BIS Journal №3(54)2024

6 августа, 2024

Корпоративные центры сертификации и российская криптография

У ряда иностранных решений в области информационных технологий до 2022 года отсутствовали отечественные аналоги, и вопрос их импортозамещения встал особенно остро после ухода соответствующих компаний с российского рынка. В области информационной безопасности это относится, в первую очередь, к тем типам решений, для которых не требуются сертификаты соответствия требованиям ФСБ России.

При этом зачастую области применения решений, требующих сертификации, и решений, которые ее не требуют, крайне близки. В таких случаях импортозамещение за короткий срок становится решаемой задачей: возможно частичное переиспользование существующих наработок. 

Именно так получилось с платежными HSM после того, как летом 2022 года французский производитель Thales заявил об уходе из России. HSM-модули этого производителя стояли в подавляющем большинстве банков, работающих с пластиковыми картами. При этом возникшая проблема была быстро решена, поскольку разработка отечественных платежных HSM началась раньше, с 2016 года, а в июне 2023 года она была завершена: был сертифицирован программно-аппаратный криптографический модуль КриптоПро HSM версии 2.0 R3 с платежным функционалом, позволявшим полностью заменить зарубежные аналоги. Создание этого решения стало возможным, в частности, благодаря многолетнему опыту разработки HSM для защиты ключей электронной подписи, ключей удостоверяющих центров, обеспечения криптографической защиты электронных сообщений — то есть для решения тех задач, где необходимо наличие сертификата соответствия требованиям ФСБ России. 

Одна из важнейших задач в настоящее время — создание отечественного аналога корпоративного центра сертификации Microsoft (Microsoft CA), который мог бы обеспечивать, в частности, совместимость с ним по интерфейсам. Отсутствие ранее созданных российских аналогов данного продукта связано с тем, что применение подобных корпоративных центров сертификации зачастую осуществляется в случаях, не требующих соответствия решений требованиям ФСБ России и потребности в российских продуктах данного типа ранее не было. 

Задача по созданию российского аналога сейчас решается, в частности, коллегами из компании SafeTech в рамках развития их продукта SafeTech CA. При этом, с учетом специфики российского рынка, для ряда корпоративных клиентов важна возможность работы продукта на базе сертифицированных криптографических ядер и российских криптографических алгоритмов, в том числе, с возможностью хранения ключей в защищенных программно-аппаратных модулях. Решить данную задачу возможно с помощью существующих сертифицированных программных и программно-аппаратных СКЗИ, таких как КриптоПро CSP версии 5.0 R3 и КриптоПро HSM версии 2.0 R3. 

Безопасность любой информационной системы, доверие в которой основывается на инфраструктуре ключей электронной подписи и сертификатов открытых ключей, критически зависит от уровня защищенности корневых ключей. В корпоративных центрах сертификации, в случаях, не требующих применения сертифицированных средств УЦ (таких как наш продукт КриптоПро УЦ версии 2.0), ключи в любом случае должны быть защищены должным образом. Этого можно достичь с применением программно-аппаратных криптографических модулей, а в тех случаях, когда требуется сугубо программная реализация, с помощью сертифицированных программных СКЗИ, обеспечивающих максимально возможный уровень безопасности в условиях ограниченного использования аппаратных компонент. Поддержка таких решений производства нашей компании, имеющих сертификаты соответствия требованиям ФСБ России по классам КС1-КС3 и KB/KB2, которая реализуется в корпоративных центрах сертификации, позволяет существенно повысить безопасность их применения у конечных заказчиков. Безопасная реализация криптографического ядра, постоянное их совершенствование с учетом обновлений операционных систем и обнаруживаемых в них уязвимостей, высочайшая производительность как программных, так и программно-аппаратных средств — всё это даёт возможность быть уверенным в успешном решении данной задачи.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2024
«Глонасс»: Видеокамеры в автомобилях могут выдать геопозицию водителя
29.11.2024
Таргетированные информкампании уберегают россиян от скамеров
29.11.2024
YouTube обращается к российским блогерам, но игнорирует Роскомнадзор?
29.11.2024
«Официальные периоды распродаж — это благодатная почва для злоумышленников»
29.11.2024
О последнем (?) сетевом сбое ноября
28.11.2024
AOSP-проблемы: ограничения в модели распространения и настроения Google
28.11.2024
Минцифры строит планы на ближайшие два года по антифрод-направлению
28.11.2024
На телеком-рынке США впервые признали атаку на сети компании
28.11.2024
Конференция Код ИБ ИТОГИ совсем скоро!
28.11.2024
ВШЭ: Навыки для работы с ИИ требуются представителям разных профессий

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных