Мы много рассказывали про отдельные алгоритмы шифрования, а сегодня соберём одну обобщающую статью про криптографию и её инструменты. В статье вспомним все важные для современной компьютерной безопасности вещи: симметричное и асимметричное шифрование, электронную подпись, обмен ключами и другие средства защиты данных.
Что такое СКЗИ
Чтобы спрятать информацию, нужны разные вещи: алгоритмы, программы, ключи шифрования и специальные устройства.
Полная расшифровка аббревиатуры СКЗИ
СКЗИ — это средства криптографической защиты информации. Этот термин включает все вещи для обеспечения защиты данных. Пока звучит непонятно, но дальше мы разберём, какими бывают эти инструменты и как используются в деле.
Термин СКЗИ появился в официальном документе — приказе ФСБ РФ от 09.02.2005 № 66. Поэтому иногда говорят, что СКЗИ могут называться только программы и устройства, прошедшие проверку и получившие сертификат ФСБ. Но на самом деле СКЗИ может быть любой инструмент криптографии — просто у одних есть сертификат, а у других нет.
Какие из них надёжнее, сказать сложно. Всё зависит от того, кто будет пытаться взломать защиту и как. Например, хакер может позвонить по телефону и заставить собеседника выдать необходимую информацию во время разговора. Здесь нужны уже не криптографические программы, а протоколы безопасности внутри компании, чтобы контролировать поведение сотрудников.
Основное назначение и сферы применения
Понятие СКЗИ объединяет все инструменты, которыми помогают спрятать данные и показывать их только определённым людям.
Чтобы другой пользователь подтвердил свою надёжность, он тоже должен будет применять СКЗИ — например, предоставить свою электронную подпись или пройти проверку на знание имени пользователя и пароля.
Средства криптографической защиты делают обмен данными безопаснее. С ними сильно снижается вероятность того, что важную информацию сможет прочесть кто-то, для кого она не предназначена.
Принципы работы криптографической защиты информации
Общий принцип для всех СКЗИ один: зашифровать данные и дать возможность пользоваться ими только в определённых случаях.
Базовые понятия криптографии
Вот основные вещи, которые участвуют в процессе криптографии.
Шифрование — процесс перевода исходных открытых данных в шифр.
Дешифрование — обратный перевод нечитаемого зашифрованного сообщения в понятное человеку.
Алгоритм шифрования описывает последовательность действий, которыми обычное сообщение переводится в зашифрованное. Простой пример алгоритма из одного действия — сместить все буквы в тексте на одну или несколько позиций вперёд по алфавиту. Было А — стало Б или В.
Ключ шифрования нужен для шифрования и дешифрования. Например, в примере с шифром через смещение букв по алфавиту ключом будет количеств букв, на которые мы сдвигаем исходную букву. Если ключ равен 4, то из буквы А получится Д.
Конфиденциальность — один из принципов криптографии. Это что-то вроде правила, что зашифрованная информация должна быть доступна только для проверенных пользователей, то есть для тех, для кого она изначально предназначена.
Целостность — ещё один из принципов. Целостность информации гарантирует, что она не была изменена во время передачи или хранения.
Чем отличается СКЗИ от других методов защиты данных
Криптографическая защита информации использует математику, алгоритмы шифрования и ключи для шифрования и расшифровки чувствительной информации.
Но есть другие методы, и иногда они могут быть даже более действенными:
- Открывать для каждого класса сотрудников и пользователей только те данные, которые им нужны для работы.
- Использовать физическую защиту — замки, сейфы, охрану, видеонаблюдение.
- Настроить резервное копирование, чтобы можно было восстановить данные после поломки на сервере или атаки вируса.
- Установить политики безопасности — правила для сотрудников, которые помогают работать со всеми ресурсами безопасно. Например, в такой инструкции может быть прописана классификация данных и процедуры получения доступа.
Что лучше всего подходит, зависит от конкретного случая.
Виды и классификация СКЗИ
Системы классификации зависят от стран и самих средств криптографической защиты. Мы поговорим про классы, которые установлены ФСБ РФ.
Классы средств криптографической защиты
Определяют, насколько надёжен инструмент. Чем выше класс СКЗИ, тем более сильную защиту обеспечивает криптографическое средство. Это зависит и от уровня подготовки возможного нарушителя, который может существовать.
Всего классов 5.
- Класс КС1 присваивается СКЗИ для защиты системы от атак извне. Считается, что нарушитель будет обладать поверхностными или средними знаниями о сервисе и о средствах криптографической защиты.
- Класс КС2 защищает от внутренних угроз, например от собственных сотрудников. Информация в этом случае не критическая, но требует повышенной защиты. Нарушитель уровня КС2 довольно хорошо осведомлён о защите системы.
- Класс КС3 имеют инструменты, которые могут защитить сведения уровня государственной тайны. У злоумышленника на этом уровне есть физический доступ к устройству.
- Класс КВ повышает уровень подготовки нарушителей. Предполагается, что они разбираются в защите информации на уровне профессионалов: проводили тестирование, анализ, в деталях знают архитектуру инструментов. Класс делится на подклассы КВ1 и КВ2 — в одном случае у злоумышленников нет доступа к СКЗИ, в другом — есть.
- Класс КА предполагает максимально жёсткий сценарий, когда хакер подробно осведомлён о работе СКЗИ и имеет доступ к его компонентам — прошивке, интерфейсу, контейнерам.
Различия между аппаратными и программными СКЗИ
Программные СКЗИ — это обычные приложения, которые устанавливаются на компьютер и работают в оперативной памяти. Такой программный инструмент может работать с электронной подписью или настраивать VPN между двумя офисами.
Аппаратные СКЗИ — это тоже программы, но на специальных устройствах. Чаще всего это USB-токены, внутри которых находятся криптографические сервисы. Эти сервисы не устанавливаются на компьютер, поэтому их удалённый взлом невозможен.
Вот как это может выглядеть.
Флешка или смарт-карта, которая хранит внутри электронную подпись. Без вставленного в компьютер токена подписать что-то невозможно:
Модуль для хранения ключей шифрования и проведения банковских операций внутри себя:
Модуль, который работает как VPN-шлюз и шифрует всё, что проходит через него по сети:
Основные методы криптографической защиты
Дальше мы разберём основные методы, которые реализованы в разных инструментах криптографии. Это не конкретные алгоритмы, программы или устройства, а главные вещи, которые нужны для понимания работы современного шифрования.
Симметричное шифрование
Это один из самых простых способов шифрования, когда отправитель и получатель сообщения пользуются одним ключом для шифровки и дешифровки сообщения.
Допустим, мы приносим сообщения нашему другу в почтовый ящик, закрытый кодовым замком. Код знаем мы и друг — и этот код используется для открытия ящика и закрытия. Пока комбинацию замка знаем только мы двое, обмен данными проходит безопасно. Но если кто-нибудь подсмотрит код или подслушает, как один из нас передаёт другому последовательность цифр, от замка больше не будет пользы — любой может вскрыть его и прочесть нашу переписку.
С одной стороны, это решение удобно и быстро, но с другой — небезопасно. Если во время обмена симметричным ключом его перехватят злоумышленники, то смогут расшифровать все дальнейшие сообщения.
Асимметричное шифрование
В этом случае сообщение шифруется одним ключом, а расшифровывается другим.
Ключ для шифровки называется публичным. Его можно выставлять в открытый доступ. Например, мы выкладываем этот ключ в интернет и говорим, что, если кто-то хочет отправить нам секретное сообщение, нужно использовать этот ключ.
Публичным ключом сообщение можно зашифровать, но не расшифровать. Это надёжнее, потому что ключ для дешифровки можно никому не передавать и держать у себя.
С другой стороны, эта схема работает только в одну сторону. Если мы захотим отправить сообщение, нам будет нужна ещё одна пара ключей — понадобится открытый ключ для шифровки, а у получателя должен быть свой закрытый для расшифровки.
Электронная подпись и хеширование
Этот механизм работает как настоящая подпись, только надёжнее.
Чтобы понять его устройство, нужно объяснить ещё один процесс — хеширование.
Получить хеш файла — значит прогнать его через программу одностороннего шифрования, которая не просто зашифрует его, а сделает другой файл, который содержит как бы отпечаток первоначального файла. Этот слепок почти ничего не весит и для каждого файла всегда будет уникальным. Можно сказать, что хеш — это как отпечаток пальца.
Хеш невозможно расшифровать. Поэтому можно сделать так:
- Сделать хеш файла.
- Отправить этот хеш вместе с исходным файлом получателю.
- Получатель тоже делает хеш файла и сравнивает их. Если хеши совпадают, с момента отправки файла в нём ничего не изменилось и он дошёл по назначению в том виде, в котором его отправили.
Электронная подпись выдаётся специальными организациями. На деле это просто закрытый и открытый ключи из схемы асимметричного шифрования. Закрытым ключом мы шифруем хеш файла и прикладываем этот хеш вместе с исходным файлом, открытым ключом и сертификатом электронной подписи.
Получатель может использовать открытый ключ и проверить хеш от нас и тот хеш, который он сам получит из приложенного файла. Если открытый ключ подходит к закрытому и хеши совпадают — всё в порядке, документу можно верить.
Сертификат содержит сведения о владельце электронной подписи и об организации, которая этот сертификат выдала. Можно обратиться на сайт организации и проверить, совпадают ли открытый ключ с сайта и тот, который мы получили.
Всё это звучит немного сложно, поэтому для использования электронной подписи и её проверки есть специальные программы.
Ещё одно применение хешей — хранение паролей пользователей к сервисам. Когда пользователь устанавливает пароль, система обычно сохраняет не его, а только хеш от пароля. Теперь при повторной авторизации сервис берёт хеш от введённого пароля пользователя и сохраняет его с сохранённым. Если они совпадают, значит, и пароли совпадают.
А если базу данных с хешами паролей украдут, то расшифровать их всё равно нельзя.
Где применяются СКЗИ
Сейчас криптографическое шифрование применяется почти везде: в мессенджерах, файрволах, веб-сервисах. Дальше рассмотрим несколько примеров, где используются СКЗИ, которые могут потребовать официальной сертификации.
Использование в государственных информационных системах
В госорганах, министерствах и ведомствах РФ используют много конфиденциальных данных: от Ф. И. О. до номера паспорта и пенсионного свидетельства. А между ведомствами ходят приказы, служебные записки, судебные постановления.
Применение в банковской сфере и коммерческих организациях
Банки тоже применяют СКЗИ: для защиты клиентских данных, обеспечения безопасных платежей, подписания электронных документов.
Защита персональных данных
В законодательстве РФ сказано, что при работе с персональными данными клиентов оператор обязан защитить их конфиденциальность. Поэтому все российские сервисы, где нужно оставлять какую-то информацию, обязаны заботиться о её сохранности.
Требования к СКЗИ в России
Для использования в российских организациях есть несколько требований и документов, которым должны соответствовать СКЗИ. А чтобы использовать сертифицированные средства криптографической защиты, нужно получить лицензию от ФСБ.
Нормативная база
Для разных направлений в РФ есть отдельные официальные документы, которые объясняют, как работать с криптографическими инструментами.
Правила применения СКЗИ в государственных информационных системах (или ГИС) установлены в приказе ФСБ России № 117 от 18.03.2025. Там описаны классы защиты и правила применения криптографических средств. Например, для использования сертифицированных СКЗИ нужно объяснить необходимость внедрения нужного класса защиты в систему.
В приказе № 378 описаны такие же правила для защиты информации в информационных системах персональных данных.
Сегодня сдавать бухгалтерские отчётные документы можно только в электронном виде и подписанные электронной подписью. Для регулирования этих процессов есть приказ № 796 и федеральный закон № 63-ФЗ.
Сертификация средств криптозащиты
Все СКЗИ для использования в госорганах и при работе с цифровой подписью должны иметь сертификат соответствия ФСБ России. В большинстве других сфер можно использовать несертифицированные инструменты, если нет интеграции с какими-то госучреждениями или не требуется внедрение электронной подписи.
Популярные решения на рынке СКЗИ
Вот несколько примеров применяемых сегодня СКЗИ.
Отечественные разработки
Эти российские СКЗИ официально сертифицированы, их можно применять в государственных и банковских системах.
«КриптоАРМ ГОСТ 3» — универсальный сервис с поддержкой почтового клиента и проверкой электронной подписи. Работает на любой платформе и совместим с российскими операционными системами.
«КриптоПро CSP» — криптопровайдер. С помощью такого решения можно дать пользоваться алгоритмами шифрования другим программам. Если интернет-провайдер даёт доступ к сети, то криптопровайдер даёт доступ к шифрованию.
ESMART Token — USB-устройство для хранения электронной подписи со встроенной биометрической проверкой по отпечаткам пальцев.
Международные аналоги и их особенности
Международные и отечественные СКЗИ нельзя сравнивать по уровню защиты. Но есть несколько других важных различий.
Разные алгоритмы шифрования. Российские инструменты работают по тем, которые соответствуют различным ГОСТам, а зарубежные — по таким, как AES, RSA, ECC.
Разные сертификаты. Для российской сертификации нужно одобрение ФСБ, а иностранные СКЗИ соответствуют стандартам NIST, ISO, IETF и другим.
Возможность подпасть под санкции. Часть международных компаний ушла с российского рынка, и бизнесу пришлось срочно искать замену. Отечественные разработки под санкции не подпадут, поэтому для применения внутри страны они надёжнее.
Вот несколько примеров международных криптографических инструментов.
VeraCrypt — программа для шифрования жёстких дисков, контейнеров, носителей.
Thales Luna HSM — аппаратный модуль шифрования. Обеспечивает безопасное хранение криптографических ключей и управление ими и работу с электронной подписью.
Gemalto SafeNet eToken — USB-носитель для хранения ключей и электронной подписи.
YubiKey от компании Yubico — многофункциональный девайс для работы с ключами шифрования и электронной подписью.
Частые вопросы о СКЗИ
Вот ещё несколько обобщающих вопросов, чтобы лучше запомнить информацию.
Как выбрать подходящий класс защиты
Класс защиты зависит от того, что именно вы хотите защищать, и от нарушителя тоже. Небольшой компании, которая работает с частными предприятиями, не понадобится такой же сложные СКЗИ, какой нужен для госучреждения с доступом к гостайне. Какого-то основного класса или способа выбрать СКЗИ пока нет.
В чём разница между СКЗИ и СЗИ
СКЗИ — это именно криптографические средства защиты. СЗИ — просто средства защиты информации, которые включают и дополнительные замки, и охрану, и вообще всё, что направлено на сохранение данных.
Перспективы развития криптографической защиты
СКЗИ развиваются, как и любые другие технологии. Появляются более мощные и быстрые алгоритмы, более продвинутые способы их обхода и взлома. А с появлением и развитием квантовых компьютеров всё может выйти вообще на другой уровень.
Пока есть айти и информация, которая в этом айти задействована, — будет нужна и криптография для её защиты.
Бонус для читателей
Скидка 20% на все курсы Практикума до 30 ноября! «Чёрная пятница» и такие скидки бывают раз в год.
Вам слово
Приходите к нам в соцсети поделиться своим мнением о статье и почитать, что пишут другие. А ещё там выходит дополнительный контент, которого нет на сайте — шпаргалки, опросы и разная дурка. В общем, вот тележка, вот ВК — велком!
