ЭЦП и 3А - локомотивы рынка криптографии

Елена Панасенко

Практически все российские разработки средств информационной безопасности (ИБ) связаны с криптографией. Наиболее емким является сегмент сетевой безопасности, а наиболее динамично развивающимися — сегменты 3А и ЭЦП. Однако идти в ногу со временем многим разработчикам в этой отрасли мешает зависимость от госсектора.

Рынок средств криптографической защиты информации (СКЗИ) подразумевает те решения, в которых применяются криптографические технологии, средства и алгоритмы — шифрование информации, ее хэширование, а также электронная цифровая подпись (ЭЦП) данных. В таких координатах на рынке СКЗИ можно выделить четыре больших сегмента.

Аппаратные и программные средства и системы шифрования –непосредственно главный сегмент криптосредств и объект жесткого государственного контроля со стороны ФСБ и ФСТЭК. Решения данного сегмента используются для защиты информации разной степени конфиденциальности, вплоть до государственной тайны.

Системы управления доступом (системы разграничения доступа) используют технологии аутентификации с применением электронных идентификаторов (Touch Memory, eToken, смарт-карт) или биометрической идентификационной информации.

Средства сетевой защиты информации (VPN) используют шифрование передаваемых данных и защищают их целостность (методами вычисления имитоприставки или хэшированием). Эти криптографические методы предусмотрены в распространенных сегодня протоколах защищенной сетевой передачи данных (наиболее известный из них — IPSec).

Системы ЭЦП используют сам алгоритм электронной цифровой подписи, относящийся к разряду асимметричных криптографических алгоритмов, а также инфраструктуру управления открытыми ключами PKI (Publiс Key Infrastructure) с применением сертификатов открытых ключей, которые выдаются удостоверяющими центрами (УЦ).

Также можно отдельно рассматривать услуги по консалтингу, аудиту, аутсорсингу систем, построенных во всех перечисленных выше сегментах.

Шифрование склоняется к аппаратной реализации

Данный сегмент наполняют продукты многих компаний-разработчиков, реализовавших аппаратным или программных способом отечественный алгоритм криптографической защиты ГОСТ 28147-89: программы архивного или абонентского шифрования данных, прозрачного шифрования файлов и т.д.

Сюда же входят библиотеки криптографических функций, предназначенные для встраивания шифрования на низком уровне в любые сторонние информационные системы или приложения; ставшие довольно популярными криптопровайдеры — средства для работы с функциями и средствами шифрования от ИБ-разработчиков через интерфейс распространенных платформ (чаще всего — ОС Windows); программы еще более высокого уровня, дополняющие криптографическими функциями отдельные приложения, например, офисные приложения Microsoft или почтовые программы.

Присутствуют и продукты, реализующие, вместо ГОСТ, иные алгоритмы шифрования — западные или собственной разработки. Часто производители в своей рекламе называют их «кодированием».

Основными тенденциями изменений в этом относительно стабильном сегменте, как отмечали многие эксперты, является увеличение функциональности и комплексности продуктов, а также сдвиг в сторону аппаратных реализаций из-за их более экономичного использования и надежности.

Сегмент 3А растет быстрее всех

Этот сегмент демонстрирует наибольший рост на рынке ИБ, что связано с новым повсеместным приоритетом — защитой от внутренних угроз. Большую роль здесь играют технологии «ААА», или «3А» (авторизации, аутентификации, администрирования).

Повсеместно развернулось применение электронных индентификаторов — USB-ключей или смарт-карт, которые используются как единые аппаратные носители для всевозможных аутентификационных сведений: ключевой информации пользователей, цифровых сертификатов, RFID-меток для доступа в помещения.

Биометрическая идентификация также развивается достаточно динамично, хотя данное направление не пользуется сегодня в России большой популярностью. Чаще всего биометрические технологии применяются в системах контроля доступа. Однако нельзя не отметить роль государственной программы биометрических паспортов, придавшей сегменту мощное второе дыхание. Положительная сторона проекта — ожидаемый рост популярности биометрических технологий прежде всего в повседневной жизни, что докажет ее удобство и надежность. Технически система биопаспортов создается на программных продуктах с открытыми кодами, на отечественных программных и аппаратных компонентах — в том числе отечественной будет микросхема энергонезависимой памяти для паспорта, данные в которой будут защищены ЭЦП.

ЭЦП для всех

Решения ЭЦП продолжают набирать популярность, несмотря на все несовершенство закона «Об ЭЦП». По данным статистики, в 2005 г. число пользователей ЭЦП и PKI-инфраструктуры — Удостоверяющих центров (УЦ) — в России выросло в 2 раза. Лидируют в использовании ЭЦП банки, финансовые учреждения, крупные компании, применяющие ее в банковских операциях (в том числе в интернет-банкинге для физических лиц), при сдаче налоговой отчетности. ЭЦП является важнейшим элементом защиты в любых системах электронного документооборота, требующих аутентификации и контроля целостности информации.

Активность и довольно высокая конкуренция характерна и для сектора PKI-решений, много подобных проектов внедряется в регионах. Наиболее известными и распространенными отечественными PKI-продуктами признаны программно-аппаратные средства компании «КриптоПро», на которых работают почти 300 УЦ по всей России.

Реализуются глобальные ведомственные PKI-системы: недавний пример — централизованно управляемая инфраструктура PKI Федерального Казначейства РФ, построенная компанией «Информзащита», включающая корневой центр в Москве и 89 УЦ во всех регионах и рассчитанная на выдачу 1 млн. сертификатов ЭЦП. В проекте использовался АПК «Юнисерт-ГОСТ» — продукт на базе PKI-решения промышленного масштаба UniCERT компании Cybertrust, в который были встроены российские криптоалгоритмы, сертифицированные ФСБ. Другой масштабный проект реализует «Информзащитой» на решениях фирмы «КриптоПро» для Федеральной таможенной службы — будет построена ведомственная система безопасного электронного документооборота и сеть УЦ.

Развитие систем УЦ в России вообще является одним из приоритетных ИТ-направлений государственной политики, реализация которого возложено на Росинформтехнологии (ФАИТ), уполномоченный государственный орган в области использования ЭЦП. В проекте «электронного правительства» также заложено использование PKI в Центре управления информационными ресурсами, где будут храниться открытые ключи для защищенного межведомственного документооборота

Технологические тенденции развития сегмента ЭЦП сегодня — применение, так же, как и в сегменте средств шифрования, криптопровайдеров и криптодрайверов, работающих на уровне ядра операционной системы через ее обычные интерфейсы, что позволяет вызывать функции ЭЦП из любых приложений. Интегрируются продукты ЭЦП и с самими приложениями.

Сетевая безопасность не стоит на месте

Данный сегмент – наиболее емкий на рынке ИБ. Разнообразные решения имеют тенденцию сливаться, так, наиболее крупным кластером этого сегмента (65 %) признают комплексные продукты VPN и межсетевого экранирования; нередко они дополняются также системами обнаружения или предотвращения атак, антивирусными или антиспамовыми средствами и т.д.

В принципе, это уже достаточно разработанное поле, хорошо изученное потребителями, но есть и новые веяния. Компьютерная отрасль не так давно приросла направлением «тонких клиентов» — компьютерных терминалов, управляемых с сервера и лишенных выполняемых приложений и сохраняемых данных. Для России это пока и вовсе новшество, занимающее очень скромную долю рынка, но производители таких решений, как западные компании, так и их отечественные партнеры, провидят его грядущий быстрый рост — на 50-70% ежегодно, по некоторым экспертным оценкам.

К ИБ же «тонкие клиенты» имеют прямое отношение, представляя собой рабочее место с идеальным сочетанием невысокой стоимости и отличных возможностей для защиты и разграничения доступа. Так, «тонкий клиент» можно оснастить встроенным ПО с ограниченным набором функций, нужных заказчику, и в том числе со специальными средствами защиты информации и передачи ее по каналу связи с сервером. Спектр целевых потребителей этой технологии очень широк — от государственных учреждений с их специфическими требованиями к ИБ до финансовых и телекоммуникационных организаций. Решения защиты информации для «тонких клиентов» на отечественном рынке уже предлагает фирма «АНКАД».

Рост масштабов телекоммуникационных сетей и усложнение их гетерогенной структуры ставят в области ИБ другие актуальные задачи: повышение производительности средств сетевой безопасности и улучшение масштабируемости систем ИБ, а также защиту данных в разнородных каналах связи для разнообразных сетевых пользователей. Современные мультисервисные сети используют каналы связи 10Гбит\с и более; за таким быстрым развитием не успевают российские средства шифрования по алгоритму ГОСТ, как программные, так и аппаратные, которым необходимы для этого специализированные микросхемы ускорения шифрования трафика.

Плохо и то, что в России не приняты единые стандарты на протоколы защищенного обмена данными, и средства безопасности зачастую трудно поддаются совмещению в единой масштабной сети. Эксперты высказываются за принятие в качестве стандарта де-факто IKE\IPsec, на котором уже построены ряд отечественных VPN-продуктов с шифрованием и ЭЦП по ГОСТ: VipNet от «Инфотекст», «Континент» от «Информзащиты», S-Terra VPN от «С-Терра», семейство «Застава» от «Элвис Плюс».

Развиваются и решения для удаленного доступа мобильных пользователей, например: «Базовый доверенный модуль» от «Элвис Плюс», объединяющий функции межсетевого экрана, средства построения VPN и защиты ресурсов компьютера от несанкционированного доступа. Другой пример — «ИВК Север» от компании «ИВК» для работы мобильных пользователей на ПК, ноутбуках, КПК или смартфонах даже в труднодоступных районах и передачи данных через УКВ-радиостанции, спутниковые и сотовые телефоны и др. При этом обеспечена надежность и ИБ, достаточная для критически важных приложений, так как основа решения — система «ИВК Юпитер», сертифицирована Гостехкомиссией до уровня работы с гостайной.

Распространение сетей беспроводной и сотовой связи делает все острее проблемы безопасности в этих сетях. Уже есть единичные отечественные продукты шифрования голоса для мобильных телефонов: с 2004 года НТЦ «Атлас» продает шифротелефон со сквозным шифрованием переговоров, а в феврале 2006 фирма «Сигнал-Ком» выпустила программный Voice Coder Mobile, шифрующий по ГОСТ голос при передаче по технологиям GSM и GPRS. Последний продукт ориентирован на защиту от прослушивания корпоративных и частных переговоров, а также может служить средством построения VPN с использованием PKI-инфраструктуры.

Особенности конкуренции

Масштабные государственные проекты в сфере ИТ и ИБ, которые начаты недавно и рассчитаны на годы, означают, что государство еще длительное время будет оставаться самым приоритетным потребителем на рынке ИБ. Оно же диктует требования к решениям и «правила поведения» на рынке.

Это накладывает отпечаток на конкурентное поведение фирм ИБ, на технический прогресс их продуктов и решений, на возможности их выхода из своеобразного замкнутого круга с государством и продвижения своего бизнеса на открытом рынке.

Разработка современных и конкурентоспособных СКЗИ требует вложений в исследования технологий и спроса, а потом — в продвижение и рекламу. Однако сегодняшним игрокам рынка ИБ проще продавать то, что уже сделано под крупные заказы государства, а не заниматься никем не оплачиваемой разработкой на свой страх и риск. Побочный эффект этого — несовместимость российских СКЗИ на базе одного ГОСТа между собой и с западными решениями. Сильная конкуренция с западными ИБ-профессионалами на открытом пространстве также не обещает спокойной жизни и больших прибылей отечественным компаниям. Закономерен вывод: обосновавшись однажды на рынке государственных ИБ-заказов, никто не стремится его покидать. По крайней мере, пока не изменяться его установки или внешние условия.

Изменения могут произойти с принятием новых российских законов и стандартов в области ИБ — более современных, согласованных, пригодных к практическому применению, открывающих новые горизонты для рынка ИБ. Как мы видим, этот процесс уже идет.

Таблица сравнения решений  от разных компаний.