- Аппаратные СКЗИ
- Рутокен ЭЦП 3.0
- Как выбрать подходящее СКЗИ
- Лицензия КриптоПро CSP
- Аппаратные СКЗИ
- Какую лицензию выбрать
- Носители и СКЗИ для квалифицированной электронной подписи
- Классы средств электронной подписи
- Определение класса средства электронной подписи
- Чем определяется класс средства электронной подписи
- Для чего необходимы сертификаты для работы со средствами ЭП классов КС2 и КС3
- Документация по сертификатам для информационных систем
- Как получить сертификат для работы с СКЗИ класса КС2, КС3
- Была ли эта статья полезной?
- Хранение ключей электронной подписи на компьютере
- Недостатки хранения ЭП в компьютере
- Токен для хранения ключей ЭП
- Токен для хранения ключей ЭП со встроенным СКЗИ
- Дополнительная защита электронной подписи
- Защита подписи от копирования
- Незащищённые носители для хранения ключей ЭП
- О чём нужно помнить при хранении квалифицированной ЭП
- Заключение
- Что такое СКЗИ и для чего нужны средства криптографической защиты
Аппаратные СКЗИ
Например, Рутокен ЭЦП 3.0 — это смарт-карта с встроенным процессором для работы с ключами и сертификатами. Она также имеет встроенные датчики отпечатка пальца для дополнительной защиты данных.
Рутокен ЭЦП 3.0
Рутокен ЭЦП 3.0 является устройством, которое поддерживает криптографические алгоритмы и методы. Он используется для хранения сертификата и закрытого ключа электронной подписи.
Плюсы использования Рутокен ЭЦП 3.0:
- Удобство в использовании на разных компьютерах;
- Дополнительная биометрическая защита данных;
- Возможность использования нескольких видов электронной подписи на одном устройстве.
Как выбрать подходящее СКЗИ
При выборе СКЗИ для работы с квалифицированной электронной подписью необходимо учитывать следующие критерии:
| Критерий | Программные СКЗИ | Аппаратные СКЗИ |
|---|---|---|
| Удобство использования | Не требует специального устройства | Требует устройства для работы |
| Безопасность | Ниже, так как ключевые данные хранятся на компьютере | Выше, так как ключевые данные хранятся на защищенном устройстве |
| Поддерживаемые алгоритмы | Ограниченные | Широкий спектр |
| Мобильность | Ограниченная | Большая, можно использовать на разных устройствах |
Следует выбирать тот вариант, который лучше соответствует поставленным задачам и требованиям к безопасности.
Представленные типы СКЗИ — программные и аппаратные — играют важную роль в работе с квалифицированной электронной подписью. Важно выбрать подходящее средство для обеспечения безопасности и надежности подписи.
Лицензия КриптоПро CSP
Лицензия КриптоПро CSP будет работать только для этого сертификата, другие сертификаты работать не будут. Для них потребуется отдельная лицензия.
Чтобы выбрать подходящую лицензию КриптоПро для электронной подписи, рекомендуем обратиться в наш интернет-магазин. Оставьте короткую заявку для бесплатной консультации специалиста.
Аппаратные СКЗИ
Рутокен ЭЦП 3.0 сам является СКЗИ, для вычисления подписи ему не нужен программный СКЗИ на персональном компьютере. Закрытый ключ создаётся сразу в памяти устройства. Рутокен ЭЦП 3.0 умеет работать с отечественными ГОСТ алгоритмами подписи и шифрования.
При использовании Рутокен ЭЦП 3.0 устанавливать СКЗИ на компьютер не обязательно и лицензию приобретать не нужно. Единственный минус — не все интернет-порталы могут работать с таким токеном без установки программного криптопровайдера на персональный компьютер.
Выбрать подходящий носитель для ключей и сертификата КЭП рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели токенов.
Физические и юридические лица могут использовать Рутокен ЭЦП 3.0, который позволяет работать с КЭП на любом ПК и из любой точки мира, где есть интернет: получить госуслуги, заключить трудовой договор, подписать любой документ или доверенность.
Плюсы аппаратного СКЗИ:
- Не обязательно покупать лицензию и устанавливать программный криптопровайдер на компьютер.
- Подпись ставится с любого компьютера, к которому можно подключить токен.
- Только такие токены подходят для работы с системой ЕГАИС.
- Портал или программа, в которой нужно работать с подписью, должна уметь работать с аппаратным СКЗИ.
- Токен с аппаратным СКЗИ несколько дороже обычного токена.
Какую лицензию выбрать
Выбор лицензии зависит от планируемых задач и порядка работы с электронной подписью.
Если в организации стоит стационарный компьютер, с которого несколько пользователей подписывают документы своей КЭП, выгоднее и удобнее будет иметь действующую лицензию КриптоПро CSP на ПК. Иначе придётся тратить деньги на лицензию для каждого работника, а так СКЗИ оплачен сразу для всех.
Токены, которые являются аппаратными СКЗИ, могут работать без программного криптопровайдера, и лицензия на него в большинстве случаев не нужна.
Также ответим на вопрос, который волнует представителей бизнеса, работает ли ФНС с аппаратными СКЗИ. Ответ будет таким — да, аппаратные СКЗИ подходят для работы на портале налоговой в личном кабинете ИП или юридического лица. Кроме того, такие токены можно без проблем использовать во всех сервисах Калуга Астрал.
Носители и СКЗИ для квалифицированной электронной подписи
Всё для работы вашей КЭП
Оставьте заявку и наш специалист свяжется с вами
Средства электронной подписи – это средства криптографической защиты информации (далее – СКЗИ), используемые для реализации как минимум одной из следующих функций:
- Создание ЭП
- Проверка ЭП
- Создание ключа ЭП
- Ключа проверки ЭП.
Классы средств электронной подписи
В зависимости от способности противостоять атакам с использованием аппаратных и (или) программных средств для получения доступа к защищаемой средствами ЭП информации или данным они подразделяются на различные классы, которые и определяют уровни криптографической защиты информации.
Сведения о классе средства электронной подписи (далее — средства ЭП) владельца квалифицированного сертификата ключа проверки электронной подписи указываются в самом квалифицированном сертификате в соответствии с классом средств ЭП, используемом владельцем сертификата для подписания электронных документов. Помимо класса защиты средств ЭП, в сертификате электронной подписи указываются и сведения о самом средстве ЭП.
Согласно Приказу ФСБ РФ от 27 декабря 2011 г. N 796 Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра существует шесть классов средств электронной подписи, из которых участниками информационного взаимодействия с использованием электронной подписи во всех известных случаях используются средства электронной подписи классов КС1, КС2, КС3.
Определение класса средства электронной подписи
Участники информационного взаимодействия самостоятельно определяют, средства электронной подписи какого класса защиты они должны использовать при подписании электронных документов в процессе информационного взаимодействия. При этом необходимость использования того или иного класса средств электронной подписи определяется, исходя из возможных угроз, представляющих собой целенаправленные действия нарушителя с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством электронной подписи информации.
Чем определяется класс средства электронной подписи
Класс средства электронной подписи определяется классом СКЗИ, используемым для реализации функций средства ЭП.
СКЗИ класса КС1 является базовой программой или устройством. В соответствии с правилами использования, для средства ЭП класса КС1 применение дополнительных средств контроля и защиты не требуется.
Для СКЗИ класса КС2 должны быть выполнены определенные условия.
Для СКЗИ класса КС3 должны быть выполнены определенные условия.
Класс защиты СКЗИ, используемый на АРМ пользователя, подтверждают.
Для чего необходимы сертификаты для работы со средствами ЭП классов КС2 и КС3
При информационном взаимодействии с отдельными информационными системами, передающими конфиденциальную информацию и персональные данные пользователей, требуется использование средств ЭП классов КС2 и КС3. Например, для работы с системами ГИС ЖКХ (Государственная информационная система жилищно-коммунального хозяйства) необходимо использовать средство ЭП класса КС2, сведения о котором должны быть отражены в квалифицированном сертификате.
Работать в системе ГИС ЖКХ могут поставщики услуг, управляющие организации, ТСЖ (товарищества собственников жилья), ЖСК (жилищно-строительные кооперативы), ЖК (жилищные кооперативы), фонды капремонта, ресурсоснабжающие организации.
Документация по сертификатам для информационных систем
Для входа в личный кабинет на портале ГИС ЖКХ достаточно квалифицированного сертификата для работы со средствами ЭП класса защиты КС1. Но передавать данные из ИС поставщика информации в ГИС ЖКХ необходимо с применением сертификата электронной подписи для работы со средствами ЭП класса защиты КС2.
При работе и передаче персональных данных в определённые информационные системы по требованиям ИС (информационных систем) или ГИС (государственных информационных систем) потребуются квалифицированные сертификаты для работы с СКЗИ класса защиты КС3. Такие сертификаты электронной подписи понадобятся организациям из банковской сферы в соответствии с требованиями организации передачи биометрических персональных данных в Единую биометрическую систему, а также организациям, работающим с конфиденциальной информацией.
Как получить сертификат для работы с СКЗИ класса КС2, КС3
Компания Инфотекс Интернет Траст предоставляет возможность получения квалифицированных сертификатов, содержащих в числе прочего сведения о классе используемых владельцем сертификата средствах ЭП. В квалифицированных сертификатах, выдаваемых аккредитованным удостоверяющим центром Инфотекс Интернет Траст, могут быть указаны следующие классы средств криптографической защиты информации: КС1, КС2, КС3.
Чтобы получить необходимый вам сертификат, оставьте заявку на сайте. С вами свяжется специалист для уточнения деталей, после чего вам необходимо будет пройти идентификацию личности и оплатить услугу. Изготовление сертификата займёт не более двух рабочих дней.
Была ли эта статья полезной?
- [x] Да
- [ ] Нет
Получить сертификат электронной подписи
Заполните заявку на выпуск сертификата
В России появилось первое комплексное решение для защиты интеллектуальных систем учёта электрической энергии (ИСУЭ) с применением средств криптографической защиты информации (СКЗИ).
Постановлением Правительства РФ от 19 июня 2020 г. № 890 О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учёта электрической энергии (мощности) (далее – Постановление) установлены требования по защите информации, обрабатываемой в интеллектуальной системе учёта электрической энергии (ИСУЭ), от несанкционированного доступа к ней при её сборе, передаче и хранении.
В соответствии с указанным Постановлением Минэнерго России была разработана и согласована с ФСБ России Базовая модель угроз интеллектуальной системы учёта электрической энергии, предусматривающая применение для защиты информации сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ). С 01 января 2024 года применение СКЗИ стало обязательным на уровне ИВК и уровне ИВКЭ для трёхуровневой модели ИСУЭ.
ГК «Системы и Технологии» – российский разработчик автоматизированных систем в большой энергетике и крупной промышленности, ООО «КРИПТО ПРО» – разработчик и производитель СКЗИ и АО «НТЦ Фискальная безопасность» – разработчик специализированных СКЗИ для обеспечения конфиденциальности, целостностности и юридической значимости, объявляют о готовности к применению совместного решения – «Интеллектуальный контроллер SM160-02М» со встроенным программно-аппаратным СКЗИ «IT SM» Исполнение 2 (IT SM M), сертифицированным ФСБ России по классу КС3.
В рамках совместных работ, подтверждена возможность использования интеллектуального контроллера SM160-02М со встроенным СКЗИ IT SM М при построении защищенных ИСУЭ, соответствующих требованиям Постановления Правительства РФ от 19 июня 2020 г. N 890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учёта электрической энергии (мощности)».
Выход на рынок электроэнергетики решения с СКЗИ для ИСУЭ подтверждается положительным заключением ФСБ России по результатам экспертизы материалов по оценке корректности встраивания СКЗИ IT SM М в изделие «Интеллектуальный контроллер SM160-02М», реквизиты заключения – № 149/3/2/22433 от 29 декабря 2023 г.
Решение полностью удовлетворяет:
«Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих гос. тайну» по классу КС3 и может использоваться за пределами контролируемой зоны;
«Требованиям к средствам электронной подписи», утверждённым Приказом ФСБ России от 27.12.2011 г. № 796 по классу КС3 при выполнении операций: создание ключа проверки ЭП, создание ЭП, проверка ЭП для пользовательских данных (в режиме автоматического создания и проверки ЭП).
В составе решения:
«Интеллектуальный контроллер SM160-02М» – флагманский продукт ГК «Системы и Технологии», зарекомендовавший себя как универсальное надёжное решение для создания систем учёта на розничном и оптовом рынке, так и для проектов по диспетчеризации, телемеханике, АСУ ТП, ССПИ, АСУНО. SM160-02М поддерживает все основные типы приборов учёта различных производителей и удовлетворяет функциональным требованиям действующего законодательства РФ. Включён в реестр Минпромторга России. Соответствует СТО 34.01-5.1-010-2021 ПАО «Россети», рекомендован к применению на объектах ДЗО, ЗАК № ПЗ-1/22 от 10.01.2022 г.
Встраиваемый Унифицированный вычислительный модуль СКЗИ «IT SM» версии 1.0. Исполнение 2 производства АО «НТЦ Фискальная безопасность». Средство криптографической защиты информации «IT SM» версия 1.0 Исполнение 2 имеет Сертификат соответствия ФСБ России рег. № СФ / 124-4696 от 29.12.2023 г.
Криптошлюз «КриптоПро NGate», производства ООО «КРИПТО ПРО». КриптоПро NGate – это универсальное высокопроизводительное средство криптографической защиты сетевого трафика. КриптоПро NGate реализует российские криптографические алгоритмы, сертифицирован по требованиям к СКЗИ и имеет сертификат ФСБ России по классу КС3. Сертификат соответствия ФСБ России рег. № СФ / 124- 4364 от 11.10.2022 г.
Хранение ключей электронной подписи (ЭП или ЭЦП) является одной из важнейших задач для любой организации, которая использует электронные подписи в своей деятельности. Это связано с тем, что электронная подпись является ключом к безопасности документов, которые подписываются с её помощью.
ЭЦП — это устаревшее понятие. Расшифровывается как «электронная цифровая подпись». В настоящее время используется более ёмкое название ЭП, которое расшифровывается как «электронная подпись».
В данной статье мы рассмотрим, как правильно хранить ключи ЭЦП в организации.
Хранение ключей электронной подписи на компьютере
Налоговая служба записывает ключи и сертификат квалифицированной электронной подписи для ИП и юрлиц только на ключевые носители — токены. Они должны иметь сертификацию ФСТЭК или ФСБ России. Более того, файлы делают неэкспортируемыми, благодаря чему их нельзя перенести на компьютер или любой другой носитель цифровой информации. Хранить их получится только на устройстве, где записаны ключи ЭП. Чтобы ими воспользоваться, необходимо вставить токен в компьютер. Это позволяет обеспечить безопасность и защиту данных, а также упрощает процесс проверки подлинности документов и операций. Кроме того, использование сертифицированных токенов позволяет избежать возможных ошибок и проблем при работе с электронной подписью.
Ключи квалифицированной ЭП физического лица можно хранить не только на ключевых носителях. Законодательством такое условие не регулируется. Вариантов в этом случае много: жёсткий диск, дискета или CD. В том числе ключи электронной подписи с сертификатом можно хранить в системе компьютера. У данного способа хранения есть свои недостатки и преимущества. Рассмотрим их.
Недостатки хранения ЭП в компьютере
Существует множество вариантов моделей ключевых носителей для хранения электронной подписи. Их главное отличие — это наличие встроенного средства криптографической защиты информации (СКЗИ).
Токен для хранения ключей ЭП
Такой вариант устройства очень удобен. Выпускается в виде смарт-карты или USB-флешки. Используется для подписания любых цифровых документов, а также для работы на интернет-порталах или в информационных системах. С помощью токена можно отправить отчётность в госорганы или участвовать в торгах. Минус такого носителя в том, что он требует установки СКЗИ на ПК и его нельзя использовать для ЕГАИС.
Популярные модели: eToken, Рутокен и др.
Токен для хранения ключей ЭП со встроенным СКЗИ
Встроенное средство криптографической защиты информации ещё больше упрощает работу с ЭП. Устройство можно использовать на любом компьютере без необходимости покупки дополнительного ПО. Преимущество таких моделей заключается в том, что их можно использовать для работы в ЕГАИС. Популярные модели: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE.
Выбрать подходящий токен для квалифицированной электронной подписи рекомендуем в нашем интернет-магазине. В каталоге представлены только сертифицированные модели ключевых носителей.
Дополнительная защита электронной подписи
Каждый съёмный носитель электронной подписи имеет пин-код, после ввода которого пользователь получает доступ к работе с ЭП. Стандартный пароль устанавливает завод изготовитель. После покупки устройства пароль можно поменять.
Защита подписи от копирования
Программное обеспечение имеет функционал копирования ключей электронной подписи. Таким образом, их можно скопировать на другие ключевые носители или компьютер. Этим могут воспользоваться злоумышленники. Чтобы такого не произошло, владелец ключей ЭЦП может установить защиту от копирования.
Незащищённые носители для хранения ключей ЭП
Контейнер ключей квалифицированной электронной подписи можно записать на диск, дискету, в память ПК и т.п. Вариантов много. Но при таком хранении файлы не будут надёжно защищены. Если злоумышленники получат к ним доступ, они смогут подписать любые цифровые документы от чужого имени.
ЭЦП можно записать в реестр ноутбука. Данный способ хранения тоже является небезопасным. Каждый, кто получит доступ к этой системе, будет иметь возможность подписывать документы и создавать копии ключа. Есть риски полностью лишиться электронной подписи, если ПК потеряется или случится серьёзная поломка.
О чём нужно помнить при хранении квалифицированной ЭП
При хранении электронной подписи в организации важно соблюдать правила цифровой безопасности. Чтобы избежать проблем, необходимо выполнять следующее:
Заключение
Хранение электронной подписи является ответственным процессом, который требует соблюдения установленного порядка и регламента. Для обеспечения безопасности и учёта необходимо учитывать срок действия подписи, описать порядок хранения и соблюдать все требования безопасности.
Программный комплекс «Система криптографической защиты информации автоматизированных систем Банка России «Янтарь L» версия 6 (условное обозначение системы – СКЗИ «Янтарь L») относится к классу «Специализированное ПО органов исполнительной власти Российской Федерации, государственных корпораций, компаний и юридических лиц с преимущественным участием Российской Федерации для внутреннего использования» (применяется Банком России преимущественно для внутреннего использования) и не предусматривает коммерческое распространение. Вся документация по эксплуатации и установке разработана и доступна для внутреннего использования.
Описание функциональных характеристик
Назначение и функциональные характеристики СКЗИ «Янтарь L»: предназначена для использования в центрах обработки информации (ЦОИ) автоматизированных платежных и информационно-аналитических систем Банка России (АС Банка России) с целью обеспечения контроля целостности, подтверждения авторства и обеспечения конфиденциальности электронных документов, передаваемых между клиентскими рабочими местами и ЦОИ АС Банка России.
Последнее обновление страницы: 25.12.2023
Что такое СКЗИ и для чего нужны средства криптографической защиты
Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.
Иллюстрация: Катя Павловская для Skillbox Media
Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.
В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.
В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.
По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.
Из этой статьи вы узнаете:
СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. СКЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.
Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.
Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.
Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».
Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.
Например, протокол RSA в качестве одной из операций перемножает большие . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.
Есть несколько подходов к шифрованию данных. Оно может быть:
При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.

Инфографика: Майя Мальгина для Skillbox Media
Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.
Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя.
При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.
Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.

Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.
Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.
Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.

Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.
Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.

В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.
С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).
Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.
Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.
Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.
Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.
Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.
Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.
Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в . Это решает проблему совместимости.
Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:

Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:

Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.
Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.
Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).
Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.
Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.
Вот что нужно запомнить:

Большая конференция по нейросетям!Хотите разобраться, как использовать их в своей работе? Смотрите: 13 топ-экспертов, кейсы и практика. Онлайн, бесплатно. Кликните, чтобы узнать подробности.
Всем привет, меня зовут Василий Степаненко, и теперь я работаю в НУБЕС.
Эта статья для тех, кто любит “перебдеть”, и все информационные системы, в которых производится обработка персональных данных, категорировать по максимальному уровню защищенности, т.е. УЗ-1. Конечно же бывают случаи, когда действительно у информационной системы должен быть УЗ-1, но чаще все же этот уровень защищенности выводят на всякий случай, чтобы точно не придрались.
Так вот, есть открытый реестр сертифицированых по требованиям ФСБ России СЗИ: http://clsz.fsb.ru/clsz/certification.htm (сам реестр больше, это выписка, свободно доступная). В этом реестре только отечественные СКЗИ, в которых реализованы российские алгоритмы шифрования, такие как ГОСТ 34.10-2018 (электронная цифровая подпись), ГОСТ 34.11-2018 (хеш-функция), ГОСТ 34.12-2018 (блочные шифры, Кузнечик и Магма).
Из реестра нас интересуют только СКЗИ, поэтому средства антивирусной защиты, операционные системы, различные фильтры, межсетевые экраны и прочее не будем учитывать. Для персданных по этим классам СЗИ нужно брать реестр ФСТЭК России. Берем из реестра ФСБ именно СКЗИ классов КС1, КС2, КС3, КВ и КА, которые применяются для защиты сведений конфиденциального характера (но не гостайны) и смотрим, сколько каких вообще есть.
Количество СКЗИ в реестре: 430 шт.
Как видите, не так уж много СКЗИ, сертифицированных по требованиям ФСБ России, особенно КА и КВ.
Поясню по классам СКЗИ (КС1, КС2, КС3, КВ, КА) – их применение зависит от предполагаемого нарушителя. Если все сильно упростить, то можно сказать так:
Грубо говоря, КС1 – это самый низкий класс СКЗИ, предполагающий, что вокруг СКЗИ создано много преград для нарушителя и защищаемая информация не очень интересна спецслужбам. А класс КА, наоборот, предполагает, что в СКЗИ реализована защита от многих угроз, и посредством КА можно защищать весьма значимые сведения конфиденциального характера.
Когда разговор заходит о персданных (они относятся к сведениям конфиденциального характера), то все обычно вспоминают про 152-ФЗ, ПП-1119, 21 Приказ ФСТЭК, но есть еще и Приказ ФСБ России № 378 от 10.07.2014 г., которым тоже нужно руководствоваться, если речь идет о защите персональных данных. Консалтеры не очень любят вспоминать про СКЗИ, потому что они больше юристы, чем реальные безопасники. Обратите на 378 Приказ ФСБ внимание, если вдруг у вас идет консалтинговый проект по защите персданных.
В 378 Приказе ФСБ России есть привязка, какие СКЗИ нужно использовать для каких уровней защищенности персданных:
Таким образом, если Оператор персданных счёл для себя актуальными угрозы первого или второго типа (и соответственно вывел УЗ-1 или УЗ-2), то ему придется покупать СКЗИ классов КВ или КА. Их весьма немного в реестре ФСБ России, но что еще хуже, даже имеющиеся в реестре образцы не очень производительны. Для понимания – в КВ и КА речь не про Гб/с, а про Мб/с.
Напомню типы угроз по отношению к информационной системе персональных данных, которые определены в Постановлении Правительства № 1119 от 01.11.2012 г.:
Оператор персданных сам решает, какие типы угроз по 1119-ПП для него актуальны, а значит вполне возможно сказать, что в информационной системе коммерческой организации актуальны угрозы 3-го типа, не связанные с закладками в ПО. Таким образом, и на СКЗИ вы сможете сэкономить и обеспечить нормальную производительность шифрования, ведь чем выше класс СКЗИ, тем дороже. Все последние публичные утечки персданных связаны с наличием уязвимостей, неправильными настройками, публикацией наружу того, чего не нужно было публиковать, но не с тем, что в какой-либо ОС или браузере вендор оставил для спецслужб тайный ход, и они им воспользовались.
Лучше купите средства защиты и настройте их (это, увы, тоже не все делают), чтобы утечки не случились, чем внедрять в коммерческой организации СКЗИ классов КВ или КА. Кстати, и ключи шифрования для КВ и КА генерируются не в самих СКЗИ этих классов. Придется еще и к вендору, а возможно, и в ФСБ обращаться.
Если вы определили для себя необходимость применения КС2, КС3, КВ, КА, и решили разместить систему в облаке, стоит ориентироваться на облачных провайдеров, являющихся заодно и ЦОДами с услугой Colocation, так как начиная с КС2 и выше все СКЗИ будут программно-аппаратными, а значит стоит искать стойку (КС3, КВ, КА) или юнит (КС2).
Если же все упростить, то коммерческая компания может для себя определить актуальными угрозы 3-го типа по 1119-ПП. А значит выбрать, если это вообще необходимо, СКЗИ класса КС1, которые в свою очередь могут быть виртуальными (например, С-Терра виртуальный шлюз, ViPNet Coordinator VA) и спокойно разместить их в облаке, соответствующем 152-ФЗ, и с реальными мерами защиты, нейтрализующими всех возможных нарушителей.






