Шифровальное оборудование и СКЗИ

Что такое шифровальное оборудование

ШКС (шифровальные криптографические средства) – средства, применяемые для защиты данных методом шифрования. Само по себе это понятие абстрактно, так как средствами шифрования могут являться как аппаратные устройства, так и программы или физические носители.

СКЗИ (средства криптографической защиты информации) применяются непосредственно для защиты данных. Они используются в хранении важной информации. Чаще всего этот термин применяется к ЭЦП и программам, способным генерировать цифровые подписи.

Часто данную терминологию применяют либо вместе, либо используют как взаимозаменяемую.

Что относится к ШКС

Шифровальным средством считается любое устройство, способное выполнять криптографическую функцию, вне зависимости от того, доступна она пользователю или нет. Средства кодирования, электронные цифровые подписи, средства способные генерировать код и т.д. При том, на примере криптографических ключей, к ШКС относятся как сами ключи, так и ПО, способное их изготавливать.

К ШКС также могут относиться ОС, чипы на пластиковых картах, защита от копирования видеороликов и т.д., подробнее примеры разобраны в разделе «категории ШКС».

Что относится к СКЗИ

Как и в случае с ШКС, СКЗИ бывают аппаратными или в виде ПО. В случае использования ПО, пользователю придется купить лицензию, так как большинство программ, вроде КриптоПро CSP, VipNet CSP, Signal-COM CSP, LISSI-CSP предоставляют бесплатный доступ всего на месяц. Также важно понимать, что в случае применения СКЗИ как ПО, нельзя использовать несколько средств шифрования одновременно. Часто популярные программы конфликтуют друг с другом и попросту не работают.

Аппаратное же СКЗИ встроено в устройство и считается более безопасным вариантом, так как не взаимодействует с памятью персонального компьютера. Оно располагается на отдельном, специально созданном устройстве, которое, как правило, обладает дополнительными средствами защиты от утери данных.

Работу СКЗИ можно рассмотреть на примере электронных подписей. Без данной функции неосуществимо никакое взаимодействие с ЭП. СКЗИ создает электронную подпись при помощи закрытого ключа, который отправляется получателю вместе с конечным документом. Получив конечный документ, пользователь, используя свой ключ шифрования может прочесть информацию, заложенную в документе. Также ЭП помогает отследить, были ли внесены в документ какие-либо изменения. Подобная технология применяется для шифрования данных на госуслугах, а также в популярных мессенджерах.

Однако несмотря на то, что у СКЗИ и ШКС существуют четкие формулировки, встречаются случаи, когда таможенные органы относили к шифровальным средствам даже те устройства, в которых не было никакой криптографической функции.

Как работает ФСБ по защите информации

ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ (Федеральная служба безопасности) России – уполномоченные службы, занимающиеся регулировкой вопросов безопасности данных.

ФТСЭК принимает меры организационного и программно-технического характера по защите информации. Их задача – предотвратить или затруднить получение данных пользователями в обход правил.

ФСБ определяет перечень криптографических устройств, классов безопасности и т.д. Именно Федеральнач служба безопасности предоставляет нотификацию – документ, необходимый для ввоза и вывоза шифровальных средств за пределы РФ. Также ФСБ занимается вопросами правового регулирования безопасности, в том числе и информационной. В масштабах страны, например, осуществляет деятельность, направленную на противодействие службам иностранной разведки, а на более бытовом уровне организовывает инженерно-техническую криптографическую работу.

ФСБ вправе выдавать лицензию на некоторые виды деятельности. Например, на работу с данными, которые содержат государственную тайну; разработку и создание ШКС и СКЗИ, включая проведение любых мероприятий, связанных с ШКС и СКЗИ.

Документация

Для реализации любой деятельности, связанной с ШКС, требуются разрешающие документы. Если планируется производить импорт и экспорт, человеку необходима лицензия и нотификация.

Нотификация – важный документ, одобренный ЕЭК. Нотификация заверяет соответствие шифровального оборудования с одной из 12 одобренных ЕЭК категорий. Для получения нотификации производитель, либо его доверенное лицо должны обратиться в ФСБ России. В этом заключается самая сложная часть в получении нотификации.

Нотификация оформляется в течение 7 рабочих дней, в течение трех дней информация вносится в реестр.

Срок длительности нотификации может быть разным, это определяется в зависимости от типа ввозимого средства и способа его реализации. Все это решается уже на месте.

Заключение

Заключение – разрешительный документ. Оформляется куда проще чем нотификация. Для его оформления не требуется присутствия производителя ШКС.

Заключение дает право ввозить или вывозить ШКС без возможности дальнейшего распространения третьим лицам и оказания услуг в области криптографии. Проще говоря, для личного пользования.

Для получения заключения нужно подать заявление, заверенную копию поставки, техпаспорт товара и проект заключения ФСБ. Выдается заключение всегда на 1 год. Помимо этого, существует заключение на временный ввоз товара – также на 1 год.  В течение этого времени пользователь должен успеть ввезти и вывезти товар за пределы территории РФ.

Заключение не требует предоставления легализованных документов, а также его можно оформить практически на любой товар ШКС. Оформляется заключение в течении 10 рабочих дней, но рассматриваться может и до месяца.

Категории шифровальных средств и их особенности

Как было приведено выше, ШКС могут ввозиться и вывозиться только после получения нотификации. Существует перечень из 12 категорий, одобренный ЕЭК, по которому можно получить нотификацию ШКС.

Категории ШКС

• Слабая криптография. ШКС, систематизированные по длине криптографического ключа. Для соответствия первой категории ШКС должны содержать в себе один из приведенных ниже пунктов: 

– Асимметрический алгоритм, длина ключа не превышает 512 бит. Он основан на любом из следующих методов: разложение на множители целых чисел, размер которых не превышает 512 бит; вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит; дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

– Симметричный алгоритм, длина ключа не превышает 56 бит

ШКС данной категории применяются нечасто и в основном на устаревшем оборудовании. Может встречаться на радиостанциях, модемах, микрофонах и т.д.

• Товары с незашифрованными данными, для доступа к которым нужен пароль. Исключение в шифровании составляют непосредственно сами пароли, идентификаторы документов и т.д. Также в эту категорию входит шифрование методом электронной цифровой подписи. То есть преобразование информации при помощи подписи, это позволяет проверить отсутствие искажений и изменений. Такой вид шифрования применяется во многих соцсетях и небольших сайтах.
• Шифрование в операционных системах. Над такими шифровальными средствами пользователь не имеет контроля и не может изменить их вручную. Подобные ШКС работают автономно. В эту категорию входят любые операционные системы на телефонах, ПК и т.д. Сюда же относятся и популярные ОС, вроде windows, macOS, iOS и android.
• Персональные смарт-карты. В этот раздел входят только пластиковые (или сделанные из другого материала) карты, в которых встроен чип для идентификации. Чаще всего в чипе содержится небольшая операционная система, выполняющая простую функцию. В этот раздел входят сим-карты, банковские карты, карты доступа и т.д.
• Приемная аппаратура радио и телевещания. В данную категорию входят преимущественно коммерческие устройства, то есть применимые для показа по телевидению и радио. Такие средства шифрования используются в платных закодированных цифровых спутниковых, эфирных и кабельных телеканалах и радиостанциях.
• Ограничения для пользователя. Сюда входят сервисы, на которых стоит защита от копирования материала. Игровые консоли, компьютерные игры, защита на стриминговых площадках и т.д. К этой категории относится любая содержащаяся на устройстве информация, засекреченная или недоступная для копирования пользователем.
• Оборудование, предназначенное для банков. В этот пункт входит любое ПО и оборудование, которое было специально разработано для защиты данных в банковской системе, начиная от самих банков, заканчивая банкоматами, терминалами, пин-падами и т.д.
• Портативные средства связи гражданского назначения, не способные к сквозному шифрованию. Сюда относятся все мобильные средства святи, сотовые телефоны, айпады, планшеты, смарт-часы и некоторые виды радиостанций.
• Беспроводное оборудование, шифрующее данные на небольшом расстоянии. Радиус действия до 400 метров. Говоря простым языком – беспроводные модемы, телефоны с функцией точки доступа, wi-fi, bluetooth, бесконтактные терминалы идентификации.
• Средства, которые используются для защиты и шифрования телекоммуникационных данных. Данный пункт актуален и применяется в серверах, коммутаторах, сетевых платформах, шлюзах и т.д.
• Средства с ограниченной производителем функцией. Обычно в эту категорию определяют устройства, на которых имеется программа, выполняющая целенаправленную блокировку криптографических функций. В эту категорию входят только те средства, где ограничение было установлено поставщиком или производителем.
• Дополнительно выделена категория «прочее». Сюда включены любые товары, не подходящие под описания всех предыдущих пунктов. При этом, для оформления нотификации, товар должен соответствовать следующим требованиям:

– Быть доступным в продаже. Продажа должна быть законно оформленной, осуществляться либо за наличные, либо методом электронных сделок. Также допустимо оформлять поставку оборудования через почту.

– Их шифровальные функции недоступны для изменения простым пользователем.

– Их использование должно осуществляться без дальнейшей существенной технической поддержки производителем.

– В наличии должна быть документация, подтверждающая доступность продажи данного продукта и размещения его в свободном доступе.

В эту категорию часто относят жесткие диски, серверы, различные радиостанции и носители информации. Иногда в эту категорию включается самостоятельно разработанное ПО.

Несмотря на такое большое разделение по категориям, чаще всего для ввоза и вывоза используется лишь несколько из них. Чаще всего это оборудование, снабженное wi-fi и bluetooth системами, или средства аутоинтефикации.