CC BY
70ЗАЩИТА ИНФОРМАЦИИ МЕТОДАМИ КРИПТОГРАФИИ В
СОВРЕМЕННОЙ РОССИИ
PROTECTION OF INFORMATION BY METHODS OF CRYPTOGRAPHY IN
MODERN RUSSIA
УДК 681.3.06 DOI: 10.24411/2658-4964-2020-1105
Ахрамеева К.А.,
кандидат технических наук,
доцент кафедры «Защищённых систем связи»
Санкт-Петербургский Государственный Университет Телекоммуникаций им.
проф. М.А. Бонч-Бруевича
Россия, г. Санкт-Петербург
Федосенко М.Ю.,
студент 4 курс,
факультет «Инфокоммуникационных сетей и систем»
Санкт-Петербургский Государственный Университет Телекоммуникаций им. проф. М.А. Бонч-Бруевича Россия, г. Санкт-Петербург
Akhrameeva K.A. oklaba@mail.ru Fedosenko M.Yu. fedosenkomaksim98@gmail.com
Аннотация
В статье рассматриваются основные факты из российской практики, касающиеся вопросов использования криптографии. Описаны основные законодательные акты, применяемые для использования криптографии и контроля интернета в Российской Федерации, а также пояснена необходимость владения знаниями данных актов у специалистов информационной безопасности. На основе проанализированных данных проведена оценка способности защитить информацию, имеющую государственную ценность, от внешнего врага. Также дана оценочная характеристика фактов из общественной жизни, затрагивающих вопросы шифрования.
Annotation
The article discusses the main facts from Russian practice regarding the use of cryptography. The main legislative acts used for the use of cryptography and Internet control in the Russian Federation are described, and the need for information
security specialists to have knowledge of these acts is explained. Based on the analyzed data, an assessment was made of the ability to protect information of national value from an external enemy. It also provides an estimated characterization of facts from public life affecting encryption issues.
Ключевые слова: криптография, шифрование, закон, законодательный акт, ГОСТ 89-го года, цифровая подпись, импортозамещение.
Keywords: cryptography, encryption, law, legislative act, state standard of the 89th year, digital signature, import substitution.
Введение
В современном мире постиндустриального общества, сопровождающегося информационной революцией, появляется острая необходимость в защите информации от её ложного содержания, подмены и использования в корыстных целях. Данная задача решается комплексом мероприятий по обеспечению информационной безопасности, в котором немаловажная роль отведена криптографии (то же, что тайнопись, т. е. Условное тайное письмо, согласно толковому словарю Ожегова [1]). Данная тайнопись имеет множество видов, стандартов, способов для качественного сокрытия информации. Среди них стоит выделить синхронное и асинхронное шифрование, поточные и блочные шифры, использование открытых ключей и наличие множества криптографических протоколов (протокол «подбрасывания монеты», протокол «тайного голосования», SSH и т.д.) [2]. Также существует огромное количество шифров и стандартов их применения, использование которых подразделяется по множеству критериев, начиная от ситуативных, заканчивая географическими.
Криптография в России
Географический критерий является одним из самых важных в классификации криптографических методов. В рамках него происходит регулирование использования криптографии относительно определённого государства. Это в свою очередь представляет не только слаженную внутреннюю защиту, но и защиту от внешнего врага от угрозы нарушения информационной безопасности. Что касается России, то использование криптографии регулируется следующими документами и законодательными актами:
• N 149-ФЗ от 27 июля 2006 г. («Об информации, информационных технологиях и о защите информации») [4]
• Приказ ФСБ РФ от 9 февраля 2005 г № 66. "Об утверждении Положения о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)" [5]
Данное положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
• Постановление Правительства Российской Федерации от 16 апреля 2012 г. N 313 г. Москва [6]
• Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" [7]
• Использование криптоключей регулирует ГОСТ 28147-89 (шифр «Кузнечик») [3]. Данный шифр в настоящее время используется повсеместно в органах государственной власти и центрах генерации ключей (ЦГК), вытеснив AES, RSA после событий 2014 года и взятия курса государственной политики на «Импортозамещение».
А также рядом других актов, регулирующих использование электронной цифровой подписи (ЭЦП):
• Федеральный закон "Об электронной подписи" (от 25 мая 2011 года) [8]
Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско -правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, в том числе в случаях, установленных другими федеральными законами.
• Приказ Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. N 795 г. Москва "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" [9]
• Приказ Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. N 796 г. Москва "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" [10]
• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва [11]
Данный приказ регулирует организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности"
• "Методические рекомендации по составу квалифицированного сертификата ключа проверки электронной подписи" от Минкомсвязи [12] Помимо вышеперечисленных законодательных актов, стоит также упомянуть примеры из общественной жизни, затрагивающие вопросы использование криптографии. При этом уделить особое внимание блокировке Роскомнадзором социального мессенджера «Telegram» за отказ предоставить криптографические ключи шифрования органам государственной власти и обязательство использовать данными органами вычислительного оборудования, шифрующее данные только российскими шифрами. Весной 2017 года, после совершения террористического акта в Санкт-Петербургском метрополитене, остро встал вопрос о необходимости контроля происходящего в сети Интернет обмена информацией. Согласно данным, приведённым криминалистами, для организации террористического акта использовался мессенджер Telegram [13],[14]. В результате данных событий, властями было принято решение взять под контроль и данный мессенджер. Руководство Telegram в свою очередь отказалось предоставить криптографические ключи, сославшись на то, что они являются сложными и трудно генерируемыми, а их генерация постоянно происходят по новым алгоритмам для большей защиты контента пользователей в рамках 18,23,24,29 статьи Конституции РФ [15]. В результате данного решения, мессенджер признали запрещённым на территории Российской Федерации, но возможность его использования в корыстных целях от этого не пропала. Мессенджер также доступен для скачивания в российских магазинах AppStore и Play Market. Что касается использование отечественных криптографических методов, то данное ограничение относится лишь к оборудованию, организующему шифрование данных и их защищённый обмен в государственных целях. Данное ограничение стало использоваться после 2014 года, в результате «взятия курса» на политику «импортозамещения»
Заключение
Подводя общий итог, можно утверждать, что использование криптографии в современной России является хорошо организованно и стабилизировано. Множество законов и актов, регулирующих данный вопрос, являются подтверждением данного итога. С этими актами должны быть знакомы не только сотрудники Федеральной Службы Безопасности, но и прочие лица, имеющие отношения к информационной безопасности [16]. Также современная Россия готова защитить информацию от внешнего врага. Но несмотря на это, внутренняя угроза остаётся актуальной и заключается как в использовании методов криптографии в корыстных целях, так и привлечение других методов обработки информации, отличных от шифрования [17].
Литература
1. Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка // Москва, 2010, С. 3423
2. Коржик В.И., Яковлев В.А. Основы криптографии: учебное пособие. // Интермедиа. - Санкт-Петербург, 2017. - С. 312
3. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
4. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (последняя редакция).
5. Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
6. Постановление Правительства РФ от 16.04.2012 N 313 г. Москва "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических)
средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" (ред. от 18.05.2017)
7. Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Зарегистрировано в Минюсте РФ 06.08.2001 N 2848).
8. Федеральный закон N 63 «Об электронной подписи» от 06.04.2011 (ред. от 30.12.2015) (с изм. и доп., вступ. в силу с 08.07.2016)
9. Приказ Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. N 795 г. Москва "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" (Дата подписания: 27.12.2011, Дата публикации: 28.01.2012, Зарегистрирован в Минюсте РФ 27 января 2012 г., Регистрационный N 23041)
10. Приказ Федеральной службы безопасности Российской Федерации от 27 декабря 2011 г. N 796 г. Москва "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" (Дата подписания: 27.12.2011, Дата публикации: 14.02.2012, Зарегистрирован в Минюсте РФ 9 февраля 2012 г., Регистрационный N 23191)
11. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (Дата подписания: 10.07.2014, Дата публикации: 17.09.2014, Зарегистрирован в Минюсте РФ 18 августа 2014 г., Регистрационный N 33620)
12. "Методические рекомендации по составу квалифицированного сертификата ключа проверки электронной подписи" от Минкомсвязи (версия 1.9)
13. ФСБ РФ: «Телеграм» дает террористам возможность конспиративного общения и создания «спящих ячеек». [Электронный ресурс].
URL:https://www.1tv.ru/news/2017-06-25/327652-
fsb rf telegram daet terroristam vozmozhnost konspirativnogo obscheniya i sozdaniya spyaschih yacheek (дата обращения: 25.05.2020).
14. В России террористы активно используют Telegram для связи, заявили в ФСБ. [Электронный ресурс]. URL: https://ria.ru/20170626/1497271423.html (дата обращения: 25.05.2020).
15. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ).
16. Красов, А.В. Подготовка специалистов в области информационной безопасности в санкт-петербургском государственном университете телекоммуникаций им. проф. М.А. Бонч-Бруевича / Красов А.В., Ушаков И.А. // Инновации. 2013. № 7 (177). С. 92-97.
17. Яковлев В. Протоколы формирования ключа с использованием открытых каналов связи с шумом в условиях активного перехвата. часть 1. постановка задачи, основные процедуры, протокол Маурера-Вольфа / Яковлев В., Коржик В., Бакаев М. // Проблемы информационной безопасности. Компьютерные системы. 2004. № 3. С. 72
Literature
1. Ozhegov S.I., Shvedova N.Yu. Explanatory Dictionary of the Russian Language // Moscow, 2010, S. 1174
2. Korzhik V.I., Yakovlev V.A. The basics of cryptography: a tutorial. // Intermedia. - St. Petersburg, 2017. -- S. 312
3. GOST 28147-89. Information processing systems. Cryptographic protection. Cryptographic Conversion Algorithm
4. The Federal Law "On Information, Information Technologies and the Protection of Information" dated 07.27.2006 N 149-ФЗ (latest revision).
5. Order of the Federal Security Service of Russia dated 09.02.2005 No. 66 "On approval of the Regulation on the development, production, sale and operation of encryption (cryptographic) means of information protection (Regulation PKZ-2005)".
6. Decree of the Government of the Russian Federation of 16.04.2012 N 313 Moscow "On approval of the Regulation on licensing activities for the development, production, distribution of encryption (cryptographic) means, information systems and telecommunication systems protected using encryption (cryptographic) means, performance of work , the provision of
services in the field of information encryption, maintenance of encryption (cryptographic) means, information systems and telecommunication systems, protected with using encryption (cryptographic) means (unless the maintenance of encryption (cryptographic) means, information systems and telecommunication systems protected using encryption (cryptographic) means is carried out to ensure the personal needs of a legal entity or individual entrepreneur) "(ed. from 05/18/2017)
7. Order of the FAPSI of June 13, 2001 N 152 "On approval of the Instructions on the organization and security of storage, processing and transmission through communication channels using cryptographic protection of information with limited access that does not contain information constituting a state secret" (Registered in the Ministry of Justice of the Russian Federation 08/06/2001 N 2848).
8. Federal Law N 63 "On Electronic Signatures" dated 04/06/2011 (as amended on 12/30/2015) (as amended and supplemented, entered into force on 08/08/2016)
9. Order of the Federal Security Service of the Russian Federation of December 27, 2011 N 795 Moscow "On approval of the requirements for the form of a qualified certificate certificate key electronic signature" (Date of signing: December 27, 2011, Date of publication: January 28, 2012, Registered with the Ministry of Justice RF January 27, 2012, Registration N 23041)
10. Order of the Federal Security Service of the Russian Federation of December 27, 2011 N 796 Moscow "On approval of the Requirements for electronic signature means and Requirements for the means of the certification center" (Date of signing: December 27, 2011, Date of publication: February 14, 2012, Registered in the Ministry of Justice of the Russian Federation on February 9, 2012, Registration N 23191)
11. Order of the Federal Security Service of the Russian Federation of July 10, 2014 N 378 Moscow "On approval of the composition and content of organizational and technical measures to ensure the security of personal data when they are processed in personal data information systems using the cryptographic protection of information necessary to fulfill the requirements established by the Government of the Russian Federation for the protection of personal data for each of the security levels "(Date of signing: July 10, 2014, Date of publication: September 17, 2014, Registered with the Ministry of Justice of the Russian Federation on August 18, 2014, Registration N 33620)
12. "Guidelines for the composition of a qualified certificate certificate key electronic signature" from the Ministry of Communications (version 1.9)
13. The Federal Security Service of the Russian Federation: Telegram gives terrorists the possibility of secret communication and the creation of "sleeping cells." [Electronic resource]. URL: https: //www.1tv.ru/news/2017-06-25/327652-
fsb_rf_telegram_daet_terroristam_vozmozhnost_konspirativnogo_obscheniya _i_sozdaniya_spyaschih_yacheek (accessed date: 25.05.2020).
14. In Russia, terrorists are actively using Telegram for communication, the FSB said. [Electronic resource]. URL: https://ria.ru/20170626/1497271423.html (accessed date: 05/25/2020).
15. The Constitution of the Russian Federation (adopted by popular vote 12/12/1993) (as amended by the Laws of the Russian Federation on amendments to the Constitution of the Russian Federation of December 30, 2008 N 6-FKZ, dated 30.12.2008 N 7-FKZ, dated 05.02.2014 N 2 -FKZ, dated July 21, 2014 N 11-FKZ).
16. Krasov, A.V. Training of specialists in the field of information security at St. Petersburg State Telecommunications University. prof. m.a. Bonch-Bruevich / Krasov A.V., Ushakov I.A. // Innovation. 2013. No. 7 (177). S. 92-97.
17. Yakovlev V. Key generation protocols using open communication channels with noise under conditions of active interception. Part 1. Statement of the problem, basic procedures, Maurer-Wolf protocol / V. Yakovlev, V. Korzhik, M. Bakaev // Information Security Problems. Computer systems. 2004. No 3. S. 72
