, электронной подписи, хеширования, генерации ключей и управления ими.
История
Зарождение криптографии
Первые криптографические методы, такие как шифр Цезаря или скитала, известны с античности. Однако появление формальных СКЗИ связано с механизацией шифрования в XIX — начале XX века. В России первые шифровальные машины («Кристалл», «Энигма») использовались в военных целях.
Электронная эра
С развитием вычислительной техники во второй половине XX века появились первые программные и аппаратные СКЗИ. В СССР в 1970–1980-х годах были разработаны государственные стандарты криптографической защиты (ГОСТ 28147-89) и созданы аппаратные шифраторы для линий связи.
Современный этап
После распада СССР и вступления России в ВТО (2012 год) рынок СКЗИ активно развивался. В 2000-х годах были приняты новые стандарты: серия ГОСТ Р 34.10-2012 (электронная подпись), ГОСТ Р 34.11-2012 (хеш-функция «Стрибог»). С 2018 года вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», предписывающий использование СКЗИ для защиты определённых категорий данных.
Классификация
По физической реализации
- Программные СКЗИ — реализованы в виде библиотек, драйверов, приложений (например, CryptoPro CSP, ViPNet CSP, OpenSSL (с оговорками по лицензированию)). Наиболее гибки, но уязвимы к атакам на среду исполнения.
- Аппаратные СКЗИ — специализированные устройства (криптографические сопроцессоры, USB-токены, смарт-карты, аппаратные шифраторы), выполняющие операции изолированно от основной системы. Обеспечивают высокую защиту ключей.
- Программно-аппаратные СКЗИ — комбинированные решения (например, платы шифрования PCI-Express, программный комплекс с аппаратным модулем доверенной загрузки).
По алгоритмам
- Симметричные СКЗИ — используют один и тот же ключ для шифрования и расшифрования. Примеры: ГОСТ 28147-89 (режимы простой замены, гаммирования, гаммирования с обратной связью), AES, «Кузнечик» (ГОСТ Р 34.12-2015).
- Асимметричные СКЗИ — используют пару ключей (открытый и закрытый). Необходимы для электронной подписи и обмена ключами. Примеры: RSA, на основе эллиптических кривых (ГОСТ Р 34.10-2012).
- Гибридные СКЗИ — комбинируют оба типа для эффективности и безопасности (например, шифрование данных симметричным ключом, который, в свою очередь, защищается асимметричным).
По назначению
- Шифрование данных — защита при хранении (зашифрованные файлы, диски) и передаче (сетевые протоколы TLS, VPN).
- Электронная подпись (ЭП) — обеспечение авторства и неизменности сообщений, документов.
- Хеширование — создание контрольных сумм (криптографических хешей) для проверки целостности.
- Управление ключами — генерация, распределение, хранение и уничтожение ключей.
Устройство и принцип работы
Базовые компоненты
Любое СКЗИ включает:
- Криптоалгоритмы — математические преобразования (шифрование, подпись, хеширование).
- Ключевая система — совокупность ключей и процедур их обработки.
- Интерфейсы — способы взаимодействия с внешней средой (API, драйверы, аппаратные порты).
- Защищённая память — для хранения ключей и конфигурации (в аппаратных решениях — с защитой от физического взлома).
Процесс шифрования
- Исходные данные (открытый текст) преобразуются в нечитаемую форму (шифротекст) с помощью алгоритма и ключа.
- Для расшифрования требуется тот же ключ (симметричный) или соответствующий закрытый ключ (асимметричный).
- Ключи генерируются случайным образом или производятся от пароля.
Электронная подпись
- Владелец создаёт хеш сообщения.
- Хеш подписывается закрытым ключом, получая значение ЭП.
- Получатель проверяет ЭП открытым ключом, сравнивая полученный хеш с вычисленным.
Применение
Защита корпоративных и государственных систем
СКЗИ обязательны в государственных информационных системах (ГИС), включая:
- Портал «Госуслуги».
- Системы межведомственного электронного взаимодействия (СМЭВ).
- Финансовые и налоговые системы (ФНС, Центральный банк РФ).
- Оборонные и специальные системы.
Персональные данные
Согласно 152-ФЗ, при обработке персональных данных операторы обязаны использовать СКЗИ для их защиты (кроме случаев обезличивания). Рекомендуемые классы СКЗИ — не ниже КС1, КС2 (классификация ФСТЭК России).
Электронный документооборот
СКЗИ интегрируются в системы электронного документооборота (ЭДО) для подписания договоров, накладных, отчётов. Используются сертифицированные ФСБ России СКЗИ (например, КриптоПро CSP).
Криптовалюты и блокчейн
В криптовалютных системах (биткойн, эфириум) применяются асимметричные криптоалгоритмы (ECDSA, EdDSA). В России с 2020 года легализован оборот цифровых финансовых активов (ЦФА), для которого требуется СКЗИ, сертифицированные ФСБ.
Защита сетей
- VPN (ViPNet, Infotecs, OpenVPN с сертифицированным модулем) — шифрование трафика между офисами.
- TLS/SSL — защита веб-трафика (в российских реалиях — использование сертификатов НУЦ Минцифры).
- IPsec — защита протоколов сетевого уровня.
Нормативно-правовая база в РФ
Основные законы и подзаконные акты
- Федеральный закон № 63-ФЗ «Об электронной подписи» (2011).
- Федеральный закон № 152-ФЗ «О персональных данных» (2006).
- Приказы ФСТЭК России (об утверждении требований к СЗИ, классов СКЗИ).
- Методические документы ФСБ России (криптографические требования, сертификация).
- ГОСТ Р 50739-95, ГОСТ Р 52069.0-2013, серии ГОСТ Р 34.10–34.12.
Органы сертификации
СКЗИ в РФ подлежат обязательной сертификации в Федеральной службе безопасности (ФСБ) и/или Федеральной службе по техническому и экспортному контролю (ФСТЭК). Сертификат подтверждает соответствие требованиям безопасности для защищаемой информации (до степени секретности, для гос. тайны — отдельно).
Критика и проблемы
Уязвимости и атаки
- Side-channel атаки — извлечение ключей по времени выполнения, потреблению энергии, электромагнитному излучению.
- Квантовые угрозы — с развитием квантовых компьютеров асимметричные алгоритмы (RSA, ECC) могут быть взломаны (алгоритм Шора). Ведётся разработка постквантовой криптографии.
- Бэкдоры — возможность внедрения скрытых слабостей (например, встроенных закладок) в аппаратные или программные СКЗИ, особенно если они поставляются вендорами из недружественных стран.
Импортозамещение
С 2014 года в РФ реализуется политика импортозамещения в сфере ИТ. СКЗИ зарубежных производителей (Cisco, Check Point, Microsoft) заменяются российскими аналогами (ViPNet, InfoWatch, КриптоПро). Однако возникли сложности с совместимостью с международными протоколами и требованиями заказчиков.
Лицензирование и стоимость
Сертифицированные СКЗИ требуют значительных затрат на приобретение, внедрение, обучение персонала и продление сертификатов. Для малого бизнеса это часто неподъёмно, что стимулирует использование несертифицированных средств.
Интересные факты
- «Кузнечик» — блочный шифр (ГОСТ Р 34.12-2015), один из немногих российских алгоритмов, включённых в международный реестр ISO.
- Первый российский стандарт ЭП — ГОСТ Р 34.10-2001, основанный на эллиптических кривых, был разработан раньше американского аналога (DSA).
- В 2022 году хеш-функция «Стрибог» (ГОСТ Р 34.11-2012) прошла тестирование NIST и вошла в библиотеки OpenSSL.
Источники
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
- ГОСТ Р 34.11-2012 «Функция хэширования».
- Федеральный закон № 152-ФЗ «О персональных данных» (2006).
- Федеральный закон № 63-ФЗ «Об электронной подписи» (2011).
- Методические рекомендации ФСТЭК по сертификации СКЗИ (2021).
- Учебное пособие «Криптография. Основы теории и практики» под ред. А. А. Любимова (2020).
- Материалы портала NIST (National Institute of Standards and Technology) по постквантовой криптографии (2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →