СКЗИ: что такое и как оно защищает вашу информацию

Информации нужна защита от злоумышленников. Рассказываем, какие устройства эту защиту дают.

Что такое СКЗИ и для чего нужны средства криптографической защиты

СКЗИ — это программы и устройства, которые защищают данные от злоумышленников. Для этого они используют криптографию.

Криптография — наука о том, как защищать информацию от кражи, изменения и перехвата. Основной метод криптографии — шифрование.

Шифрование изменяет данные, чтобы их мог прочесть только тот, кто знает ключ от шифра. В древности шифровали тексты, меняя порядок букв. Известно много шифров, например:

🔵 Шифр Цезаря — перестановка букв по определенной системе.
🔵 Атбаш — буквы заменяются на противоположные в алфавите, но с конца (А на Я, Б на Ю и т.д.).
🔵 Шифр транспонирования — буквы перемешиваются в словах или предложениях по заданному правилу.

Сегодня используются более замысловатые варианты: они опираются на сложные математические задачи, которые иногда с трудом решают даже суперкомпьютеры.

Какими бывают СКЗИ

СКЗИ могут:

🔵 Защищать информацию с помощью шифрования данных.
🔵 Подтверждать подлинность информации с помощью электронной цифровой подписи (ЭЦП).
🔵 Защищать каналы связи и передачи данных с помощью шифрования трафика.

Если злоумышленник попадет в канал с шифрованием трафика или перехватит зашифрованные данные — он не сможет их прочесть. Если злоумышленник перехватит данные и изменит их — об этом узнает получатель.

СКЗИ бывают аппаратными и программными.

Программные устанавливают на компьютер или другое устройство. Для каждого устройства нужно покупать отдельную лицензию.

Наиболее популярные программные СКЗИ:

🔵 КриптоПро CSP: работает в Windows 7, 8, 10, Server 2008, 2012 и UNIX-системах. Одно из самых популярных СКЗИ в России.

Купить можно на cryptopro.ru

🔵 VipNet CSP: подходит для Windows 8, 10, Server 2008, 2012. Часто используется в банковской сфере.

Почитать про VipNet CSP можно на сайте «ИнфоТеКС» в разделе «Продукты». Там же можно скачать лицензионный дистрибутив для Windows. Для Linux — пишите на soft@infotecs.ru.

🔵 Signal-COM CSP: российский криптопровайдер для разных операционных систем.

Купить ее можно в интернет-магазине Softline Store — https://www.signal-com.ru

Разработчики обычно не занимаются выбором устройств или программ СКЗИ: это работа специалистов по информационной безопасности и IT-администраторов. Но на курсах Skypro «Java-разработчик» и «Python-разработчик» эксперты научат вас заботиться о безопасности приложения и закрывать потенциальные уязвимости.

Аппаратные СКЗИ поставляют вместе с устройством в виде криптографических токенов и смарт-карт.

Это маленькие устройства, внутри которых — микросхемы и процессоры для шифрования, дешифрования и проверки ЭЦП. Токены похожи на флеш-карты USB или micro-USB, а смарт-карты — на пластиковые карты.

Еще к аппаратным СКЗИ относятся криптографические ускорители, которые:

🔵 Выполняют криптографические операции на специализированных процессорах с высокой производительностью.
🔵 Ускоряют шифрование, дешифрование и создание электронной цифровой подписи.
🔵 Защищают каналы связи, веб-серверы и другие системы, которые требуют интенсивных вычислений.

Какие существуют классы и методы криптографической защиты

СКЗИ дают ограниченный уровень защиты информации. Различные уровни, или классы, возможной защиты называют кодами из двух или трех символов.

Классы криптографической защиты информации

В приказе ФСБ закреплены уровни КС1, КС2, КС3, КА и КВ. Вот их особенности:

🟢 Класс КС1 (Контрольная Система 1)
Защищает от атак извне. Предполагает, что атакующие — любители и берут информацию из открытых источников.

🟢 Класс КС2 (Контрольная Система 2)
Система защищает даже от злоумышленников, которые имеют физический доступ к охраняемой зоне: например, от сотрудника компании, который может использовать свои привилегии для кражи данных и устанавливать вредоносное ПО на рабочие компьютеры.

🟢 Класс КС3 (Контрольная Система 3)
Защищает даже при доступе злоумышленника к компьютерам с установленными СКЗИ.

🟢 Класс КВ (Криптографическая Встроенная)
Защищают от атак специалистов в криптографии — даже сотрудников научно-исследовательских центров.

🟢 Класс КА (Криптографическая Аппаратная)
Защищают от атак специалистов, которые имеют доступ к чертежам и аппаратным компонентам криптографических СКЗИ.

Методы криптографической защиты

СКЗИ используют несколько методов — в зависимости от сложности проекта, объема данных, нужного уровня безопасности и целей пользователя.

Симметричное шифрование

Симметричное шифрование использует один ключ для шифрования и расшифровки данных. Это упрощает процесс, но есть проблема: как передать простой ключ получателю так, чтобы его никто не перехватил?

🟢 Работает быстро.
🟢 Подходит для больших объемов данных.
🟢 Нужно передавать зашифрованный ключ по защищенному каналу.

Примеры симметричных алгоритмов: AES, DES, Blowfish.

Чтобы передать ключ безопасно, обычно либо используют ассиметричное шифрование, либо передают его на физическом носителе (флешке или карте памяти), либо обращаются к центру сертификации — доверенному третьему лицу, которое передает ключ.

Асимметричное шифрование

В асимметричном шифровании используют два разных ключа: открытый и закрытый. Открытый ключ шифрует данные, а закрытый расшифровывает их.

🟢 Надежнее симметричного.
🟢 Работает медленнее.

Примеры асимметричных алгоритмов: RSA, DSA, ECC.

Гибридное шифрование

Сочетает симметричное и асимметричное шифрование. Сначала генерируют одноразовый симметричный ключ для шифрования данных. Затем этот ключ шифруют асимметричным алгоритмом с открытым ключом получателя.

🟢 Быстро шифрует большие объемы данных.
🟢 Проверяет личность отправителя.

Хеширование

Хеширование — это превращение информации в строку символов, или хэш-сумму. Эта строка всегда фиксированной длины.

Хеширование необратимо — восстановить исходные данные нельзя. Зато у хэш-суммы есть два полезных свойства:

🟢 Каждая процедура хеширования должна давать уникальный результат.
🟢 Хеш невозможно подделать.

Поэтому хеш-сумму используют для удостоверения подлинности данных.

Можно, например, захешировать информацию, передать ее другому человеку и захешировать снова уже на устройстве получателя. Если хеш-суммы отправителя и получателя будут отличаться — значит, кто-то перехватил и изменил информацию.

Хеширование применяют для важных данных, таких как пароли, и в сертификатах. Известные алгоритмы хеширования: MD5, CRC, SHA-1, SHA-2, SHA-3.

Электронная цифровая подпись

Хеширование использует ЭЦП. С его помощью проверяют целостность данных и авторство электронного документа. ЭЦП используют в электронном документообороте, банках и электронной коммерции: различных бизнесах, которые продают и покупают товары и сырье через интернет.

Представьте, что вам нужно безопасно передать документ.

➡️ Документ хешируется — получается хеш-сумма документа.
➡️ Хеш-сумма шифруется закрытым ключом владельца — получается цифровая подпись.
➡️ Цифровая подпись присоединяется к документу.

Когда документ попадает к получателю:

➡️ Он повторно хешируется тем же алгоритмом.
➡️ Цифровая подпись расшифровывается открытым ключом владельца.
➡️ Один и тот же документ должен создать одну и ту же хеш-сумму. Если хеш-суммы совпадают, целостность данных подтверждена.

Любое несовпадение в хеш-суммах означает, что документ был перехвачен и изменен.

Ограничения в работе с СКЗИ

Разные средства криптозащиты несовместимы друг с другом. Если их установить вместе — будут сбои и ошибки. Поэтому нужно тщательно и аккуратно выбирать нужное средство защиты, а разные программные и аппаратные СКЗИ устанавливать на разные устройства.

Главное про СКЗИ

🔵 СКЗИ — это средства криптографической защиты информации. Они защищают данные с помощью криптографии, чтобы никто не мог получить доступ без разрешения.

🔵 Главный метод криптографии — шифрование. Оно делает данные нечитаемыми для тех, кто не знает ключа.

🔵 Раньше использовали простые шифры, такие как шифр Цезаря, Атбаш и транспозицию. Сейчас применяют сложные математические алгоритмы, которые трудно взломать даже суперкомпьютерам.

🔵 СКЗИ бывают программными и аппаратными. Программные примеры: «КриптоПро CSP», «VipNet CSP», «Signal-COM CSP». Аппаратные примеры: токены, смарт-карты, криптографические ускорители.

🔵 Аппаратные СКЗИ включают криптографические ускорители. Они используют специализированные процессоры для ускорения шифрования и дешифрования.

🔵 Классы криптографической защиты — КС1, КС2, КС3, КА, КВ. Они определяют уровень защиты информации от разных атак.

🔵 Симметричное шифрование использует один ключ для шифрования и дешифрования. Это быстро, но ключ нужно передавать по защищенному каналу.

🔵 Асимметричное шифрование использует два ключа — открытый и закрытый. Это повышает надежность, но работает медленнее.

🔵 Гибридное шифрование сочетает симметричное и асимметричное шифрование. Так можно быстро шифровать данные и безопасно передавать ключи.

🔵 Хеширование превращает данные в хэш-сумму фиксированной длины. Хэш-сумма проверяет подлинность данных и уникальна для каждого набора данных.

🔵 Электронная цифровая подпись (ЭЦП) использует хеширование для создания цифровой подписи. Она подтверждает целостность данных и авторство электронных документов.

🔵 Разные средства криптозащиты могут быть несовместимы друг с другом. Неправильная установка вызывает сбои в системе.