Новогодний сюрприз ФСБ России: обновление стандартов криптографии

17 июля 2015

С 1 января 2016 года в России начнут действовать новые национальные криптографические стандарты: ГОСТ Р 34.12-2015 "Информационная технология.

Криптографическая защита информации. Блочные шифры" и ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров», разработанные Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»).

Блочный шифр является важным криптографическим механизмом, который может использоваться как самостоятельный криптографический алгоритм, так и входить в состав других криптографических алгоритмов и протоколов для защиты данных, передаваемых по сетям засекреченной связи или в информационно-телекоммуникационной сети интернет. Учитывая, что алгоритм криптографического преобразования ГОСТ 28147-89 хорошо зарекомендовал себя в программной и аппаратной реализации, и по своим свойствам он не накладывает ограничения на степень конфиденциальности защищаемой информации, признано целесообразным включить в новый криптографический стандарт ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры» описание этого шифра с размером блока 64 бит с зафиксированными блоками нелинейной подстановки (шифр «Магма»). Фиксация блоков нелинейной подстановки сделает алгоритм, описанный в стандарте, более унифицированным и поможет исключить использование «слабых» блоков нелинейной подстановки.

В стандарт также включен новый блочный шифр (шифр «Кузнечик») типа «подстановочно-перестановочная сеть» с размером блока 128 бит. Данный тип шифров является хорошо изученным и относительно простым с точки зрения криптографического анализа и обоснования требуемых свойств. Ожидается, что блочный шифр с длиной блока 128 бит будет устойчив ко всем известным на сегодняшний день атакам на блочные шифры. Режимы работы n-битного блочного шифра (режим простой замены, режим гаммирования, режим гаммирования с обратной связью по выходу, режим гаммирования с обратной связью по шифртексту, режим простой замены с зацеплением и режим выработки иммитовставки) выведены в отдельный национальный стандарт ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров», что соответствует принятой международной практике, говорится в сообщении на сайте ОАО «ИнфоТеКС».

А Банк России готовит изменения требований к информационным технологиям, используемым в национально значимых платежных системах. Согласно новым требованиям, с 2018 года операторы платежных систем должны будут защищать свою информацию исключительно российскими средствами. По мнению экспертов, это не сулит им ничего хорошего, пишет портал Banki.Ru. 25 июля 2014 года Банк России выпустил указание № 3342-У, в котором были изложены требования к информационным технологиям, которые обязан применять оператор услуг платежной инфраструктуры, если хочет, чтобы его платежная система признавалась национально значимой.

Если оператор считает, что соответствие этим требованиям для него слишком обременительно, его система не признается национально значимой и облагается существенным обеспечительным депозитом. Под требования Банка России попадают крупные системы денежных переводов (Contact, UNIStream, БЭСТ, «Лидер» и т. д.), также национально значимой считается Национальная система платежных карт (НСПК).

Фактически требования из указания № 3342-У сводятся к тому, что четверть программного обеспечения, используемого оператором, должна быть разработана российскими организациями, платежные карты должны соответствовать отечественным ГОСТам, изготавливаться на территории России, а криптографический модуль в этих картах должен иметь сертификат ФСБ России и (или) иметь сертификаты соответствия стандартам безопасности не менее двух иностранных платежных систем. В мае 2015 года Банк России разослал участникам рынка проект изменений к № 3342-У, в которых некоторые требования были ужесточены. Так, оператор национально значимой платежной системы должен использовать полностью российские средства защиты информации, как программные, так и аппаратные.

По мнению опрошенных порталом экспертов, такие средства в стране разрабатываются, но заменить парк внедренных защитных средств — дело недешевое и небыстрое, но времени на это дают до 2018 года. Как рассказал порталу Банки.ру председатель правления UNIStream Кирилл Пальчун, «в настоящее время большинство банковских информационных систем используют стандартные средства управления доступом и регистрацией событий, являющиеся частью операционной системы. Эти средства имеют сертификаты ФСТЭК России. При этом самая распространенная операционная система — Windows от Microsoft. Согласно проекту изменений, вместо стандартных средств управления доступом операционных систем необходимо будет использовать российские аналоги. Естественно, это потребует определенных затрат с нашей стороны». По мнению Пальчуна, однозначно выиграет рынок производителей российских систем защиты информации, но это не будет стимулировать конкуренцию и, как следствие, дальнейшее развитие технологий.

Более оптимистично смотрит на проект председатель совета директоров платежной системы «Лидер» Ольга Вилкул: «Для выполнения указания Банка России платежной системе „Лидер“ изменения не потребуются. Все технологии, используемые в работе процессинга, — это наши собственные разработки. Многие из них запатентованы в России. 40% сотрудников компании работают в сфере IT и занимаются постоянным совершенствованием процессинговой площадки системы». Правда, из этих слов следует, что «Лидер» также самостоятельно разрабатывает средства защиты информации, вместо того чтобы использовать продукты известных в отрасли производителей, как это обычно делается. Однако с позиции Банка России это вполне нормально: главное, чтобы имелись все подобающие сертификаты.

В свою очередь, Национальный совет финансового рынка (НСФР) подготовил экспертное заключение на проект изменений в указание № 3342-У. В обсуждении участвовали эксперты из национально значимых платежных систем, которых эти изменения должны непосредственно затронуть. По их мнению, некоторые положения проекта требуют уточнений. Так, в пункте 1.4 указания № 3342-У, который гласит, что криптографический модуль, используемый платежной картой, должен иметь сертификат ФСБ и (или) сертификат безопасности двух или более иностранных платежных систем, Банк России собрался убрать слово «или». Как отмечают эксперты НСФР, если следовать букве нового варианта пункта 1.4, национально значимая платежная система обязана будет использовать карты, криптографический модуль которых должен быть сертифицирован одновременно как ФСБ, так и иностранными платежными системами.

По мнению НСФР, это приведет к тому, что национально значимые платежные системы долгое время не смогут работать с картами международных платежных систем, а национальные платежные карты, наоборот, нельзя будет использовать в инфраструктуре МПС. И все потому, что получить сертификат ФСБ для иностранного криптографического модуля — тяжелая и долгая процедура, а сертифицировать отечественный модуль в международных системах будет еще сложнее.

Новые требования Банка России могут создать еще одну проблему для отечественных платежных систем. Обязательное использование сертифицированного ФСБ России криптографического модуля российской разработки потребует модификации всех устройств, принимающих карты на территории нашей страны. Как полагают эксперты, отведенных на это 2,5 лет может не хватить, такая задача потребует не менее 5-7 лет. Масштаб финансовых затрат на подобное мероприятие оценить сложно.

Неясен вопрос, кого коснутся новые требования. Проблема криптографического модуля актуальна для национально значимых платежных систем, использующих платежные карты, это УЭК, NCC и НСПК. При этом последней непризнание национально значимой не грозит — в соответствии с пунктом 14 статьи 22 161-ФЗ «О национальной платежной системе», НСПК признается национально значимой без всяких условий. Хочется верить, что в конечном итоге Банк России прислушается к экспертам и внесет в проект необходимые изменения.


Автор: Марина Бродская

Источник: Информационная безопасность банков

Читайте также:

15 июля 2015

Кибервойна — 2015 по сценарию Пентагона

В рамках ежегодных киберучений под названием «Кибергвардия − 2015» (Cyber Guard − 2015) спецслужбы США и Великобритании в течение двух с лишним недель воевали между собой по утвержденному Пентагоном сценарию.