Как реализовать шифрование с минимальными затратами
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6100
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6800
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4092
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2961
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3762
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3774
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6260
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3116
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3418
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7232
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10600
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12319
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13952
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9082
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7039
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5349
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4581
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3392
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3113
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3368
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2990
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как реализовать шифрование с минимальными затратами

Статьи / Как реализовать шифрование с минимальными затратами

Автор: SA

В результате такой всеобщей цифровизации растут объемы данных, в том числе персональных, финансовых, медицинских и прочих, которые требуют грамотной защиты при их хранении и передаче.

Арина Эм, менеджер продукта компании «ИнфоТеКС»

Электронный документооборот. Интернет-сервисы. Государственные услуги онлайн. Цифровое пространство. Все эти термины превратились из непонятного набора высокотехнологичных слов в реальность, в которой мы живем. Для подключения к этим системам и сервисам разрабатываются все новые продукты и решения, предназначенные для использования как организациями и ведомствами, так и частными лицами. В результате такой всеобщей цифровизации растут объемы данных, в том числе персональных, финансовых, медицинских и прочих, которые требуют грамотной защиты при их хранении и передаче.

В начале этой статьи я хочу привести несколько конкретных примеров, с которыми приходилось сталкиваться, и которые наглядно демонстрируют необходимость построения грамотно организованной защиты данных.

Современные врачи давно не носят с собой бумажные медицинские карты — их заменили планшеты и смартфоны, подключенные к единой системе, куда заносятся все данные о пациентах. Таким образом собирается и хранится большое количество информации, классифицируемой как врачебная тайна, которая должна защищаться в соответствии с требованиями законодательства.

Онлайн-продажи с наступлением пандемии вышли на новый уровень. Например, девелоперские компании стали продавать недвижимость, а также оформлять и передавать заявки на одобрение ипотеки в онлайн-банк. Все это требует обмена персональной информацией, которую нужно должным образом собирать, обрабатывать и хранить.

Еще один пример. Производители товаров народного потребления: молочной продукции, парфюмерии, обуви,- обязаны наносить специальный код на продукцию и отправлять отчетность в систему цифровой маркировки. Передача этой информации должна быть организована с использованием средств информационной безопасности.

Способов защиты информации существует множество, но эта статья будет посвящена криптографии. Криптографическую защиту используют, чтобы обеспечить конфиденциальность, целостность данных и неотрекаемость.

Функции электронной подписи, шифрования и хэширования — это основные функции криптографической защиты. Далее мы подробнее расскажем, какими средствами можно реализовать криптографическую защиту, разберем, на чем можно сэкономить и на что следует обратить особое внимание.

 

Какое средство криптографической защиты выбрать?

Криптографическую защиту можно построить разными способами: программными или аппаратными средствами, встраиваемыми или «коробочными». Все компании-разработчики средств криптографической защиты информации (СКЗИ) будут уверять, что их продукт самый надежный, их решение самое инновационное, а подход всесторонний. Чтобы не запутаться в разнообразии предлагаемых решений, нужно определиться с тем, какие критерии наиболее важны для решения ваших задач.

Кроме этого, важно оценить, сколько вы готовы потратить на приобретение решения, сколько ресурсов потребуется на развертывание и поддержку. Важно учесть все критерии, которые могут быть специфичными для каждого персонального случая.

Покупка и использование готовых «коробочных» решений — возможно, первое, что приходит на ум, когда речь заходит о реализации криптографической защиты информации. Рассмотрим плюсы и минусы этого подхода.

Коробочное решение — это готовый продукт, который разворачивается после покупки и сразу готов к использованию. Плюсы: развертывание такого продукта не займет много времени и потребует минимальных компетенций от сотрудников, внедряющих и эксплуатирующих его. Процессы технической поддержки и сопровождения таких продуктов со стороны производителя обычно более прозрачны для заказчиков.

Но у этого подхода есть свои минусы — часто заказчикам не нужны все функции, которые реализует коробочное решение, при этом зачастую они избыточны и излишне нагружают функционал разрабатываемого приложения или прибавляют большой объем накладных расходов к обрабатываемой или передаваемой информации, но эти функции нельзя отключить. Коробочные решения очень часто лишены гибкости и способности адаптироваться к нуждам конечного потребителя. Если вам нужна реализация не всего заявленного функционала, а, например, нескольких функций, заплатить вам в любом случае придется за все. Также стоит иметь в виду, что, если коробочное решение сертифицировано, на его применение может накладываться ряд ограничений.

Альтернативный путь — собственная разработка средств криптографической защиты информации с нуля. Под разработкой СКЗИ будем понимать ситуацию, когда компания самостоятельно берется за реализацию криптографических алгоритмов. Как сотрудник компании, разрабатывающей криптографические средства уже более 30 лет, могу точно сказать, что без соблюдения ряда важных условий и должной экспертизы сделать это практически невозможно. Это самый сложный, дорогой и долгий путь. Давайте разберемся, почему.

Для того чтобы легально создавать СКЗИ на территории Российской Федерации компании-разработчику необходимо иметь соответствующие лицензии, разрешающие данный вид деятельности, а процедура их получения непростая и небыстрая. Но это не единственная проблема. Сама по себе разработка — ответственная и сложная процедура, при которой необходимо учитывать стандарты, требования регуляторов и другие важные нюансы. Все это приводит к тому, что самостоятельная разработка, отвечающая всем обозначенным критериям, может занять годы. Также не будем забывать про сертификацию конечного продукта, а это снова затраты, как временные, так и финансовые.

Рассмотренные выше способы реализации криптографической защиты информации, к счастью, не единственные. На рынке информационной безопасности есть и альтернативные предложения, например, встраиваемые криптографические библиотеки. Рассмотрим, что они собой представляют и как  помогут в решении поставленной задачи, а также их преимущества относительно озвученных ранее подходов.

Криптографическая библиотека — это программный продукт в виде набора криптографических функций, предназначенный для интеграции в уже имеющиеся или разрабатываемые приложения и сервисы. Встраивая криптобиблиотеки, разработчики программного обеспечения могут использовать опыт квалифицированных специалистов в области информационной безопасности, который воплощен в уже готовых криптоалгоритмах. При интеграции в конечный продукт криптобиблиотека обогащает его дополнительными возможностями и становится его частью за счет гибкости встраивания и возможностей тонкой настройки. Рассмотрим преимущества применения криптобиблиотек ниже.

Преимущества и особенности использования криптобиблиотек

Криптобиблиотеки удобны в первую очередь тем, что разработчикам ПО не нужно обладать глубокими знаниями в области криптографии, управления жизненным циклом ключей и иметь прочие специфические навыки. Программный интерфейс криптобиблиотеки взаимодействует с ПО на уровне команд, таких как: зашифровать/расшифровать блок данных, подписать или проверить электронную подпись и т.д.

Процесс встраивания криптобиблиотеки не является проблемой, он подробно описан в документации, дополнительно предоставляются примеры встраивания.

Важная особенность встраиваемых криптобиблиотек — возможность использовать только те функции, которые действительно необходимы разработчику или конечному заказчику. Криптобиблиотеки — гибкий инструмент, позволяющий или использовать только нужные функции, или создавать свои собственные, которые будут реализовывать специфические процедуры обработки данных в той или иной прикладной информационной системе, являясь надстройкой над исходными криптофункциями. Это позволяет разработчикам не подстраиваться под возможности коробочного СКЗИ, а разрабатывать продукт или решение, ориентируясь на свои задачи. К тому же криптобиблиотеки обычно выпускаются производителем сразу под несколько распространенных типов операционных систем и аппаратных архитектур, что дает возможность разработчику ПО сразу создавать кросс-платформенные решения или выбрать оптимальную для себя связку ОС и «железа».

Использование криптобиблиотек значительно дешевле коробочных решений. Криптобиблиотека — это еще не готовый продукт, а своего рода полуфабрикат, кирпичик в конструкторе, который помогает повысить ценность финального продукта.

Важный момент, который обычно волнует всех — это сертификация конечного решения. Если перед разработчиком стоит задача создать программный продукт, который обязан соответствовать требованиям российского законодательства в области защиты информации, то применение сертифицированной криптобиблиотеки — один из самых эффективных путей решения проблемы.

 И здесь возникает очень важный вопрос, который разработчик ПО должен задать производителю криптобиблиотеки – является ли криптобиблиотека законченным СКЗИ и имеет ли сертификат соответствия требованиям ФСБ России как СКЗИ?

При получении положительного ответа, разработчику прикладного ПО после встраивания останется провести процедуру оценки влияния своего ПО на работу криптобиблиотеки без необходимости полностью сертифицировать свой продукт.

Если же криптобиблиотека не сертифицирована как законченное СКЗИ и имеет, в лучшем случае, заключение ФСБ о корректности реализации некоторых криптофункций, то после встраивания в прикладное ПО разработчик столкнется с задачей сертификации уже всего своего конечного решения как СКЗИ, а это на порядок более сложная задача, нежели чем оценка влияния.

Такая существенная разница в подходах к сертификации связана с тем, что при разработке криптобиблиотек – завершенных СКЗИ вендор решает множество задач по обеспечению безопасности функционирования своей криптобиблиотеки в составе того или иного окружения, в т.ч. реализует так называемый криптографически безопасный криптоинтерфейс. И именно через этот криптоинтерфейс прикладное ПО должно взаимодействовать с криптобиблиотекой. В случае же отсутствия в криптобиблиотеке такого интерфейса, она не может считаться завершенным СКЗИ, так как существует вероятность некорректного использования ее функций разработчиком прикладного ПО, что может повлечь компрометацию ключей защиты и ошибки в реализации криптографической защиты информации.

ViPNet OSSL

ViPNet OSSL — это криптобиблиотека, созданная на базе библиотеки с открытым исходным кодом OpenSSL, продукт компании «ИнфоТеКС». ViPNet OSSL является законченным СКЗИ и позволяет клиентскому приложению или серверу выполнять функции шифрования, электронной подписи и строить TLS-соединения используя алгоритмы ГОСТ.

Интерфейс OpenSSL используется практически всеми сетевыми серверами для защиты передаваемой информации, в том числе популярными web-серверами Apache и nginx. Преимуществом ViPNet OSSL является то, что криптобиблиотека позволяет реализовать HTTPS по алгоритмам ГОСТ без внесения изменений в код этих серверов. Это же относится и к некоторым другим широко используемым компонентам с открытым исходным кодом, например, Curl и Thrift, что делает ViPNet OSSL универсальным инструментом для достижения многих целей.

Кроме этого, ViPNet OSSL поддерживает популярные операционные системы: Windows, Linux, iOS и Android, что позволяет использовать его для различных типов приложений.

В продукте также реализована совместимость форматов ключей с решениями других производителей за счет возможности экспорта и импорта ключей в формате #PKCS12, что позволяет ViPNet OSSL работать с другими производителями СКЗИ.

Важно отметить, что ViPNet OSSL — сертифицированное СКЗИ. Для встраивания ViPNet OSSL разработчик получает список одобренных регулятором выделенных функций, что делает процесс интеграции еще более простым. Разработчику, встроившему ViPNet OSSL в свое решение, достаточно будет только пройти оценку влияния у регулятора, иными словами, показать, что СКЗИ встроено правильно.

Нам важно было сделать процесс использования криптобиблиотеки удобным для разработчиков. Поэтому мы составили подробный комплект документации, включающий руководства по встраиванию и администрированию, список функций и примеры использования. Все это существенно упрощает процесс интеграции.

Использование ViPNet OSSL позволяет добавить в имеющееся приложение функции шифрования и электронной подписи. Криптобиблиотеку часто встраивают в офисные приложения, для того, чтобы пользователи могли подписать или шифровать текстовые документы, таблицы и электронные сообщения сразу при создании или редактировании.

Есть и другие сценарии. Помните примеры из начала статьи? Как раз в случаях, когда приложения на электронных устройствах должны уметь должным образом обрабатывать и передавать конфиденциальные данные, интеграция ViPNet OSSL в такие приложения решает поставленные задачи.

Вывод

Каждый из рассмотренных вариантов реализации криптографических функций имеет свои плюсы и минусы. Коробочные решения очень просты в установке и эксплуатации: покупаешь, устанавливаешь, и все работает. Минусы: это может быть дорого, функционал может быть избыточным, отсутствует гибкость в ситуациях, когда нужно оптимизировать использование тех или иных функций.

Самостоятельная разработка средств криптографической защиты информации (СКЗИ) — самый сложный путь решения проблемы, поскольку требует серьезной экспертизы. Разработка строго регламентирована, в связи с чем очень затратная и обычно нецелесообразна.

Плюсы встраиваемой криптографии — абсолютная гибкость, она дешевле коробочных решений. Из минусов — применение встраиваемой криптографии требует определенных временных затрат и усилий разработчиков, однако, они не сравнятся по объему с затратами на разработку СКЗИ с нуля.

Какой из подходов выбрать, стоит решать индивидуально, учитывая ваши ресурсы и готовность нести затраты на разработку, внедрение, развертывание и поддержку вашего продукта или решения.

Если вы хотите протестировать ViPNet OSSL, вы можете скачать демо-версию.

Комментарии отсутствуют

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru