Как реализовать шифрование с минимальными затратами

В результате такой всеобщей цифровизации растут объемы данных, в том числе персональных, финансовых, медицинских и прочих, которые требуют грамотной защиты при их хранении и передаче.

Арина Эм, менеджер продукта компании «ИнфоТеКС»

Электронный документооборот. Интернет-сервисы. Государственные услуги онлайн. Цифровое пространство. Все эти термины превратились из непонятного набора высокотехнологичных слов в реальность, в которой мы живем. Для подключения к этим системам и сервисам разрабатываются все новые продукты и решения, предназначенные для использования как организациями и ведомствами, так и частными лицами. В результате такой всеобщей цифровизации растут объемы данных, в том числе персональных, финансовых, медицинских и прочих, которые требуют грамотной защиты при их хранении и передаче.

В начале этой статьи я хочу привести несколько конкретных примеров, с которыми приходилось сталкиваться, и которые наглядно демонстрируют необходимость построения грамотно организованной защиты данных.

Современные врачи давно не носят с собой бумажные медицинские карты — их заменили планшеты и смартфоны, подключенные к единой системе, куда заносятся все данные о пациентах. Таким образом собирается и хранится большое количество информации, классифицируемой как врачебная тайна, которая должна защищаться в соответствии с требованиями законодательства.

Онлайн-продажи с наступлением пандемии вышли на новый уровень. Например, девелоперские компании стали продавать недвижимость, а также оформлять и передавать заявки на одобрение ипотеки в онлайн-банк. Все это требует обмена персональной информацией, которую нужно должным образом собирать, обрабатывать и хранить.

Еще один пример. Производители товаров народного потребления: молочной продукции, парфюмерии, обуви,- обязаны наносить специальный код на продукцию и отправлять отчетность в систему цифровой маркировки. Передача этой информации должна быть организована с использованием средств информационной безопасности.

Способов защиты информации существует множество, но эта статья будет посвящена криптографии. Криптографическую защиту используют, чтобы обеспечить конфиденциальность, целостность данных и неотрекаемость.

Функции электронной подписи, шифрования и хэширования — это основные функции криптографической защиты. Далее мы подробнее расскажем, какими средствами можно реализовать криптографическую защиту, разберем, на чем можно сэкономить и на что следует обратить особое внимание.

Какое средство криптографической защиты выбрать?

Криптографическую защиту можно построить разными способами: программными или аппаратными средствами, встраиваемыми или «коробочными». Все компании-разработчики средств криптографической защиты информации (СКЗИ) будут уверять, что их продукт самый надежный, их решение самое инновационное, а подход всесторонний. Чтобы не запутаться в разнообразии предлагаемых решений, нужно определиться с тем, какие критерии наиболее важны для решения ваших задач.

Кроме этого, важно оценить, сколько вы готовы потратить на приобретение решения, сколько ресурсов потребуется на развертывание и поддержку. Важно учесть все критерии, которые могут быть специфичными для каждого персонального случая.

Покупка и использование готовых «коробочных» решений — возможно, первое, что приходит на ум, когда речь заходит о реализации криптографической защиты информации. Рассмотрим плюсы и минусы этого подхода.

Коробочное решение — это готовый продукт, который разворачивается после покупки и сразу готов к использованию. Плюсы: развертывание такого продукта не займет много времени и потребует минимальных компетенций от сотрудников, внедряющих и эксплуатирующих его. Процессы технической поддержки и сопровождения таких продуктов со стороны производителя обычно более прозрачны для заказчиков.

Но у этого подхода есть свои минусы — часто заказчикам не нужны все функции, которые реализует коробочное решение, при этом зачастую они избыточны и излишне нагружают функционал разрабатываемого приложения или прибавляют большой объем накладных расходов к обрабатываемой или передаваемой информации, но эти функции нельзя отключить. Коробочные решения очень часто лишены гибкости и способности адаптироваться к нуждам конечного потребителя. Если вам нужна реализация не всего заявленного функционала, а, например, нескольких функций, заплатить вам в любом случае придется за все. Также стоит иметь в виду, что, если коробочное решение сертифицировано, на его применение может накладываться ряд ограничений.

Альтернативный путь — собственная разработка средств криптографической защиты информации с нуля. Под разработкой СКЗИ будем понимать ситуацию, когда компания самостоятельно берется за реализацию криптографических алгоритмов. Как сотрудник компании, разрабатывающей криптографические средства уже более 30 лет, могу точно сказать, что без соблюдения ряда важных условий и должной экспертизы сделать это практически невозможно. Это самый сложный, дорогой и долгий путь. Давайте разберемся, почему.

Для того чтобы легально создавать СКЗИ на территории Российской Федерации компании-разработчику необходимо иметь соответствующие лицензии, разрешающие данный вид деятельности, а процедура их получения непростая и небыстрая. Но это не единственная проблема. Сама по себе разработка — ответственная и сложная процедура, при которой необходимо учитывать стандарты, требования регуляторов и другие важные нюансы. Все это приводит к тому, что самостоятельная разработка, отвечающая всем обозначенным критериям, может занять годы. Также не будем забывать про сертификацию конечного продукта, а это снова затраты, как временные, так и финансовые.

Рассмотренные выше способы реализации криптографической защиты информации, к счастью, не единственные. На рынке информационной безопасности есть и альтернативные предложения, например, встраиваемые криптографические библиотеки. Рассмотрим, что они собой представляют и как  помогут в решении поставленной задачи, а также их преимущества относительно озвученных ранее подходов.

Криптографическая библиотека — это программный продукт в виде набора криптографических функций, предназначенный для интеграции в уже имеющиеся или разрабатываемые приложения и сервисы. Встраивая криптобиблиотеки, разработчики программного обеспечения могут использовать опыт квалифицированных специалистов в области информационной безопасности, который воплощен в уже готовых криптоалгоритмах. При интеграции в конечный продукт криптобиблиотека обогащает его дополнительными возможностями и становится его частью за счет гибкости встраивания и возможностей тонкой настройки. Рассмотрим преимущества применения криптобиблиотек ниже.

Преимущества и особенности использования криптобиблиотек

Криптобиблиотеки удобны в первую очередь тем, что разработчикам ПО не нужно обладать глубокими знаниями в области криптографии, управления жизненным циклом ключей и иметь прочие специфические навыки. Программный интерфейс криптобиблиотеки взаимодействует с ПО на уровне команд, таких как: зашифровать/расшифровать блок данных, подписать или проверить электронную подпись и т.д.

Процесс встраивания криптобиблиотеки не является проблемой, он подробно описан в документации, дополнительно предоставляются примеры встраивания.

Важная особенность встраиваемых криптобиблиотек — возможность использовать только те функции, которые действительно необходимы разработчику или конечному заказчику. Криптобиблиотеки — гибкий инструмент, позволяющий или использовать только нужные функции, или создавать свои собственные, которые будут реализовывать специфические процедуры обработки данных в той или иной прикладной информационной системе, являясь надстройкой над исходными криптофункциями. Это позволяет разработчикам не подстраиваться под возможности коробочного СКЗИ, а разрабатывать продукт или решение, ориентируясь на свои задачи. К тому же криптобиблиотеки обычно выпускаются производителем сразу под несколько распространенных типов операционных систем и аппаратных архитектур, что дает возможность разработчику ПО сразу создавать кросс-платформенные решения или выбрать оптимальную для себя связку ОС и «железа».

Использование криптобиблиотек значительно дешевле коробочных решений. Криптобиблиотека — это еще не готовый продукт, а своего рода полуфабрикат, кирпичик в конструкторе, который помогает повысить ценность финального продукта.

Важный момент, который обычно волнует всех — это сертификация конечного решения. Если перед разработчиком стоит задача создать программный продукт, который обязан соответствовать требованиям российского законодательства в области защиты информации, то применение сертифицированной криптобиблиотеки — один из самых эффективных путей решения проблемы.

 И здесь возникает очень важный вопрос, который разработчик ПО должен задать производителю криптобиблиотеки – является ли криптобиблиотека законченным СКЗИ и имеет ли сертификат соответствия требованиям ФСБ России как СКЗИ?

При получении положительного ответа, разработчику прикладного ПО после встраивания останется провести процедуру оценки влияния своего ПО на работу криптобиблиотеки без необходимости полностью сертифицировать свой продукт.

Если же криптобиблиотека не сертифицирована как законченное СКЗИ и имеет, в лучшем случае, заключение ФСБ о корректности реализации некоторых криптофункций, то после встраивания в прикладное ПО разработчик столкнется с задачей сертификации уже всего своего конечного решения как СКЗИ, а это на порядок более сложная задача, нежели чем оценка влияния.

Такая существенная разница в подходах к сертификации связана с тем, что при разработке криптобиблиотек – завершенных СКЗИ вендор решает множество задач по обеспечению безопасности функционирования своей криптобиблиотеки в составе того или иного окружения, в т.ч. реализует так называемый криптографически безопасный криптоинтерфейс. И именно через этот криптоинтерфейс прикладное ПО должно взаимодействовать с криптобиблиотекой. В случае же отсутствия в криптобиблиотеке такого интерфейса, она не может считаться завершенным СКЗИ, так как существует вероятность некорректного использования ее функций разработчиком прикладного ПО, что может повлечь компрометацию ключей защиты и ошибки в реализации криптографической защиты информации.

ViPNet OSSL

ViPNet OSSL — это криптобиблиотека, созданная на базе библиотеки с открытым исходным кодом OpenSSL, продукт компании «ИнфоТеКС». ViPNet OSSL является законченным СКЗИ и позволяет клиентскому приложению или серверу выполнять функции шифрования, электронной подписи и строить TLS-соединения используя алгоритмы ГОСТ.

Интерфейс OpenSSL используется практически всеми сетевыми серверами для защиты передаваемой информации, в том числе популярными web-серверами Apache и nginx. Преимуществом ViPNet OSSL является то, что криптобиблиотека позволяет реализовать HTTPS по алгоритмам ГОСТ без внесения изменений в код этих серверов. Это же относится и к некоторым другим широко используемым компонентам с открытым исходным кодом, например, Curl и Thrift, что делает ViPNet OSSL универсальным инструментом для достижения многих целей.

Кроме этого, ViPNet OSSL поддерживает популярные операционные системы: Windows, Linux, iOS и Android, что позволяет использовать его для различных типов приложений.

В продукте также реализована совместимость форматов ключей с решениями других производителей за счет возможности экспорта и импорта ключей в формате #PKCS12, что позволяет ViPNet OSSL работать с другими производителями СКЗИ.

Важно отметить, что ViPNet OSSL — сертифицированное СКЗИ. Для встраивания ViPNet OSSL разработчик получает список одобренных регулятором выделенных функций, что делает процесс интеграции еще более простым. Разработчику, встроившему ViPNet OSSL в свое решение, достаточно будет только пройти оценку влияния у регулятора, иными словами, показать, что СКЗИ встроено правильно.

Нам важно было сделать процесс использования криптобиблиотеки удобным для разработчиков. Поэтому мы составили подробный комплект документации, включающий руководства по встраиванию и администрированию, список функций и примеры использования. Все это существенно упрощает процесс интеграции.

Использование ViPNet OSSL позволяет добавить в имеющееся приложение функции шифрования и электронной подписи. Криптобиблиотеку часто встраивают в офисные приложения, для того, чтобы пользователи могли подписать или шифровать текстовые документы, таблицы и электронные сообщения сразу при создании или редактировании.

Есть и другие сценарии. Помните примеры из начала статьи? Как раз в случаях, когда приложения на электронных устройствах должны уметь должным образом обрабатывать и передавать конфиденциальные данные, интеграция ViPNet OSSL в такие приложения решает поставленные задачи.

Вывод

Каждый из рассмотренных вариантов реализации криптографических функций имеет свои плюсы и минусы. Коробочные решения очень просты в установке и эксплуатации: покупаешь, устанавливаешь, и все работает. Минусы: это может быть дорого, функционал может быть избыточным, отсутствует гибкость в ситуациях, когда нужно оптимизировать использование тех или иных функций.

Самостоятельная разработка средств криптографической защиты информации (СКЗИ) — самый сложный путь решения проблемы, поскольку требует серьезной экспертизы. Разработка строго регламентирована, в связи с чем очень затратная и обычно нецелесообразна.

Плюсы встраиваемой криптографии — абсолютная гибкость, она дешевле коробочных решений. Из минусов — применение встраиваемой криптографии требует определенных временных затрат и усилий разработчиков, однако, они не сравнятся по объему с затратами на разработку СКЗИ с нуля.

Какой из подходов выбрать, стоит решать индивидуально, учитывая ваши ресурсы и готовность нести затраты на разработку, внедрение, развертывание и поддержку вашего продукта или решения.

Если вы хотите протестировать ViPNet OSSL, вы можете скачать демо-версию.