Средства криптографической защиты информации: виды и применение. Криптографические средства защиты Требования к шифровальным криптографическим

Криптографическими средствами защиты называются специальные средства и методы преобразования информации, в результате которых маскируется ее содержание. Основными видами криптографического закрытия являются шифрование и кодирование защищаемых данных. При этом шифрование есть такой вид закрытия, при котором самостоятельному преобразованию подвергается каждый символ закрываемых данных; при кодировании защищаемые данные делятся на блоки, имеющие смысловое значение, и каждый такой блок заменяется цифровым, буквенным или комбинированным кодом. При этом используется несколько различных систем шифрования: заменой, перестановкой, гаммированием, аналитическим преобразованием шифруемых данных. Широкое распространение получили комбинированные шифры, когда исходный текст последовательно преобразуется с использованием двух или даже трех различных шифров.

Принципы работы криптосистемы

Типичный пример изображения ситуации, в которой возникает задача криптографии (шифрования) изображён на рисунке №1:

Рис. №1

На рисунке № 1 А и В - законные пользователи защищённой информации, они хотят обмениваться информацией по общедоступному каналу связи.

П - незаконный пользователь (противник, хакер), который хочет перехватывать передаваемые по каналу связи сообщения и попытаться извлечь из них интересную для него информацию. Эту простую схему можно считать моделью типичной ситуации, в которой применяются криптографические методы защиты информации или просто шифрование.

Исторически в криптографии закрепились некоторые военные слова (противник, атака на шифр и др.). Они наиболее точно отражают смысл соответствующих криптографических понятий. Вместе с тем широко известная военная терминология, основанная на понятии кода (военно-морские коды, коды Генерального штаба, кодовые книги, кодобозначения и т. п.), уже не применяется в теоретической криптографии. Дело в том, что за последние десятилетия сформировалась теория кодирования - большое научное направление, которое разрабатывает и изучает методы защиты информации от случайных искажений в каналах связи. Криптография занимается методами преобразования информации, которые бы не позволили противнику извлечь ее из перехватываемых сообщений. При этом по каналу связи передается уже не сама защищаемая информация, а результат ее

преобразования с помощью шифра, и для противника возникает сложная задача вскрытия шифра. Вскрытие (взламывание) шифра - процесс получения защищаемой информации из шифрованного сообщения без знания примененного шифра. Противник может пытаться не получить, а уничтожить или модифицировать защищаемую информацию в процессе ее передачи. Это - совсем другой тип угроз для информация, отличный от перехвата и вскрытия шифра. Для защиты от таких угроз

разрабатываются свои специфические методы. Следовательно, на пути от одного законного пользователя к другому информация должна защищаться различными способами, противостоящими различным угрозам. Возникает ситуация цепи из разнотипных звеньев, которая защищает информацию. Естественно, противник будет стремиться найти самое слабое звено, чтобы с наименьшими затратами добраться до информации. А значит, и законные пользователи должны учитывать это обстоятельство в своей стратегии защиты: бессмысленно делать какое-то звено очень прочным, если есть заведомо более слабые звенья ("принцип равнопрочности защиты"). Придумывание хорошего шифра дело трудоемкое. Поэтому желательно увеличить время жизни хорошего шифра и использовать его для шифрования как можно большего количества сообщений. Но при этом возникает опасность, что противник уже разгадал (вскрыл) шифр и читает защищаемую информацию. Если же в шифре сеть сменный ключ то, заменив ключ, можно сделать так, что разработанные противником методы уже не дают эффекта.

Согласно законодательству ЕАЭС, шифровальные (криптографические) средства (далее – ШКС ) – это “аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении ” .

Данное определение весьма абстрактно, в связи с чем отнесение или неотнесение конкретного товара к ШКС может вызывать существенные затруднения.

Список товаров, относящихся к ШКС

В Положении о ввозе (вывозе) ШКС приведен список функций (компонентов), которые должен содержать товар, чтобы он мог считаться ШКС:

средства имитозащиты
средства электронной цифровой подписи
средства кодирования
средства изготовления криптографических ключей
сами криптографические ключи
системы, оборудование и компоненты, разработанные или модифицированные для выполнения крипто-аналитических функций
системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты
системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.

Однако, на практике нередко возникает ситуация, что таможенные органы, руководствуясь перечнем из раздела 2.19 (и даже только кодом ТН ВЭД из перечня), могут решить, что ввозимый продукт является шифровальным средством (и неважно, есть ли там шифрование на самом деле или нет). В этом случае импортеру придется получать разрешительные документы или доказывать таможне, что в товаре отсутствует шифрование.

Процедура импорта (экспорта) ШКС

В зависимости от таможенной процедуры для ввоза (вывоза) ШКС необходимо оформить различные виды документов:

12 категорий ШКС

На практике подавляющее большинство товаров с функцией шифрования ввозятся на основании нотификации.

Нотификация может зарегистрирована только на товары, относящиеся к одной или нескольким из 12 категорий шифровальных средств, технические и криптографические характеристики которых подлежат нотификации. Данный перечень приведен в Положении о нотификации .

Категория №1

1. Товары, содержащие в своем составе шифровальные (криптографические) средства, имеющие любую из следующих составляющих: 1) симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; 2) асимметричный криптографический алгоритм, основанный на любом из следующих методов: разложение на множители целых чисел, размер которых не превышает 512 бит; вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит; дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

ШКС данной категории выполняются различные криптографические функции, но определяющим фактором отнесения к данной категории является длина криптографического ключа. Указанные длины ключей существенно меньше рекомендованных минимальных значений для соответствующих групп алгоритмов. Использование таких коротких криптографических ключей делает возможным на современном оборудовании вскрытие зашифрованных сообщений методом полного перебора.

Симметричное шифрование в основном используется для обеспечения конфиденциальности данных, и основано на том, что отправитель и получатель информации используют один и тот же ключ как для зашифровки сообщений, так и для их расшифровки. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват. Примеры симметричных алгоритмов шифрования: RC4 , DES , AES .

Из перечисленных алгоритмов только DES (считающийся устаревшим) безусловно попадает в категорию 1; также алгоритм RC4 иногда может использоваться с короткими ключами (например, в протоколе WEP технологии связи Wi-Fi: длина ключа 40 или 128 бит).

В асимметричных алгоритмах шифрования (или криптографии с открытым ключом) для зашифровывания информации используют один ключ (открытый), а для расшифровывания – другой (секретный). Данные алгоритмы широко используются для установления защищенных соединений по открытым каналам связи, для целей ЭЦП. Примеры алгоритмов: RSA , DSA , Протокол Диффи - Хеллмана , ГОСТ Р 34.10-2012 .

Указанные методы относятся к математической базе функционирования асимметричных алгоритмов:

разложение на множители целых чисел - алгоритм RSA
вычисление дискретных логарифмов в мультипликативной группе конечного поля - алгоритмы DSA, Диффи-Хеллмана, Эль-Гамаля
дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта - алгоритмы на эллиптических кривых: ECDSA, ECDH, ГОСТ Р 34.10-2012.

Примеры нотифицируемых ШКС: теоретически любой товар может использовать устаревшие алгоритмы, либо короткие ключи в современных алгоритмах. На практике, однако, это имеет мало смысла, т.к. не обеспечивает достаточный уровень защиты. Одним из реальных примеров может быть Wi-Fi в режиме WEP с ключом длины 40 бит.

Категория №2

2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями: 1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;

Проверка подлинности пользователя в рамках данной категории предусматривает сравнение введённого им пароля или других аналогичных идентифицирующих данных с информацией, сохранённой в базе данных авторизованных пользователей, а сам процесс шифрования заключается в защите секретных данных пользователя от копирования и незаконного использования при их передаче от объекта аутентификации (пользователя) контролирующему устройству.

Примеры нотифицируемых ШКС: устройства систем контроля и управления доступом – считыватели паролей, устройства для хранения и формирования баз данных авторизованных пользователей, сетевые устройства аутентификации – шлюзы, роутеры, маршрутизаторы и т.д., устройства с защитой информации, хранящихся на них – жесткие диски с функцией парольного ограничения доступа.

2) электронная цифровая подпись (электронная подпись).

Процесс подписи реализуется путем криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Примеры нотифицируемых ШКС: генераторы ЭЦП, программное обеспечение для сопровождения и реализации механизма применения ЭЦП, устройства хранения ключевой информации ЭЦП.

Категория №3

3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной пользователю.

Операционная система это комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.

Примеры нотифицируемых ШКС: операционные системы и программные комплексы на их основе.

Категория №4

4. Персональные смарт-карты (интеллектуальные карты): 1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 - 8 настоящего перечня; 2) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации.

Смарт-карты это пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти.

Примеры нотифицируемых ШКС: SIM-карты доступа к услугам мобильных операторов, банковские карты, оснащенные чипом-микропроцессором, интеллектуальные карты идентификации ее владельца.

Категория №5

5. Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичная коммерческая аппаратура для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами, отправки счетов или возврата связанной с программой информации провайдерам вещания.

Данная категория относится к товарам, предназначенных для предоставления пользователю доступа к платным кодированным цифровым спутниковым, эфирным и кабельным телеканалам и радиостанциям (радиоканалам) (примеры стандартов: DVB-CPCM , DVB-CSA).

Примеры нотифицируемых ШКС: TV-тюнеры, приемники телесигналов, спутниковые телеприемники.

Категория №6

6. Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующих способов: 1) программное обеспечение исполнено в защищенном от копирования виде; 2) доступом к любому из следующего: защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации; информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах; 3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.

Примеры нотифицируемых ШКС: Игровые консоли, игры, программное обеспечение и т.п.

Категория №7

7. Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций.

Товары данной категории должны являться аппаратным устройством, т.е. иметь законченный вид банковского оборудования, применение которого не предполагает дополнительной сборки или доработки за исключением целей модернизации.

Примеры нотифицируемых ШКС: Банкоматы, платежные терминалы, пин-пады (банковские карты относят к категории №4).

Категория №8

8. Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (от абонента до абонента).

В данную категорию отнесены все устройства мобильной сотовой связи, работающие в стандартах GSM , GPRS , EDGE , UMTS , LTE , а также некоторые радиостанции. Главным требованием, предъявляемым к товарам данной категории в области выполняемого функционала – отсутствие способности к сквозному шифрованию , т.е. связь между абонентами должна осуществляться через устройство ретрансляции.

Примеры нотифицируемых ШКС: Мобильные устройства связи и устройства, имеющие в своем составе модули сотовой связи вышеуказанных стандартов, радиостанции.

Категория №9

9. Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя.

Сюда относится большинство устройств, которые иначе можно назвать как «радиоэлектронные средства малого радиуса действия» . Шифрование происходит при передаче/приеме информации по беспроводному радиоканалу в целях ее защиты от перехвата, проникновения несанкционированных пользователей в сеть связи. Как известно, такую защиту поддерживает большинство беспроводных стандартов передачи данных: Wi-Fi , Bluetooth , NFC , иногда RFID .

Примеры нотифицируемых ШКС: роутеры, точки доступа, модемы, устройства, содержащие в своем составе модули беспроводной радиосвязи ближнего радиуса действия, бесконтактные карты доступа/оплаты/идентификации.

Категория №10

10. Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.

Данная категория описывает товары, которые являются сетевыми устройствами, выполняющие коммутационные и сервисные функции. Как правило большинство данных устройств поддерживают простые сетевые протоколы управления, позволяющие производить мониторинг состояния сети, ее производительность, а также направлять команды администратора сети в ее разные узлы.

Примеры нотифицируемых ШКС: Серверы, коммутаторы, сетевые платформы, шлюзы.

Категория №11

11. Товары, криптографическая функция которых заблокирована производителем.

Данная категория может быть представлена абсолютно разными типами устройств разных назначений и области применения. Решающим фактором отнесения таких товаров к категории №11 является наличие предустановленного программного или аппаратного обеспечения , которое производит целенаправленную блокировку выполняемых товаром криптографических функций.

Категория №12

12. Иные товары, которые содержат шифровальные (криптографические) средства, отличные от указанных в пунктах 1 - 11 настоящего перечня, и соответствуют следующим критериям: 1) общедоступны для продажи населению в соответствии с законодательством государства - члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего: продажи за наличные; продажи путем заказа товаров по почте; электронных сделок; продажи по телефонным заказам; 2) шифровальные (криптографические) функциональные возможности которых не могут быть изменены пользователем простым способом; 3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком; 4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 - 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.

Стоит отметить, что на практике ЦЛСЗ ФСБ России предъявляет повышенные требования к представлению материалов для регистрации нотификаций на товары данной категории. Так, все перечисленные критерии должны быть подтверждены (ссылками на сайт производителя с информацией на русском языке или документально).

Наиболее распространенные категории ШКС

В Едином реестре для каждой нотификации приводится перечень категорий, к которым отнесен товар. Данная информация закодирована в поле "Идентификатор" : поле представляет собой 12-значный код, при этом, если товар относится к категории с номером N из списка выше, то на позиции N в коде будет стоят цифра 1, в противном случае - 0.

Например, код 110000000110 говорит о том, что товар нотифицировался по категориям №№ 1, 2, 10 и 11.

Интересно посмотреть на статистику использования различных категорий.

Как видно из диаграммы, наиболее распространёнными и часто встречающимися криптографическими функциями в ШКС является шифрование данных в беспроводном радиоканале малого радиуса действия (Wi-Fi, Bluetooth) – 27% от общего числа зарегистрированных ШКС, что логично, учитывая объем производимых мобильных средств связи, персональных компьютеров и других технических устройств, оснащенных модулями, поддерживающими данные технологии связи.

Второе место занимают ШКС, поддерживающие функции аутентификации и осуществления контроля доступа к защищенной информации – 19,5% . Данная тенденция также легко объясняется повышенными стандартами и запросами потребителей к защите персональной информации как на физических носителях (жесткие диски, USB-флеш накопители, серверы и т.п.), так и на сетевых (облачные хранилища, сетевые банки данных и т.п.). Дополнительно стоит отметить, что подавляющее большинство ШКС, используемые в системах контроля и управления доступом (более известные как СКУД) также выполняют криптографический функционал, относящийся к категории № 2.

Поскольку работа в сети является неотъемлемой частью функционирования любой информационной системы, то аспекты администрирования данной сетью связи реализованы в сетевых устройствах управления. Безопасность же организуемого данными устройствами интерфейса управления реализована посредством применения механизмов шифрования технологических каналов связи, что является основание для категорирования такого рода ШКС по категории №10, являющейся третьей по распространенности – 16% .

Важно также отметить, что наименее распространенные функции ШКС распределяются по категориям №5 (0,28% ), №12 (0,29% ) и №7 (0,62% ). Товары реализующие данные криптографические функции являются редкими и при проведении регистрации в ЦЛСЗ документация на них подвергается более детальному анализу, т.к. «не поставлена на поток» и наборы используемых криптографических протоколов и алгоритмов могут быть уникальны в каждом отдельном случае. Именно поэтому товарам данных категорий необходимо уделить максимальное внимание при составлении необходимых документов, поскольку в противном случае риск отказа в регистрации нотификации крайне велик.

Примечания

Ссылки

Электронная подпись (ЭЦП), - Единый портал Электронной подписи, - http://www.techportal.ru/glossary/identifikatsiya.html
Криптографические методы защиты информации, - Сборник лекций по основам локальных сетей Национального открытого Университета, - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
Понятие операционной системы, - Материалы портала об операционных системах, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
Введение в SNMP, - Материалы по сетевой безопасности, - http://network.xsp.ru/6_1.php

Криптографические средства обеспечения информационной безопасности основаны на использовании принципов шифрования данных .

Шифрование - это обратимое преобразование информации в целях сокрытия от неавторизованных лиц, с сохранением доступа к данным для авторизованных пользователей.

Шифрование используется:

для скрытия информации от неавторизованных пользователей при передаче, хранении и предотвращении изменений;
аутентификации источника данных и предотвращения отказа отправителя информации от факта отправки;
конфиденциальности передаваемой информации, т. е. ее доступности только для авторизованных пользователей, которые обладают определенным аутентичным (действительным, подлинным) ключом.

Таким образом, с помощью шифрования обеспечиваются обязательные категории ИБ: конфиденциальность, целостность, доступность и идентифицируемость.

Шифрование реализуется двумя процессами преобразования данных - зашифровкой и расшифровкой с использованием ключа. Согласно ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования», ключ- это конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований .

Ключ шифрования - это уникальный элемент для изменения результатов работы алгоритма шифрования: одни и те же исходные данные при использовании различных ключей будут зашифрованы по- разному.

Для расшифровки зашифрованной информации принимающей стороне необходимы ключ и дешифратор - устройство, реализующее расшифровку данных. В зависимости от количества ключей, используемых для процессов шифрования, различают два метода шифрования:

симметричное - использование одного и того же ключа и для зашифровки и для расшифровки данных;
ассиметричное - используются два разных ключа: один для зашифрования (открытый), другой для расшифрования (закрытый).

Процедуры преобразования данных с использованием ключа представляют собой алгоритм шифрования. Наиболее популярными в настоящее время являются следующие криптостойкие алгоритмы шифрования, описанные в государственных стандартах: ГОСТ 28147-89 (Россия), AES (Advanced Encryption Standard, США) и RSA (США). Тем не менее, несмотря на высокую сложность указанных алгоритмов шифрования, любой из них может быть взломан путем перебора всех возможных вариантов ключей .

Понятие «шифрование» является базовым для другого криптографического средства обеспечения ИБ - цифрового сертификата.

Цифровой сертификат - это выпущенный удостоверяющим центром (центром сертификации) электронный или печатный документ, подтверждающий принадлежность владельцу открытого ключа или каких-либо атрибутов.

Цифровой сертификат состоит из 2 ключей: публичного {public ) и частного {private ). Public -часть используется для зашифровывания трафика от клиента к серверу в защищенном соединении, ^пш^е-часть - для расшифровывания полученного от клиента зашифрованного трафика на сервере. После генерации пары public/private на основе публичного ключа формируется запрос на сертификат в Центр сертификации. В ответ центр сертификации высылает подписанный цифровой сертификат, при этом проверяя подлинность клиента - держателя сертификата.

Центр сертификации (удостоверяющий центр, Certification authority, С А) - это сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Основная задача центра сертификации состоит в подтверждении подлинности ключей шифрования с помощью цифровых сертификатов (сертификатов электронной подписи) путем:

предоставления услуг по удостоверению цифровых сертификатов (сертификатов электронной подписи);
обслуживания сертификатов открытых ключей;
получения и проверки информации о соответствии данных, указанных в сертификате ключа и предъявленными документами.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Основным средством обеспечения ИБ электронных документов в современных ИС является их защита с помощью электронной (электронной цифровой) подписи.

Электронная подпись (ЭП) - реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа, позволяющий установить отсутствие искажения данных с момента формирования подписи и проверить принадлежность подписи владельцу цифрового сертификата (сертификата ключа ЭП).

Электронная подпись предназначена для идентификации лица, подписавшего электронный документ, и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом . Использование ЭП позволяет осуществить:

контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, поскольку вычислена на основании исходного состояния документа и соответствует лишь ему;
защиту от изменений (подделки) документа благодаря гарантии выявления подделки при контроле целостности данных;
доказательное подтверждение авторства документа, поскольку закрытый ключ ЭП известен лишь владельцу соответствующего цифрового сертификата (могут быть подписаны поля: «автор», «внесенные изменения», «метка времени» и т. д.).

Поскольку реализация ЭП основана на применении принципов шифрования данных, различают два варианта построения ЭП:

на основе алгоритмов симметричного шифрования, что предусматривает наличие в системе третьего лица (арбитра), которому доверяют обе стороны. Авторизацией документа является сам факт зашифровки его секретным ключом и передача его арбитру;
на основе алгоритмов асимметричного шифрования - наиболее распространенные в современных ИС: схемы, основанные на алгоритме шифрования RSA (Full Domain Hash, Probabilistic Signature Scheme, PKCS#1), Эль-Гамаля, Шнорра, Диффи-Хельмана, Pointcheval-Stem signature algorithm, вероятностная схема подписи Рабина, Boneh-Lynn- Shacham, Goldwasser-Micali-Rivest, схемы на основе аппарата эллиптических кривых ECDSA, национальные криптографические стандарты: ГОСТ Р 34.10-2012 (Россия), ДСТУ 4145-2002 (Украина), СТБ 1176.2-99 (Белоруссия), DSA (США).

На настоящий момент главным отечественным стандартом, регламентирующим понятие ЭП является ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

Как правило, реализация ЭП в ИС выполняется включением в их состав специальных модульных компонент, содержащих сертифицированные средства криптографической защиты данных: КриптоПро CSP, СигналКом CSP, Верба OW, Домен-К, Авест, Генкей и другие, сертифицированные ФАПСИ (Федеральное агентство правительственной связи и информации при Президенте Российской Федерации) и удовлетворяющие спецификации Microsoft Crypto API.

Microsoft CryptoAPI представляет собой интерфейс программирования Windows-приложений, который содержит стандартный набор функций для работы с криптопровайдером. Входит в состав операционных систем Microsoft Windows (начиная с 2000 г.).

CryptoAPI позволяет шифровать и расшифровывать данные, поддерживает работу с асимметричными и симметричными ключами, а также цифровыми сертификатами. Набор поддерживаемых криптографических алгоритмов зависит от конкретного криптопровайдера.

Криптопровайдер (Cryptography Service Provider, CSP) - это независимый модуль для осуществления криптографических операций в операционных системах Microsoft под управлением функций CryptoAPI. Таким образом, крипто провайдер является посредником между операционной системой, которая может управлять им с помощью стандартных функций CryptoAPI, и исполнителем криптографических операций, например прикладной ИС или аппаратным обеспечением .

О ввозе
на таможенную территорию Евразийского
экономического союза и вывозе с таможенной
территории Евразийского экономического союза
шифровальных (криптографических) средств

Перечень
категорий товаров, являющихся шифровальными (криптографическими) средствами или содержащих в своем составе шифровальные (криптографические) средства, технические и криптографические характеристики которых подлежат нотификации

1. Товары, содержащие в своем составе шифровальные (криптографические) средства, имеющие любую из следующих составляющих:

1) симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит;

2) асимметричный криптографический алгоритм, основанный на любом из следующих методов:

разложение на множители целых чисел, размер которых не превышает 512 бит;

вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит;

дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

Примечания: 1. Биты четности не включаются в длину ключа.

2. Термин "криптография" не относится к фиксированным методам сжатия или кодирования данных.

2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:

1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;

Примечание. Функции аутентификации и электронной цифровой подписи (электронной подписи) включают в себя связанную с ними функцию распределения ключей.

3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной пользователю.

4. Персональные смарт-карты (интеллектуальные карты):

1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 - 8 настоящего перечня;

2) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации.

Примечание. Если персональная смарт-карта (интеллектуальная карта) может осуществлять несколько функций, контрольный статус каждой из функций определяется отдельно.

6. Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующих способов:

1) программное обеспечение исполнено в защищенном от копирования виде;

2) доступом к любому из следующего:

защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации;

информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах;

3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.

Примечание. Финансовые операции включают в себя в том числе сборы и оплату за транспортные услуги и кредитование.

11. Товары, криптографическая функция которых заблокирована производителем.

1) общедоступны для продажи населению в соответствии с законодательством государства - члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего:

продажи за наличные;

продажи путем заказа товаров по почте;

электронных сделок;

продажи по телефонным заказам;

2) шифровальные (криптографические) функциональные возможности которых не могут быть изменены пользователем простым способом;

3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком;

4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 - 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.

Органом, осуществляющим регулирование и контроль в сфере криптографии, является Федеральная служба безопасности (ФСБ России). Она вправе:

осуществлять в соответствии со своей компетенцией регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, расположенных на территории Российской Федерации, а также в области предоставления услуг по шифрованию информации в Российской Федерации, выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
осуществлять государственный контроль за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, сетей связи специального назначения и иных сетей связи, обеспечивающих передачу информации с использованием шифров, контроль за соблюдением режима секретности при обращении с шифрованной информацией в шифровальных подразделениях государственных органов и организаций на территории Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также в соответствии со своей компетенцией контроль за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техническим каналам;
разрабатывать, создавать и эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации, включая средства криптографической защиты.

Положение о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств утверждено Решением Коллегии Евразийской экономической комиссии. Им установлено, что товары имеют функции шифрования (криптографии), если они реализуют или содержат в своем составе следующие средства:

а) средства шифрования (аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении);

б) средства имитозащиты (аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации);

в) средства электронной цифровой подписи (электронной подписи), определяемые в соответствии с законодательством государств — членов Союза (далее — государства-члены);

г) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации с выполнением части такого преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) аппаратные, программные и аппаратно-программные средства, системы и комплексы, разработанные или модифицированные для выполнения криптоаналитических функций;

ж) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты;

з) аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.

Ввоз и (или) вывоз шифровальных (криптографических) средств осуществляются при наличии сведений о включении соответствующей нотификации в единый реестр нотификаций (далее — сведения о нотификации) либо при наличии лицензии . Для помещения товара под таможенные режимы, отличные от выпуска для внутреннего потребления и экспорта, а также при ввозе в целях обеспечения собственных нужд без права их распространения и оказания третьим лицам услуг в области шифрования, вместо лицензии может представляться заключение уполномоченного органа (в России это Центр по лицензированию, сертификации и защите государственной тайны ФСБ России, ЦЛСЗ ФСБ России). Не требуется представление лицензии, заключения (разрешительного документа) или сведений о нотификации при помещении под таможенные процедуры выпуска для внутреннего потребления или экспорта операторами сотовой связи образцов тестовых сим-карт в целях международного обмена в количестве не более 20 штук.

Для оформления лицензии в уполномоченный орган (Минпромторг России) представляются следующие документы и сведения:

заявление о выдаче лицензии и его электронная копия;
копия внешнеторгового договора (контракта), приложения и (или) дополнения к нему (для разовой лицензии), а в случае отсутствия внешнеторгового договора (контракта) — копия иного документа, подтверждающего намерения сторон;
сведения о постановке заявителя на учет в налоговом органе или о государственной регистрации;
сведения о наличии лицензии на осуществление лицензируемого вида деятельности на территории России;
заключение (разрешительный документ) ЦЛСЗ ФСБ России;
уведомление заявителя об отсутствии в составе ввозимых шифровальных (криптографических) средств радиоэлектронных средств и (или) высокочастотных устройств гражданского назначения (для их ввоза предусмотрена иная процедура).

Выдача лицензии или отказ в ее выдаче осуществляются уполномоченным органом в течение 15 рабочих дней с даты подачи документов.

Заключение (разрешительный документ) выдается при представлении в согласующий орган следующих документов:

а) проект заключения (разрешительного документа), оформленный в соответствии с методическими указаниями по заполнению единой формы заключения (разрешительного документа) на ввоз, вывоз и транзит отдельных товаров, включенных в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами — членами Таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами, утвержденными Решением Коллегии Евразийской экономической комиссии;

б) техническая документация на шифровальное (криптографическое) средство (представление исходных кодов не является обязательным, отказ заявителя в представлении исходных кодов не является основанием для отказа в выдаче заключения (разрешительного документа)).

Нотификация (разовое уведомление, направляемое производителем или импортером для включения в единый реестр, и являющееся основанием для последующего ввоза и вывоза товаров) допускается в отношении следующих шифровальных средств:

2) асимметричный криптографический алгоритм, основанный на любом из следующих методов:

разложение на множители целых чисел, размер которых не превышает 512 бит;
вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит;
дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

Примечания:

1. Биты четности не включаются в длину ключа.

2. Термин «криптография» не относится к фиксированным методам сжатия или кодирования данных.

2) электронная цифровая подпись (электронная подпись).

3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т. д.) на которые является доступной пользователю.

4. Персональные смарт-карты (интеллектуальные карты):

1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 — 8 настоящего перечня;

1) программное обеспечение исполнено в защищенном от копирования виде;

2) доступом к любому из следующего:

защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации;
информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах;

3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.

Примечание. Финансовые операции включают в себя, в том числе, сборы и оплату за транспортные услуги и кредитование.

11. Товары, криптографическая функция которых заблокирована производителем.

12. Иные товары, которые содержат шифровальные (криптографические) средства, отличные от указанных в пунктах 1 — 11 настоящего перечня, и соответствуют следующим критериям:

1) общедоступны для продажи населению в соответствии с законодательством государства — члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего:

продажи за наличные;
продажи путем заказа товаров по почте;
электронных сделок;
продажи по телефонным заказам;

3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком;

4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 — 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.

Деятельность в области криптографии на территории России

В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности», практически все виды деятельности в области криптографии подлежат лицензированию.

Из-под лицензирования выведены:

1. техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, которое осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя;

2. деятельность с использованием:

а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну (в данном случае лицензирование осуществляется в рамках законодательства о государственной тайне);

б) шифровальных (криптографических) средств, а также товаров, содержащих шифровальные (криптографические) средства, реализующих либо симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит, либо асимметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления дискретных логарифмов в иной группе размера, не превышающего 112 бит;

в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;

г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах «е» — «и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;

е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания;

ж) оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:

исполнение программного обеспечения в защищенном от копирования виде;
обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
контроль копирования аудио- и видеоинформации, защищенной авторскими правами;

з) шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями;

и) портативных или мобильных радиоэлектронных средств гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к абоненту);

к) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);

л) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;

м) товаров, у которых криптографическая функция гарантированно заблокирована производителем.

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся :

а) средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

Лицензирование деятельности, определенной настоящим Положением, осуществляется ФСБ России (далее — лицензирующий орган).

Основными лицензионными требованиями являются:

а) наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, составляющих лицензируемую деятельность, в соответствии с требованиями о соблюдении конфиденциальности информации, установленными Федеральным законом «Об информации, информационных технологиях и о защите информации»;

б) наличие у соискателя лицензии (лицензиата) допуска к выполнению работ и оказанию услуг, связанных с использованием сведений, составляющих государственную тайну (если допуск к государственной тайне необходим для планируемых видов работ и услуг, например, при разработке криптосредств);

в) наличие в штате у соискателя лицензии (лицензиата) квалифицированного персонала, требования к опыту работы и образованию которых также варьируются в зависимости от планируемого заявителем вида деятельности. Так, для продажи криптосредств требуются работники, имеющие высшее или среднее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 100 аудиторных часов). Для разработки криптосредств, напротив, требуются работники, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 1000 аудиторных часов), а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 5 лет.

г) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств.