Новые алгоритмы
Введение новых стандартов на криптографические алгоритмы — это неизбежный процесс, связанный со многими факторами, в частности, с повышением производительности компьютеров и исследованиями уязвимостей имеющихся алгоритмов. Новые криптографические стандарты вводились неоднократно и в мировой практике.
В России уже имеется опыт перехода на новые алгоритмы электронной цифровой подписи, когда ГОСТ Р 34.10-94 заменялся на новый ГОСТ Р 34.10-2001. В 2012 году были приняты новые стандарты на алгоритм электронной подписи ГОСТ Р 34.10-2012 и алгоритм хэширования ГОСТ Р 34.11-2012.
Электронная подпись широко используется во множестве информационных систем и приложений, поэтому простое «переключение» с одного стандарта на другой попросту невозможно и необходимо длительное время как на технические работы по переходу на новые алгоритмы, так и на организационные процессы.
За переходный период должны быть внесены изменения и в программный код систем, использующих алгоритмы подписи, разработаны и сертифицированы новые средства криптографической защиты информации (СКЗИ), запущены в эксплуатацию новые средства удостоверяющих центров.
Параметры этого переходного периода были определены в документе ФСБ России «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования». В соответствии с ним, использование старых алгоритмов допускается вплоть до 31 декабря 2019 года.
На первый взгляд, времени много, однако на начало 2017 года заметных внедрений новых стандартов нет и времени на переход осталось очень мало. Поскольку типичный срок действия квалифицированного сертификата составляет 1 год, то с 1 января 2018 года пользователи уже должны иметь все возможности для использования новых алгоритмов. То есть на переход осталось меньше года.
УЦ и банки под прицелом
Давайте попробуем разобраться и оценить объемы работ, которые должны быть завершены к концу 2017 года.
Переход на новые стандарты коснется, в первую очередь, аккредитованных удостоверяющих центров, банков, операторов систем электронного документооборота, электронных торговых площадок, но что гораздо более масштабно — миллионов их пользователей, которым надо будет заменить СКЗИ, ключи и сертификаты.
Чтобы выдавать абонентам соответствующие новым требованиям СКЗИ, поставщикам услуг и разработчикам информационных систем необходимо заранее задуматься о покупке оборудования и приведении прикладного программного обеспечения в соответствие новым стандартам.
Процесс перехода на новые стандарты можно разделить на два больших этапа: обновление средств удостоверяющего центра (УЦ) и замена ключей ЭП. Весь этот процесс необходимо правильно спланировать, чтобы не попасть в авральный режим замены ЭП и не подвергнуть непрерывность бизнес-процессов клиентов риску остановки.
Этап, связанный с переходом УЦ на новые стандарты ориентировочно займет 7 месяцев. Его нужно завершить до 31 декабря 2017 года, соответственно стартовать он должен не позднее июня 2017 года.
Этап, связанный с переходом УЦ на новые стандарты, по оценке компании «КриптоПро», ориентировочно займет 7 месяцев. Его нужно завершить до 31 декабря 2017 года, соответственно стартовать он должен не позднее июня 2017 года. Примерно 2 месяца потребуется на закупку нового программно-аппаратного комплекса УЦ, еще 2 месяца — на его развертывание и тестирование. Оставшееся время займет взаимодействие с Минкомсвязи, регистрация и кросс-сертификация нового корневого сертификата УЦ. По завершении всех необходимых действий УЦ будет готов выпускать сертификаты, соответствующие новым стандартам.
31 декабря 2017 года получается «красным днем календаря», чтобы с начала 2018 года УЦ уже могли выпускать сертификаты в том виде, в каком они смогут быть использованы в 2019 году в соответствии с новым стандартом. По сути остается один год, а не два, как может показаться, для перехода на новые правила.
Этот график описывает, если можно так сказать, идеальный случай, когда нет конкуренции за ресурсы поставщиков программно-аппаратных комплексов УЦ, например, когда требуются услуги команды внедренцев. Учитывая, что на начало 2017 года количество аккредитованных при Минкомсвязи удостоверяющих центров приближается к 450, «идеальный» случай маловероятен.
Гладкий переход
Второй этап, в течении которого конечным пользователям (клиентам банков, юридическим лицам, сдающим отчетность и участвующим в электронных торгах и т. п. ) должны быть заменены СКЗИ, ключи подписи, сертификаты и прикладное ПО представляется еще более интересным. Если количество УЦ, включая аккредитованные и банковские, не превышает 1000, то количество конечных пользователей средств электронной подписи исчисляется миллионами.
Следует учитывать, что ключи и сертификаты электронной подписи не существуют сами по себе. Чтобы их использовать, нужны средства ЭП и носители ключевой информации. К средствам электронной подписи и ключевым носителям относятся, например, USB-токены.
Давайте оценим количество токенов для ДБО, подлежащих замене, в масштабе банковской системы РФ. Учитывая, что на ТОП-50 банков приходится более половины от числа всех активных юридических лиц в стране, то количество пользователей систем ДБО — около 1,5 млн юридических лиц и ИП. Количество носителей ЭП, находящихся в обращении — около 3–3,2 млн ед. из расчета по 2 подписи на каждое юридическое лицо.
Для плавного перехода на новые стандарты нужно решение, которое потребует минимальных затрат и будет поддерживать новые российские криптографические стандарты. Это аппаратное средство электронной подписи Рутокен ЭЦП 2.0 с реализацией ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Рутокен ЭЦП 2.0 сертифицирован ФСБ России в качестве СКЗИ с аппаратной реализацией алгоритмов ЭП, хэширования и шифрования и средства ЭП, соответствующего требованиям 63-ФЗ «Об электронной подписи».
С учетом таких впечатляющих цифр время на внедрение ЭП по новому ГОСТ не кажется таким уж большим. Поэтому часть банков заранее начала переход на новый стандарт. Уже более 200 российских банков используют Рутокен ЭЦП 2.0 для защиты платежных операций своих клиентов.
Кроме времени, не последним фактором является финансовый. Проще говоря, каждый выдаваемый сейчас пользователю ДБО токен, не соответствующий новому ГОСТ, придется заменять, а это неизбежно потребует затрат. Поэтому чем позже начать проект, тем дороже он в итоге получится. Уважаемые господа банкиры могут произвести эти несложные расчеты самостоятельно.
Таким образом, оперативный перевод в ближайшее время конечных пользователей на Рутокен ЭЦП 2.0 гарантирует банкам существенную экономию средств при замене старых СКЗИ. При проектировании новых информационных систем и при реализации долгосрочных проектов необходимо использовать СКЗИ, соответствующие новым стандартам, замена которых в ближайшем будущем не потребуется.