Корпоративные центры сертификации и российская криптография

Корпоративные центры сертификации и российская криптография

У ряда иностранных решений в области информационных технологий до 2022 года отсутствовали отечественные аналоги, и вопрос их импортозамещения встал особенно остро после ухода соответствующих компаний с российского рынка. В области информационной безопасности это относится, в первую очередь, к тем типам решений, для которых не требуются сертификаты соответствия требованиям ФСБ России.

При этом зачастую области применения решений, требующих сертификации, и решений, которые ее не требуют, крайне близки. В таких случаях импортозамещение за короткий срок становится решаемой задачей: возможно частичное переиспользование существующих наработок. 

Именно так получилось с платежными HSM после того, как летом 2022 года французский производитель Thales заявил об уходе из России. HSM-модули этого производителя стояли в подавляющем большинстве банков, работающих с пластиковыми картами. При этом возникшая проблема была быстро решена, поскольку разработка отечественных платежных HSM началась раньше, с 2016 года, а в июне 2023 года она была завершена: был сертифицирован программно-аппаратный криптографический модуль КриптоПро HSM версии 2.0 R3 с платежным функционалом, позволявшим полностью заменить зарубежные аналоги. Создание этого решения стало возможным, в частности, благодаря многолетнему опыту разработки HSM для защиты ключей электронной подписи, ключей удостоверяющих центров, обеспечения криптографической защиты электронных сообщений — то есть для решения тех задач, где необходимо наличие сертификата соответствия требованиям ФСБ России. 

Одна из важнейших задач в настоящее время — создание отечественного аналога корпоративного центра сертификации Microsoft (Microsoft CA), который мог бы обеспечивать, в частности, совместимость с ним по интерфейсам. Отсутствие ранее созданных российских аналогов данного продукта связано с тем, что применение подобных корпоративных центров сертификации зачастую осуществляется в случаях, не требующих соответствия решений требованиям ФСБ России и потребности в российских продуктах данного типа ранее не было. 

Задача по созданию российского аналога сейчас решается, в частности, коллегами из компании SafeTech в рамках развития их продукта SafeTech CA. При этом, с учетом специфики российского рынка, для ряда корпоративных клиентов важна возможность работы продукта на базе сертифицированных криптографических ядер и российских криптографических алгоритмов, в том числе, с возможностью хранения ключей в защищенных программно-аппаратных модулях. Решить данную задачу возможно с помощью существующих сертифицированных программных и программно-аппаратных СКЗИ, таких как КриптоПро CSP версии 5.0 R3 и КриптоПро HSM версии 2.0 R3. 

Безопасность любой информационной системы, доверие в которой основывается на инфраструктуре ключей электронной подписи и сертификатов открытых ключей, критически зависит от уровня защищенности корневых ключей. В корпоративных центрах сертификации, в случаях, не требующих применения сертифицированных средств УЦ (таких как наш продукт КриптоПро УЦ версии 2.0), ключи в любом случае должны быть защищены должным образом. Этого можно достичь с применением программно-аппаратных криптографических модулей, а в тех случаях, когда требуется сугубо программная реализация, с помощью сертифицированных программных СКЗИ, обеспечивающих максимально возможный уровень безопасности в условиях ограниченного использования аппаратных компонент. Поддержка таких решений производства нашей компании, имеющих сертификаты соответствия требованиям ФСБ России по классам КС1-КС3 и KB/KB2, которая реализуется в корпоративных центрах сертификации, позволяет существенно повысить безопасность их применения у конечных заказчиков. Безопасная реализация криптографического ядра, постоянное их совершенствование с учетом обновлений операционных систем и обнаруживаемых в них уязвимостей, высочайшая производительность как программных, так и программно-аппаратных средств — всё это даёт возможность быть уверенным в успешном решении данной задачи.