Что такое СКЗИ, и какие они бывают
СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и
генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который
невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается
надежная защита информации.
Криптографическое шифрование данных — это обратимое кодирование данных, выполняемое с помощью специального алгоритма (ключа). В настоящее время существует масса алгоритмов шифрования, которые имеют высокую криптографическую стойкость, то есть для расшифровки требуется значительный объём времени и ресурсов.
Средства криптографической защиты (СКЗИ) представляют собой программные решения, которые используются для шифрования данных при обмене информацией и её хранении. Так, СКЗИ нужны для доверенного хранения документов или передачи информации по защищенным каналам связи. Например, бухгалтерия отправляет счета-фактуры, отчеты и другие важные документы в госорганы при помощи криптографических средств защиты. Или аналогичным образом дешифрует ответы от контрагентов и протоколов от ФНС, ПФР, ФСС и других инспекций.
Виды СКЗИ
Есть два вида средств криптографической защиты, которые используются повсеместно: это отдельно устанавливаемое ПО и программы, заранее «вшитые» в устройство-носитель (например, USB-токен).
К первому виду относятся программы, которые можно поставить на большинство операционных Windows-систем, включая серверные версии, а также UNIX-подобные ОС:
Эти СКЗИ прошли сертификацию в соответствии с актуальным государственными стандартами и надёжно работают в компаниях разного уровня. Главной особенностью такого ПО является необходимость покупать лицензию на каждое новое устройство.
Ко второму виду СКЗИ, встроенных в носитель, относят:
Небольшие токены частично решают проблему удобства эксплуатации СКЗИ. Достаточно обеспечить устройству доступ к сети — процесс шифрования и дешифровки будет идти внутри носителя, не требуя установки дополнительного программного обеспечения.
Кроме того, существуют комбинированные решения.
Ограничения в работе с СКЗИ
Особенностью использования средств криптозащиты информации является плохая (а чаще полная) несовместимость разных средств друг с другом. Использовать КриптоПро CSP и VipNet CSP на одном компьютере не получится — обязательно пойдут сбои и станут появляться ошибки. Поэтому при работе с разными СКЗИ настоятельно рекомендуем использовать разные компьютеры.
Аренда облачного сервера для разработки, хостинга, обученияПодробнее
Как используют СКЗИ в работе
Алгоритм использования СКЗИ при работе с информацией выглядит примерно следующим образом:
Именно обеспечение целостности и невзламываемости документов после подписания их электронной подписью и есть одна из основных задач СКЗИ. Создание электронных подписей, проверка их подлинности, зашифровка и дешифровка данных — всё это необходимо для гарантированно безопасного обмена ценными документами.
Типы криптографии
Поскольку СКЗИ используют криптоалгоритмы, может возникнуть вопрос: а какие вообще существуют типы криптографии? Их три:
С закрытым ключом
Криптография с закрытым ключом предполагает, что отправитель и получатель будут использовать один и тот же ключ для шифрования и расшифровки данных. Поэтому этот тип криптографии часто называют симметричным. Он считается наиболее простым.
Ключ, разумеется, должен быть только у отправителя и получателя. Он используется в шифре во время шифрования данных. Поэтому человек, который знает секретный ключ, может расшифровать данные. Как правило, такая криптография используется для шифрования данных на носителях, так как передача секретного ключа может привести к его компрометации. Среди известных алгоритмов симметричной криптографии можно вспомнить AES, DES и шифр Цезаря.
С открытым ключом
Криптография с открытым ключом предполагает наличие двух ключей — один для шифрования данных, другой для их расшифровки. По отдельности они бесполезны, так как ключом шифрования расшифровать сообщение не получится.
Открытый (публичный) ключ находится в свободном доступе и может быть использован любым человеком. Закрытый (секретный) ключ хранится только у владельца. Среди известных алгоритмов асимметричной криптографии можно вспомнить ECC, протокол Диффи-Хеллмана, DSS.
Криптография с хешированием предполагает использование необратимых односторонних функций, которые не позволяют восстановить исходное сообщение. Хеширование — это способ преобразования информации в строку фиксированной длины. Для каждой процедуры хеширования в идеале должен получаться уникальный хеш. И единственный спосовзломать хеш — использовать все возможные варианты, пока не получится точно такой же хеш.
Хеширование используется для хэширования важных данных
(паролей, например) и в сертификатах. Среди известных алгоритмов хеширования
можно вспомнить MD5, CRC, SHA-1, SHA-2 и SHA-3.
Что такое СКЗИ и для чего нужны средства криптографической защиты
Подробно разбираем, как работают электронная подпись, хеш-функции, асимметричное шифрование и другие средства защиты данных.
Иллюстрация: Катя Павловская для Skillbox Media
Журналист, изучает Python. Любит разбираться в мелочах, общаться с людьми и понимать их.
В конце девяностых — начале нулевых в научно-популярном журнале «Наука и жизнь» публиковали логические задачки с двумя детективами: инспектором Боргом и сержантом Глумом.
В одной из них инспектор хотел отправить сержанту посылку, но почтальоны всё время воровали содержимое. Борг нашёл выход: сначала он послал коробку, запертую на большой амбарный замок, а на следующий день — бандероль с ключом от него. В итоге Глум получил свой подарок в целости и сохранности.
По схожему принципу работает и криптографическое шифрование данных. Даже если злоумышленники перехватят защищённую информацию, «вскрыть» её будет нелегко — придётся ломать «амбарный замок». Чтобы его навесить, и нужны СКЗИ.
Из этой статьи вы узнаете:
СКЗИ (средства криптографической защиты информации) — это программы и устройства, которые шифруют и дешифруют информацию и проверяют, вносились ли в неё изменения. С КЗИ используют для безопасного хранения и передачи данных. С их помощью также создают электронные подписи.
Чтобы защитить информацию, её шифруют одним из криптографических алгоритмов. Например, сравнительно простым шифром Цезаря. В нём каждая буква исходного сообщения заменяется на другую. На какую — зависит от ключа и расположения буквы в алфавите.
Например, если ключ равен трём, то все буквы в сообщении сдвигаются на три позиции вправо: А превращается в Г, Б — в Д, В — в Е, Я — в В.
Если таким образом зашифровать сообщение «Средство криптографической защиты информации», получится следующее: «Фузжфхес нултхсёугчлъзфнсм кгьлхю лрчсупгщлл».
Проблема подобных шифров в том, что их можно взломать простым перебором ключей. Поэтому сегодня для защиты информации применяют куда более изощрённые математические алгоритмы, обратить которые трудно даже с помощью суперкомпьютеров.
Например, протокол RSA в качестве одной из операций перемножает большие . Сделать это несложно, а вот для факторизации (то есть разложения на множители) удобной формулы не придумали. Затем в протоколе проводятся и другие операции: применяются функция Эйлера и возведение в степень по модулю.
Есть несколько подходов к шифрованию данных. Оно может быть:
При симметричной криптографии для шифрования и расшифровки используется один и тот же секретный ключ. Шифр Цезаря, о котором мы говорили раньше, как раз симметричный.
Инфографика: Майя Мальгина для Skillbox Media
Этот метод прост и удобен, но имеет крупную уязвимость: и у отправителя, и у получателя — один и тот же ключ. Если злоумышленники его узнают (например, перехватят при передаче), то смогут без труда получить доступ к информации.
Поэтому симметричную криптографию редко применяют для отправки сообщений. Обычно таким образом шифруют данные в состоянии покоя.
При асимметричной криптографии данные шифруются одним ключом и расшифровываются другим. Причём ключ для шифрования обычно открытый, а для дешифровки — закрытый.
Открытый ключ можно передать кому угодно, а закрытый оставляют у себя и никому не сообщают. Теперь зашифровать сообщение сможет любой, у кого есть открытый ключ, а расшифровать — только владелец секретного.
Такой подход гораздо безопаснее симметричного, но его алгоритмы сложнее, требуют больше ресурсов компьютера и, следовательно, занимают больше времени.
Гибридное шифрование — компромисс между двумя предыдущими подходами. В этом случае сообщение шифруется симметрично, а ключ к нему — асимметрично. Получателю нужно сначала расшифровать симметричный ключ, а потом с его помощью — само сообщение.
Так алгоритмы работают быстрее, чем при асимметричном подходе, а узнать ключ от сообщения сложнее, чем в симметричном.
Подробнее о симметричном, асимметричном и гибридном шифровании можно прочитать в нашей статье.
Хеш-функции отличаются от других методов криптографической защиты тем, что они необратимы: преобразованные ими данные нельзя расшифровать. Они выдают строку заранее определённого фиксированного размера (например, 256 бит), которую называют хешем, хеш-суммой или хеш-кодом.
В идеальной хеш-функции, если ей захешировать одно и то же сообщение несколько раз, результат тоже будет получаться одинаковый. Но если исходное сообщение изменить хоть немного, то хеш выйдет совершенно другой.
С помощью хеш-функций проверяют, вносились ли в данные изменения, — это полезно в электронных подписях (о них мы расскажем ниже).
Многие сервисы хранят пароли пользователей не в открытом виде, а в хешированном. Когда пользователь при авторизации вводит пароль, тот хешируется и сравнивается с хешем из базы данных. Если хеши одинаковые, значит, пароль верный.
Это даёт дополнительную защиту. Даже если кто-то получит доступ к базе данных сервиса, то увидит просто список хешей, по которым никак не сможет восстановить исходные пароли пользователей.
Основная задача СКЗИ — шифровать и расшифровывать данные. Это делают как для информации, которую куда-то отправляют (при передаче она наиболее уязвима: её можно перехватить), так и для той, которая просто хранится на одном устройстве.
Если кто-то перехватит информацию или получит доступ к устройству, ломать криптографический протокол будет просто нерационально. Например, в 2019 году французские учёные взломали 795-битный ключ RSA, потратив 4000 лет компьютерного времени — это последний рекорд. При этом в современной криптографии используют ключи с длиной от 2048 бит.
Помимо шифрования и дешифрования данных, СКЗИ могут управлять электронной подписью (ЭП). Раньше её ещё называли электронной цифровой подписью (ЭЦП), но сейчас этот термин устарел.
Электронная подпись — это дополнение к пересылаемому документу, созданное криптографическими методами. Она позволяет подтвердить авторство сообщения и проверить данные на целостность: не вносились ли в них изменения после того, как поставили подпись.
Так как реальные документы могут быть большого объёма, обычно ЭП применяют не к ним самим, а к их хешу. Это ускоряет работу с подписью. Также протоколы шифрования могут не уметь работать с некоторыми видами документов — хеширование же преобразует все данные в . Это решает проблему совместимости.
Чтобы поставить ЭП, используют асимметричный метод шифрования, но наоборот: сообщение шифруют закрытым ключом, а дешифруют — открытым. В общем виде электронная подпись ставится так:
Сертификат электронной подписи (его ещё называют сертификатом открытого ключа) хранит данные об отправителе и всю информацию, которая нужна для проверки авторства и подлинности документа. Работает это по следующей схеме:
Если после применения ЭП документ был хоть немного изменён, то при проверке хеши не совпадут. Если же они одинаковые, можно быть уверенным: данные добрались до получателя в целости и сохранности.
Человек, который поставил свою ЭП, потом не сможет отрицать это. Дело в том, что доступ к закрытому ключу есть только у него, а значит, никто другой подписать документ не мог.
Современные СКЗИ бывают программные и программно-аппаратные (часто их называют просто аппаратными).
Программно-аппаратные СКЗИ вшиты в специальное устройство (обычно токен). Все операции происходят на этом устройстве и скрыты от оперативной памяти компьютера, к которому он подключён. Такой вид СКЗИ считается более безопасным, чем программный.
Главная задача СКЗИ — уберечь данные от возможного взлома, поэтому в них встраивают защиту. В зависимости от её уровня присваивется класс защиты. Каждый последующий класс включает в себя все предыдущие.
Вот что нужно запомнить:
Жизнь можно сделать лучше!Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.
Виды СКЗИ для электронной подписи
Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.
СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное
устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему
месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке,
на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную
лицензию.
При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер
КриптоПро CSP. Программа работает в Windows,
Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012
и ГОСТ Р 34.10-2012.
Реже используются другие СКЗИ:
Все перечисленные СКЗИ сертифицированы ФСБ и ФСТЭК, соответствуют стандартам безопасности, принятым в России.
Для полноценной работы также требуют покупки лицензии.
СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые
запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы
подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное
ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри
носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.