Средство криптографической защиты информации
Средство криптографической защиты информации (СКЗИ) — это программное, программно-аппаратное или аппаратное устройство, реализующее алгоритмы криптографического преобразования данных (шифрования, электронной подписи, хеширования) для обеспечения их конфиденциальности, целостности, аутентичности и неотказуемости. СКЗИ являются ключевым элементом систем защиты информации в государственных, корпоративных и частных информационных системах, особенно при обработке данных, содержащих государственную тайну или персональные данные.
История развития
Ранние этапы
Первые механические и электромеханические шифровальные машины (например, «Энигма» в Германии, «Хагелин» в Швейцарии) можно считать прототипами современных СКЗИ. Они использовались для военной и дипломатической связи. С появлением электронных вычислительных машин в середине XX века началась разработка программных криптоалгоритмов.
Развитие в СССР и России
В СССР криптографическая защита развивалась в закрытых ведомствах (КГБ, Министерство связи). Первые отечественные стандарты шифрования (ГОСТ 28147-89) были утверждены в 1989 году. После распада СССР и перехода к рыночной экономике в 1990-х годах началась коммерциализация СКЗИ. В 2002 году был принят закон «Об электронной цифровой подписи», стимулировавший развитие рынка. С 2010-х годов активно внедряются национальные стандарты на криптографические алгоритмы (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012).
Современное состояние
В XXI веке СКЗИ стали неотъемлемой частью инфраструктуры электронного правительства, онлайн-банкинга, систем документооборота и интернета вещей. В России регулирование СКЗИ осуществляется Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК). С 2021 года действует закон о предустановке российского ПО, включая СКЗИ, на ввозимые в Россию устройства.
Виды и классификация
По функциональному назначению
- Средства шифрования — обеспечивают преобразование открытого текста в шифротекст и обратно. Делятся на симметричные (один ключ для шифрования и расшифрования) и асимметричные (пара ключей: открытый и закрытый).
- Средства электронной подписи (ЭП) — создают и проверяют электронную подпись, подтверждающую авторство и неизменность документа.
- Средства хеширования — вычисляют хеш-функцию (контрольную сумму) для проверки целостности данных.
- Средства генерации ключей — создают криптостойкие ключевые последовательности.
- Средства управления ключами — распределяют, хранят и уничтожают ключи.
По типу реализации
- Программные — реализованы в виде библиотек, драйверов или приложений (например, КриптоПро CSP, ViPNet CSP). Устанавливаются на стандартные операционные системы.
- Программно-аппаратные — включают специализированные аппаратные модули (например, USB-токены, смарт-карты, сетевые криптошлюзы). Примеры: «Рутокен», «JaCarta», аппаратные модули доверенной загрузки.
- Аппаратные — полностью реализованы на уровне микросхем и устройств (например, криптографические сопроцессоры, защищённые модемы). Обеспечивают наибольшую производительность и защиту от физического взлома.
По области применения
- Для защиты государственной тайны — сертифицированы ФСБ России, имеют высший класс защиты. Используются в оборонной, дипломатической и специальной связи.
- Для защиты конфиденциальной информации — применяются в коммерческих организациях, банках, государственных учреждениях, не работающих с гостайной.
- Для защиты персональных данных — обязательны при обработке персональных данных в соответствии с Федеральным законом № 152-ФЗ.
- Для электронной подписи — используются в системах электронного документооборота, государственных порталах (Госуслуги), торговых площадках.
Устройство и принципы работы
Криптографические алгоритмы
Основу любого СКЗИ составляют криптографические алгоритмы. В России обязательными к применению в государственных информационных системах являются национальные стандарты:
- ГОСТ 28147-89 — симметричный блочный шифр (с 2015 года заменён на ГОСТ Р 34.12-2015, но старый стандарт ещё используется).
- ГОСТ Р 34.10-2012 — алгоритмы электронной подписи на основе эллиптических кривых.
- ГОСТ Р 34.11-2012 — функция хеширования «Стрибог».
- ГОСТ Р 34.12-2015 — блочные шифры «Магма» (64-битный) и «Кузнечик» (128-битный).
Архитектура СКЗИ
Типовое программное СКЗИ включает:
- Ядро — реализует криптографические преобразования, работает в изолированной среде (например, в режиме ядра ОС).
- Интерфейс программирования — API (например, Microsoft CryptoAPI, PKCS#11) для интеграции с прикладным ПО.
- Модуль управления ключами — отвечает за генерацию, хранение и жизненный цикл ключей.
- Модуль аутентификации — проверяет подлинность пользователя (по паролю, токену, биометрии).
Защита от атак
СКЗИ должны противостоять различным видам атак:
- Криптоанализ — попытки взлома алгоритма.
- Побочные каналы — утечка информации через время выполнения, энергопотребление, электромагнитное излучение.
- Физическое воздействие — вскрытие корпуса, снятие микросхемы.
- Социальная инженерия — обман пользователя для получения ключей.
Для защиты применяются аппаратные модули безопасности (HSM), защищённые носители ключей (токены), а также методы обфускации кода и антиотладки.
Правовое регулирование в России
Сертификация
Все СКЗИ, предназначенные для защиты государственной тайны или обработки персональных данных, подлежат обязательной сертификации в ФСБ России или ФСТЭК России. Сертификат подтверждает соответствие требованиям к криптостойкости и безопасности. Без сертификата использование СКЗИ в государственных информационных системах запрещено.
Лицензирование
Деятельность по разработке, производству, распространению и техническому обслуживанию СКЗИ подлежит лицензированию ФСБ России. Лицензия требуется как для юридических лиц, так и для индивидуальных предпринимателей.
Запрет на использование иностранных СКЗИ
С 2016 года в государственных и муниципальных информационных системах запрещено использование иностранных криптографических алгоритмов и СКЗИ. Исключение делается только для случаев, когда российские аналоги отсутствуют. В 2023 году были ужесточены требования к импортозамещению в сфере СКЗИ.
Применение
Государственное управление
- Электронное правительство (портал Госуслуги).
- Системы межведомственного электронного взаимодействия (СМЭВ).
- Электронные выборы и референдумы.
- Защита государственной тайны в оборонной и дипломатической сферах.
Банковская сфера
- Онлайн-банкинг и мобильные приложения.
- Платёжные системы (Мир, СБП).
- Электронные деньги и криптовалюты (в части, не запрещённой законом).
Корпоративный сектор
- Защита коммерческой тайны и интеллектуальной собственности.
- Электронный документооборот (EDI, юридически значимый документооборот).
- Удалённая работа и VPN-сети.
Инфраструктура интернета
- Протоколы TLS/SSL для защиты веб-трафика.
- Электронная почта (S/MIME, PGP).
- Облачные сервисы и хранение данных.
Критика и проблемы
Уязвимости и инциденты
Несмотря на высокий уровень защиты, СКЗИ не являются абсолютно надёжными. Известны случаи утечки ключей из-за ошибок в реализации (например, в библиотеке OpenSSL — Heartbleed). В 2022 году был выявлен ряд уязвимостей в российских СКЗИ, используемых в системах электронного документооборота.
Регуляторные барьеры
Сложная система сертификации и лицензирования замедляет вывод новых продуктов на рынок. Малые и средние компании часто не могут позволить себе затраты на получение лицензии ФСБ, что ограничивает конкуренцию.
Совместимость
СКЗИ разных производителей не всегда совместимы друг с другом, что создаёт проблемы при интеграции в гетерогенных ИТ-средах. Попытки стандартизации (например, через единый API) пока не привели к полной унификации.
Импортозамещение
Переход на российские СКЗИ требует значительных инвестиций и времени. Многие зарубежные алгоритмы (AES, RSA, ECDSA) широко распространены и хорошо изучены, а их замена на отечественные аналоги (например, «Кузнечик» вместо AES) не всегда оправдана с точки зрения производительности и совместимости.
Интересные факты
- Первое российское программное СКЗИ для коммерческого использования — «Крипто-ПАК» (1994 год), разработанное компанией «Крипто-Про».
- Алгоритм «Кузнечик» (ГОСТ Р 34.12-2015) был разработан с участием специалистов ФСБ и является одним из самых быстрых блочных шифров в мире на современных процессорах с поддержкой AES-NI.
- В 2023 году в России была запущена программа «Крипто-2025», направленная на создание квантово-устойчивых криптографических алгоритмов в связи с угрозой квантовых компьютеров.
Источники
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств».
- ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015.
- Материалы Федеральной службы безопасности Российской Федерации (официальный сайт).
- Отчёты и публикации компании «Крипто-Про» (официальный сайт).
- Научные статьи и учебники по криптографии (например, «Криптография и защита информации» под ред. В.А. Варфоломеева).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →