Категории шифровальных средств и их особенности

Шифровальные средства
	Шифровальные (криптографические) средства (ШКС)
Основные НПА
	Решение ЕЭК №30 от 21 апреля 2015 г.
Перечень	2.19
Положение	Приложение 9
Услуги IFCG
	Оформление разрешительных документов для ввоза и вывоза ШКС: Нотификация ФСБ; Заключение ФСБ; Лицензия Минпромторга;

Согласно законодательству ЕАЭС, шифровальные (криптографические) средства (далее – ШКС) – это “аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении”^[1].

Данное определение весьма абстрактно, в связи с чем отнесение или неотнесение конкретного товара к ШКС может вызывать существенные затруднения.

Содержание

1 Список товаров, относящихся к ШКС
2 Процедура импорта (экспорта) ШКС
3 12 категорий ШКС
4 Наиболее распространенные категории ШКС
5 Примечания
6 Ссылки
7 См. также

Список товаров, относящихся к ШКС

В Положении о ввозе (вывозе) ШКС приведен список функций (компонентов), которые должен содержать товар, чтобы он мог считаться ШКС^[2]:

средства имитозащиты;
средства электронной цифровой подписи;
средства кодирования;
средства изготовления криптографических ключей;
сами криптографические ключи;
системы, оборудование и компоненты, разработанные или модифицированные для выполнения крипто-аналитических функций;
системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты;
системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.

Однако, на практике нередко возникает ситуация, что таможенные органы, руководствуясь перечнем из раздела 2.19^[3] (и даже только кодом ТН ВЭД из перечня), могут решить, что ввозимый продукт является шифровальным средством (и неважно, есть ли там шифрование на самом деле или нет). В этом случае импортеру придется получать разрешительные документы или доказывать таможне, что в товаре отсутствует шифрование.

Процедура импорта (экспорта) ШКС

В зависимости от таможенной процедуры для ввоза (вывоза) ШКС необходимо оформить различные виды документов:

Импорт и экспорт – лицензия^[4] или нотификация.
Ввоз для собственных нужд (без их распространения и оказания третьим лицам услуг в области шифрования), процедуры переработки, временного ввоза/вывоза, свободной таможенной зоны и свободного склада, реэкспорт или реимпорт – заключение (разрешительный документ) или нотификация.

12 категорий ШКС

На практике подавляющее большинство товаров с функцией шифрования ввозятся на основании нотификации.

Нотификация может зарегистрирована только на товары, относящиеся к одной или нескольким из 12 категорий шифровальных средств, технические и криптографические характеристики которых подлежат нотификации. Данный перечень приведен в Положении о нотификации.

Ниже каждая из категорий рассмотрена подробнее.

Категория №1

1. Товары, содержащие в своем составе шифровальные (криптографические) средства, имеющие любую из следующих составляющих:
  1) симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит;
  2) асимметричный криптографический алгоритм, основанный на любом из следующих методов:
    • разложение на множители целых чисел, размер которых не превышает 512 бит;
    • вычисление дискретных логарифмов в мультипликативной группе конечного поля, размер которого не превышает 512 бит;
    • дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта, размер которого не превышает 112 бит.

ШКС данной категории выполняются различные криптографические функции, но определяющим фактором отнесения к данной категории является длина криптографического ключа. Указанные длины ключей существенно меньше рекомендованных минимальных значений для соответствующих групп алгоритмов. Использование таких коротких криптографических ключей делает возможным на современном оборудовании вскрытие зашифрованных сообщений методом полного перебора.

Симметричное шифрование в основном используется для обеспечения конфиденциальности данных, и основано на том, что отправитель и получатель информации используют один и тот же ключ как для зашифровки сообщений, так и для их расшифровки. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват. Примеры симметричных алгоритмов шифрования: RC4, DES, AES.

Из перечисленных алгоритмов только DES (считающийся устаревшим) безусловно попадает в категорию 1; также алгоритм RC4 иногда может использоваться с короткими ключами (например, в протоколе WEP технологии связи Wi-Fi: длина ключа 40 или 128 бит).

В асимметричных алгоритмах шифрования (или криптографии с открытым ключом) для зашифровывания информации используют один ключ (открытый), а для расшифровывания – другой (секретный). Данные алгоритмы широко используются для установления защищенных соединений по открытым каналам связи, для целей ЭЦП. Примеры алгоритмов: RSA, DSA, Протокол Диффи — Хеллмана, ГОСТ Р 34.10-2012.

Указанные методы относятся к математической базе функционирования асимметричных алгоритмов:

разложение на множители целых чисел - алгоритм RSA
вычисление дискретных логарифмов в мультипликативной группе конечного поля - алгоритмы DSA, Диффи-Хеллмана, Эль-Гамаля
дискретный логарифм в группе конечного поля, отличного от поля, указанного в абзаце третьем настоящего подпункта - алгоритмы на эллиптических кривых: ECDSA, ECDH, ГОСТ Р 34.10-2012.

Примеры нотифицируемых ШКС: теоретически любой товар может использовать устаревшие алгоритмы, либо короткие ключи в современных алгоритмах. На практике, однако, это имеет мало смысла, т.к. не обеспечивает достаточный уровень защиты. Одним из реальных примеров может быть Wi-Fi в режиме WEP с ключом длины 40 бит.

Категория №2

2. Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:
  1) аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;

Проверка подлинности пользователя в рамках данной категории предусматривает сравнение введённого им пароля или других аналогичных идентифицирующих данных с информацией, сохранённой в базе данных авторизованных пользователей, а сам процесс шифрования заключается в защите секретных данных пользователя от копирования и незаконного использования при их передаче от объекта аутентификации (пользователя) контролирующему устройству.

Примеры нотифицируемых ШКС: устройства систем контроля и управления доступом – считыватели паролей, устройства для хранения и формирования баз данных авторизованных пользователей, сетевые устройства аутентификации – шлюзы, роутеры, маршрутизаторы и т.д., устройства с защитой информации, хранящихся на них – жесткие диски с функцией парольного ограничения доступа.

  2) электронная цифровая подпись (электронная подпись).

Процесс подписи реализуется путем криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Примеры нотифицируемых ШКС: генераторы ЭЦП, программное обеспечение для сопровождения и реализации механизма применения ЭЦП, устройства хранения ключевой информации ЭЦП.

Категория №3

3. Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной пользователю.

Операционная система это комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.

Примеры нотифицируемых ШКС: операционные системы и программные комплексы на их основе.

Категория №4

4. Персональные смарт-карты (интеллектуальные карты):
1) криптографические возможности которых ограничены их использованием в категориях товаров (продукции), указанных в пунктах 5 - 8 настоящего перечня;
2) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации.

Смарт-карты это пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти.

Примеры нотифицируемых ШКС: SIM-карты доступа к услугам мобильных операторов, банковские карты, оснащенные чипом-микропроцессором, интеллектуальные карты идентификации ее владельца.

Категория №5

5. Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичная коммерческая аппаратура для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами, отправки счетов или возврата связанной с программой информации провайдерам вещания.

Данная категория относится к товарам, предназначенных для предоставления пользователю доступа к платным кодированным цифровым спутниковым, эфирным и кабельным телеканалам и радиостанциям (радиоканалам) (примеры стандартов: DVB-CPCM, DVB-CSA).

Примеры нотифицируемых ШКС: TV-тюнеры, приемники телесигналов, спутниковые телеприемники.

Категория №6

6. Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующих способов:
  1) программное обеспечение исполнено в защищенном от копирования виде;
  2) доступом к любому из следующего:
    • защищенному от копирования содержимому, хранящемуся только на доступном для чтения электронном носителе информации;
    • информации, хранящейся в зашифрованной форме на электронных носителях информации, которые предлагаются на продажу населению в идентичных наборах;
  3) контроль копирования аудио- и видеоинформации, защищенной авторскими правами.

Примеры нотифицируемых ШКС: Игровые консоли, процессоры, игры, программное обеспечение и т.п.

Категория №7

7. Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций.

Товары данной категории должны являться аппаратным устройством, т.е. иметь законченный вид банковского оборудования, применение которого не предполагает дополнительной сборки или доработки за исключением целей модернизации.

Примеры нотифицируемых ШКС: Банкоматы, платежные терминалы, пин-пады (банковские карты относят к категории №4).

Категория №8

8. Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (от абонента до абонента).

В данную категорию отнесены все устройства мобильной сотовой связи, работающие в стандартах GSM, GPRS, EDGE, UMTS, LTE, а также некоторые радиостанции. Главным требованием, предъявляемым к товарам данной категории в области выполняемого функционала – отсутствие способности к сквозному шифрованию, т.е. связь между абонентами должна осуществляться через устройство ретрансляции.

Примеры нотифицируемых ШКС: Мобильные устройства связи и устройства, имеющие в своем составе модули сотовой связи вышеуказанных стандартов, радиостанции.

Категория №9

9. Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя.

Сюда относится большинство устройств, которые иначе можно назвать как «радиоэлектронные средства малого радиуса действия». Шифрование происходит при передаче/приеме информации по беспроводному радиоканалу в целях ее защиты от перехвата, проникновения несанкционированных пользователей в сеть связи. Как известно, такую защиту поддерживает большинство беспроводных стандартов передачи данных: Wi-Fi, Bluetooth, NFC, иногда RFID.

Примеры нотифицируемых ШКС: роутеры, точки доступа, модемы, устройства, содержащие в своем составе модули беспроводной радиосвязи ближнего радиуса действия, бесконтактные карты доступа/оплаты/идентификации.

Категория №10

10. Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.

Данная категория описывает товары, которые являются сетевыми устройствами, выполняющие коммутационные и сервисные функции. Как правило большинство данных устройств поддерживают простые сетевые протоколы управления, позволяющие производить мониторинг состояния сети, ее производительность, а также направлять команды администратора сети в ее разные узлы.

Примеры нотифицируемых ШКС: Серверы, коммутаторы, сетевые платформы, шлюзы.

Категория №11

11. Товары, криптографическая функция которых заблокирована производителем.

Данная категория может быть представлена абсолютно разными типами устройств разных назначений и области применения. Решающим фактором отнесения таких товаров к категории №11 является наличие предустановленного программного или аппаратного обеспечения, которое производит целенаправленную блокировку выполняемых товаром криптографических функций.

Категория №12

12. Иные товары, которые содержат шифровальные (криптографические) средства, отличные от указанных в пунктах 1 - 11 настоящего перечня, и соответствуют следующим критериям:
  1) общедоступны для продажи населению в соответствии с законодательством государства - члена Евразийского экономического союза без ограничений из имеющегося в наличии ассортимента в местах розничной продажи посредством любого из следующего:
    • продажи за наличные;
    • продажи путем заказа товаров по почте;
    • электронных сделок;
    • продажи по телефонным заказам;
  2) шифровальные (криптографические) функциональные возможности которых не могут быть изменены пользователем простым способом;
  3) разработаны для установки пользователем без дальнейшей существенной поддержки поставщиком;
  4) техническая документация, подтверждающая, что товары соответствуют требованиям подпунктов 1 - 3 настоящего пункта, размещена изготовителем в свободном доступе и представляется при необходимости изготовителем (лицом, им уполномоченным) согласующему органу по его запросу.

Товары данной категории можно объединить под общим словом «прочие».

Стоит отметить, что на практике ЦЛСЗ ФСБ России предъявляет повышенные требования к представлению материалов для регистрации нотификаций на товары данной категории. Так, все перечисленные критерии должны быть подтверждены (ссылками на сайт производителя с информацией на русском языке или документально).

Наиболее распространенные категории ШКС

В Едином реестре для каждой нотификации приводится перечень категорий, к которым отнесен товар. Данная информация закодирована в поле "Идентификатор": поле представляет собой 12-значный код, при этом, если товар относится к категории с номером N из списка выше, то на позиции N в коде будет стоят цифра 1, в противном случае - 0.

Например, код 110000000110 говорит о том, что товар нотифицировался по категориям №№ 1, 2, 10 и 11.

Интересно посмотреть на статистику использования различных категорий.

Распределение ШКС по категориям (по состоянию на конец 2017 года)

Как видно из диаграммы, наиболее распространёнными и часто встречающимися криптографическими функциями в ШКС является шифрование данных в беспроводном радиоканале малого радиуса действия (Wi-Fi, Bluetooth) – 27% от общего числа зарегистрированных ШКС, что логично, учитывая объем производимых мобильных средств связи, персональных компьютеров и других технических устройств, оснащенных модулями, поддерживающими данные технологии связи.

Второе место занимают ШКС, поддерживающие функции аутентификации и осуществления контроля доступа к защищенной информации – 19,5%. Данная тенденция также легко объясняется повышенными стандартами и запросами потребителей к защите персональной информации как на физических носителях (жесткие диски, USB-флеш накопители, серверы и т.п.), так и на сетевых (облачные хранилища, сетевые банки данных и т.п.). Дополнительно стоит отметить, что подавляющее большинство ШКС, используемые в системах контроля и управления доступом (более известные как СКУД) также выполняют криптографический функционал, относящийся к категории № 2.

Поскольку работа в сети является неотъемлемой частью функционирования любой информационной системы, то аспекты администрирования данной сетью связи реализованы в сетевых устройствах управления. Безопасность же организуемого данными устройствами интерфейса управления реализована посредством применения механизмов шифрования технологических каналов связи, что является основание для категорирования такого рода ШКС по категории №10, являющейся третьей по распространенности – 16%.

Важно также отметить, что наименее распространенные функции ШКС распределяются по категориям №5 (0,28%), №12 (0,29%) и №7 (0,62%). Товары реализующие данные криптографические функции являются редкими и при проведении регистрации в ЦЛСЗ документация на них подвергается более детальному анализу, т.к. «не поставлена на поток» и наборы используемых криптографических протоколов и алгоритмов могут быть уникальны в каждом отдельном случае. Именно поэтому товарам данных категорий необходимо уделить максимальное внимание при составлении необходимых документов, поскольку в противном случае риск отказа в регистрации нотификации крайне велик.

Примечания

Ссылки

Электронная подпись (ЭЦП), - Единый портал Электронной подписи, - http://www.techportal.ru/glossary/identifikatsiya.html
Криптографические методы защиты информации, - Сборник лекций по основам локальных сетей Национального открытого Университета, - http://www.intuit.ru/studies/courses/16655/1300/lecture/25505?page=2
Понятие операционной системы, - Материалы портала об операционных системах, - http://osys.ru/os/1/ponyatie_operatsionnoy_sistemy.shtml
Введение в SNMP, - Материалы по сетевой безопасности, - http://network.xsp.ru/6_1.php

См. также

[1] п. 3 Положения о ввозе на таможенную территорию Евразийского Экономического Союза и вывозе с таможенной территории Евразийского Экономического Союза шифровальных (криптографических) средств

[2] пп. а - з, п. 3 Положения о ввозе на таможенную территорию Евразийского Экономического Союза и вывозе с таможенной территории Евразийского Экономического Союза шифровальных (криптографических) средств

[3] Раздел 2.19 Приложения № 2 Решения Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. № 30

[4] см. также Лицензирование внешнеэкономических операций

[1]

[2]

[3]

[4]