Криптография

17 мая 2026 г.

За последние три-четыре года криптография в России стала центральным вопросом цифрового суверенитета и операционной устойчивости бизнеса.

В 2022 году иностранные вендоры отозвали сертификаты, отключили обновления и закрыли сервисы. Российские компании столкнулись с практической проблемой: как обеспечить юридически значимую электронную подпись, защищённый канал связи и сертифицированную защиту персональных данных, если базовые криптографические инструменты оказались недоступны или нелегитимны?

Ответом стало ускоренное замещение западных алгоритмов на российские стандарты — ГОСТ-криптографию. Эти стандарты разрабатывались десятилетиями, сертифицируются ФСБ России, обязательны во множестве сценариев и являются единственным юридически признаваемым способом криптографической защиты для государственных органов, банков, операторов персональных данных и субъектов критической информационной инфраструктуры.

Важно понимать три вещи:

Юридическая сила. ГОСТ-криптография — единственный путь, обеспечивающий юридическую силу электронных документов и легитимную защиту регулируемых данных.
Штрафы и ответственность. Нарушение требований по применению сертифицированных средств криптографической защиты влечёт административные штрафы (которые в 2025 году существенно ужесточились), а в отдельных случаях — уголовную ответственность.
Импортозамещение. После 2022 года стоимость и сложность интеграции ГОСТ-решений выросли, но доступность отечественных продуктов также увеличилась — рынок прошёл через бум импортозамещения.

Эта статья — практическое руководство по криптографии в России для ИТ-руководителей, системных администраторов, специалистов по информационной безопасности и разработчиков. Мы разберём, какие алгоритмы действуют сейчас, чем они отличаются от западных, кто и как контролирует их применение, какие законы и приказы это регулируют, где использование ГОСТ обязательно, и какова цена ошибки.

Главное

ГОСТ-криптография — единственный юридически признаваемый способ защиты персональных данных, государственных информационных систем и КИИ в России. После 2022 года она стала обязательной частью цифровой инфраструктуры для государственных органов, банков и операторов персональных данных.
Три действующих стандарта: блочные шифры «Кузнечик» и «Магма» (ГОСТ 34.12-2018), хеш-функция «Стрибог» (ГОСТ Р 34.11-2012) и электронная подпись на эллиптических кривых (ГОСТ Р 34.10-2012). Все современные СКЗИ строятся на этих алгоритмах.
Техническая стойкость сопоставима с западными аналогами (AES, RSA, SHA-2) — все алгоритмы обеспечивают криптографическую защиту уровня 256 бит и выше. Критическая разница — в регуляторной легитимности.
Регуляторы: ФСБ России (лицензирование, сертификация СКЗИ, надзор), ФСТЭК России (некриптографические средства защиты), Роскомнадзор (операторы ПДн), ЦБ РФ (финансовый сектор). Каждый регулятор устанавливает свои требования к классу СКЗИ и срокам сертификации.
Штрафы ужесточились с 2025 года: за использование несертифицированных СКЗИ — 50 000–100 000 руб. (юридические лица), за крупные утечки персональных данных — до 15–20 миллионов рублей, при повторных нарушениях — оборотные штрафы. В отдельных случаях (КИИ) — уголовная ответственность.
Обязательные сценарии применения: государственные органы и ГИС (класс не ниже КС1), передача персональных данных по открытым каналам, КИИ (класс не ниже КС2), банковские операции, квалифицированная электронная подпись (КЭП), межведомственное взаимодействие через СМЭВ.
Постквантовая угроза: асимметричные алгоритмы (ГОСТ Р 34.10-2012, RSA, ECDSA) уязвимы к алгоритму Шора. Российские постквантовые стандарты ожидаются в 2026–2027 годах. Симметричные шифры («Кузнечик», «Магма», «Стрибог») при достаточной длине ключа остаются стойкими даже в постквантовую эру.
Импортозамещение после 2022 года: рынок отечественных СКЗИ прошёл через бум развития. Сегодня доступны зрелые продукты с сертификацией ФСБ и ФСТЭК, поддержкой ГОСТ , интеграцией в популярные платформы (Astra Linux, Альт, РЕД ОС).

Краткая история: от советских шифров до Кузнечика

Современный этап российской криптографии начинается с шифра, разработанного в конце 1970-х годов в Восьмом главном управлении КГБ СССР — подразделении, отвечавшем за правительственную связь и криптографическую защиту. Изначально шифр предназначался для защиты конфиденциальной информации, имел гриф «Совершенно секретно» и был открыт полностью только в мае 1994 года — через пять лет после формального принятия в качестве государственного стандарта постановлением Госкомитета СССР по стандартам № 1409 от 2 июня 1989 года под обозначением ГОСТ 28147-89.

ГОСТ 28147-89 — блочный шифр с 256-битным ключом и 64-битным блоком, основанный на сети Фейстеля с 32 раундами преобразования. Стал основой российской криптографической школы и первым отечественным стандартом, допущенным к защите государственной тайны без ограничений по уровню секретности.

Архитектура напоминает американский DES (Data Encryption Standard) — открытый стандарт блочного шифрования, принятый правительством США в 1977 году для защиты несекретной информации федеральных ведомств. DES использовал 64-битный блок с 56-битным ключом и сети Фейстеля.

ГОСТ 28147-89 использовал ту же архитектуру, но с критическим усилением: длина ключа увеличена с 56 до 256 бит. Это сделало советский стандарт практически неуязвимым к атакам полного перебора даже на суперкомпьютерах того времени — для взлома потребовалось бы 2²⁵⁶ операций, что превышает практические возможности атак брутфорсом даже с учётом современных распределённых вычислительных систем.

Что такое DES?

DES (Data Encryption Standard) — американский стандарт шифрования, принятый в 1977 году. Блочный шифр с 64-битным блоком и 56-битным ключом, разработанный IBM на основе алгоритма Lucifer. К концу 1990-х был признан устаревшим из-за короткого ключа и заменён на AES в 2001 году.

Что такое сеть Фейстеля?

Сеть Фейстеля (Feistel network) — симметричная структура блочного шифра, в которой блок данных делится на две половины. На каждом раунде одна половина преобразуется через раундовую функцию с использованием ключа, результат складывается по XOR со второй половиной, затем половины меняются местами. Главное преимущество — операции шифрования и расшифрования используют одну и ту же структуру, что упрощает реализацию. Используется в DES, ГОСТ 28147-89 («Магма») и многих других алгоритмах.

Что такое 256-битный ключ?

256-битный ключ — это секретный параметр длиной 256 бит (32 байта), используемый для шифрования и расшифрования данных. Длина ключа определяет стойкость шифра: для 256-битного ключа существует 2²⁵⁶ возможных комбинаций — число настолько огромное (около 10⁷⁷), что перебрать все варианты практически невозможно даже для самых мощных компьютеров. Используется в современных шифрах: AES-256, «Кузнечик», «Магма».

Что такое 64-битный блок?

64-битный блок — это фиксированная порция данных размером 64 бита (8 байт), которую блочный шифр обрабатывает за один раз. Блочные шифры работают не с отдельными битами, а с целыми блоками: берут 64 бита исходного текста, применяют криптографические преобразования и выдают 64 бита зашифрованного текста. Для шифрования больших объёмов данных блоки обрабатываются последовательно в специальных режимах (CBC, CTR и др.). Используется в старых шифрах: DES, ГОСТ 28147-89, «Магма». Современные шифры («Кузнечик», AES) используют 128-битные блоки — это безопаснее.

💡

Интересный факт: восьмое главное управление КГБ СССР занималось не только разработкой шифров, но и криптоанализом — взломом иностранных систем шифрования. ГОСТ 28147-89 демонстрирует устойчивость к дифференциальному криптоанализу — методу, публично описанному только в 1990 году Эли Бихамом и Ади Шамиром. Аналогичная ситуация была с американским DES: разработчики IBM знали о дифференциальном криптоанализе в 1970-х (называя его «T-атакой») и проектировали алгоритм с учётом этой угрозы. Обе ситуации показывают, что закрытые криптографические школы СССР и США обладали знаниями, опережавшими открытую науку на десятилетия.

Зачем потребовались собственные стандарты

Создание собственной криптографической линейки имело и техническое, и политическое обоснование. Любой национальный стандарт шифрования — это вопрос доверия: страна должна быть уверена, что в алгоритме нет лазеек (бэкдоров), известных только разработчику. Использовать чужие алгоритмы для защиты государственной информации — значит зависеть от чужого инженерного аудита и чужих научных школ.

Советские криптографы строили независимую научную школу, опираясь на собственные математические исследования и криптоаналитические методы. Результатом стал стандарт, который превосходил западные аналоги: DES с 56-битным ключом был взломан методом брутфорса уже в 1998 году, в то время как ГОСТ 28147-89 остаётся стойким к атакам полного перебора до сих пор.

После распада СССР Россия унаследовала советские криптографические наработки и научную школу, начав их системно развивать. ГОСТ 28147-89 формально стал межгосударственным стандартом СНГ, а Россия запустила линейку собственных стандартов под индексом «Р».

💡

Пример криптографического бэкдора: Dual_EC_DRBG — генератор псевдослучайных чисел, стандартизированный Национальным институтом стандартов и технологий США (NIST) в 2006 году. Использовал две точки на эллиптической кривой, официально объявленные «случайными константами». Но если кто-то знал секретное соотношение между ними, он мог предсказать все будущие выходы генератора и восстановить ключи шифрования. В 2007 году криптографы Microsoft опубликовали анализ, показывающий потенциальную лазейку, в 2015 году NIST отозвал рекомендацию использования алгоритма (itsec.ru, 2019).

Хронология ключевых стандартов

Год	Стандарт	Описание
1990	ГОСТ 28147-89	Блочный шифр, базовый стандарт симметричного шифрования на три десятилетия.
1994	ГОСТ Р 34.10-94	Первый российский стандарт электронной подписи, основанный на схеме Эль-Гамаля над конечными полями.
1994	ГОСТ Р 34.11-94	Первая российская хеш-функция с длиной хеша 256 бит.
2001	ГОСТ Р 34.10-2001	Переход электронной подписи на эллиптические кривые, что значительно повысило стойкость при меньших размерах ключей.
2012	ГОСТ Р 34.10-2012	Современный стандарт электронной подписи, добавивший возможность использования ключей длиной 512 бит и хеш-функции «Стрибог».
2012	ГОСТ Р 34.11-2012 «Стрибог»	Новая хеш-функция с длиной 256 или 512 бит, заменившая ГОСТ Р 34.11-94.
2015	ГОСТ Р 34.12-2015	Стандарт блочных шифров, в который вошли «Магма» (модернизированный наследник ГОСТ 28147-89) и принципиально новый шифр «Кузнечик» с 128-битным блоком.
2015	ГОСТ Р 34.13-2015	Стандарт режимов работы блочных шифров, включая инновационный CTR-ACPKM.
2018	ГОСТ 34.12-2018 и ГОСТ 34.13-2018	Межгосударственные версии стандартов, принятые странами СНГ.
2019	Замена ГОСТ 28147-89	ГОСТ 28147-89 заменён межгосударственным стандартом ГОСТ 34.12-2018. «Магма» и «Кузнечик» становятся единственными актуальными блочными шифрами.

Сегодня российская криптография стоит на трёх «китах»: блочных шифрах «Кузнечик» и «Магма» (ГОСТ 34.12-2018), хеш-функции «Стрибог» (ГОСТ Р 34.11-2012) и схеме электронной подписи на эллиптических кривых (ГОСТ Р 34.10-2012).

Актуальные ГОСТ-алгоритмы: что работает сейчас

Подробный разбор актуальных ГОСТ-алгоритмов

ГОСТ Р 34.12-2015 «Кузнечик»: современный блочный шифр

«Кузнечик» — основной российский блочный шифр с 2015 года. Использует 128-битный блок и 256-битный ключ, построен на SP-сети с 10 раундами. Применяется во всех современных средствах криптографической защиты информации (СКЗИ) для шифрования данных в каналах связи, VPN, TLS и электронной подписи. Обеспечивает стойкость 256 бит против классических атак.

Почему появился «Кузнечик»?

К началу 2010-х годов стало очевидно, что ГОСТ 28147-89 морально устарел: 64-битный блок создавал уязвимости при шифровании больших объёмов данных, а отсутствие фиксированной таблицы подстановок затрудняло сертификацию. Нужен был современный шифр, сопоставимый с AES по производительности и стойкости, но независимый от западных разработок.

Разработка велась Центром защиты информации и специальной связи ФСБ России совместно с АО «ИнфоТеКС». Технический комитет по стандартизации ТК 26 «Криптографическая защита информации» отвечал за стандартизацию и утверждение алгоритма, но непосредственная разработка криптографических примитивов — прерогатива ФСБ и аккредитованных организаций.

Результат («Кузнечик») получил международное признание: алгоритм опубликован в IETF (RFC 7801) и прошёл независимый криптоанализ.

Технические характеристики «Кузнечика»

Размер блока: 128 бит (как у AES).
Длина ключа: 256 бит (фиксировано, в отличие от AES с вариантами 128/192/256).
Принцип работы: SP-сеть (Substitution-Permutation Network) с 10 раундами преобразований — подстановка, перестановка, смешивание с ключом.
Стойкость: при использовании 256-битного ключа теоретическая стойкость составляет 2²⁵⁶ против классических атак методом полного перебора. Даже при гипотетическом применении квантового алгоритма Гровера эффективная стойкость остаётся на уровне 2¹²⁸ операций.
Статус: актуальный, рекомендован к применению во всех новых разработках.

Важная деталь: в отличие от асимметричных алгоритмов (ГОСТ Р 34.10-2012, RSA), которые уязвимы к квантовому алгоритму Шора, симметричные шифры вроде «Кузнечика» остаются стойкими даже в постквантовую эру.

Где применяется «Кузнечик»

Все современные СКЗИ, сертифицированные ФСБ после 2015 года
VPN-туннели (КриптоПро NGate, ViPNet, Континент)
Шифрование дисков и баз данных
Электронная подпись (шифрование контейнеров ключей)
Защищённые каналы связи в государственных информационных системах

Что такое раунд?

Раунд — один цикл криптографического преобразования в блочном шифре. На каждом раунде данные проходят через последовательность операций: подстановку (замену байтов через S-блоки), перестановку (линейное преобразование) и смешивание с раундовым ключом. Чем больше раундов, тем выше стойкость шифра к криптоанализу.

Что такое S-блок?

S-блок (Substitution box, блок подстановки) — таблица нелинейной замены, которая преобразует входные байты в выходные по фиксированному правилу. Это ключевой элемент, обеспечивающий «перемешивание» данных и защиту от линейного и дифференциального криптоанализа.

Что такое квантовый алгоритм Гровера?

Алгоритм Гровера — квантовый алгоритм поиска, который позволяет найти нужный элемент в неупорядоченной базе данных быстрее классических методов. Для симметричного шифрования это означает квадратичное ускорение перебора ключей: вместо 2²⁵⁶ операций для взлома 256-битного ключа потребуется «всего» 2¹²⁸ операций. Однако даже 2¹²⁸ остаётся практически недостижимым уровнем сложности, поэтому современные симметричные шифры (AES-256, «Кузнечик») считаются устойчивыми к квантовым атакам.

Что такое алгоритм Шора?

Алгоритм Шора — квантовый алгоритм факторизации больших чисел, разработанный математиком Питером Шором в 1994 году. Работает на квантовом компьютере и способен разложить число на простые множители за полиномиальное время. Это делает алгоритм критической угрозой для всех асимметричных криптосистем, основанных на сложности факторизации (RSA) или дискретного логарифмирования (ECDSA, ГОСТ Р 34.10-2012). Симметричные шифры (AES, «Кузнечик», «Магма») остаются стойкими при достаточной длине ключа.

💡

Интересный факт: «Кузнечик» стал первым российским блочным шифром, который был включён в международный стандарт ISO/IEC 18033-3. Процесс стандартизации начался в 2018 году, но официальная публикация поправки ISO/IEC 18033-3:2010/Amd 1 состоялась в 2021 году. За рубежом алгоритм известен под названием Grasshopper (дословный перевод «кузнечика») и описан в RFC 7801. Это делает «Кузнечик» легитимной частью мировой криптографической экосистемы, хотя практическая поддержка за пределами России остаётся минимальной.

ГОСТ Р 34.12-2015 «Магма»: преемник ГОСТ 28147-89

«Магма» — канонически стандартизированная версия легендарного советского шифра ГОСТ 28147-89. Описана в RFC 8891 и является прямым наследником криптографической традиции, заложенной в КГБ СССР в конце 1970-х годов.

История и причины модернизации

ГОСТ 28147-89 служил основой российской криптографии более 25 лет. Но у него была серьёзная проблема: стандарт не фиксировал таблицы подстановок (S-блоки) — каждая организация могла использовать свои. Это создавало невозможность сертификации единого алгоритма (каждая реализация требовала отдельной проверки), проблемы совместимости между разными СКЗИ и сложность криптоанализа — нельзя было оценить стойкость ГОСТ 28147-89 как такового, только конкретных реализаций с известными таблицами подстановок.

В 2015 году алгоритм был стандартизирован заново под названием «Магма» с фиксированными таблицами подстановок. Это единственное отличие от оригинального ГОСТ 28147-89 — всё остальное осталось без изменений.

Технические характеристики «Магмы»

Размер блока: 64 бита.
Длина ключа: 256 бит.
Принцип работы: классическая сеть Фейстеля с 32 раундами.
Операции на каждом раунде:
- Сложение по модулю 2³² (результат обрезается до 32 бит)
- Табличная нелинейная замена через S-блок (теперь фиксированный)
- Циклический сдвиг влево на 11 битов
Статус: актуальный стандарт, но для новых разработок ФСБ и ТК 26 рекомендуют использовать «Кузнечик». «Магма» сохраняется в стандарте для обеспечения преемственности и специализированных применений.

Где применяется «Магма» сегодня

Режим имитовставки (MAC) — для проверки целостности данных. «Магма» в режиме CBC-MAC используется в процедуре Key Wrap при шифровании сессионных ключей в ГОСТ CMS.
Легаси-системы — поддержка совместимости со старыми СКЗИ, построенными на ГОСТ 28147-89.
Встраиваемые системы — «Магма» менее требовательна к ресурсам, чем «Кузнечик», что делает её подходящей для микроконтроллеров и IoT-устройств.
Гибридные схемы — в современных СКЗИ «Кузнечик» используется для шифрования данных, а «Магма» — для имитовставки.

Сравнение «Магмы» и «Кузнечика»

Параметр	«Магма»	«Кузнечик»
Размер блока	64 бита	128 бит
Длина ключа	256 бит	256 бит
Структура	сеть Фейстеля	SP-сеть
Раунды	32	10
Производительность	выше на слабом железе	выше на современных процессорах
Безопасный объём данных на одном ключе	~32 ГБ	~2⁶⁴ блоков (эксабайты)
Рекомендация для новых разработок	нет	да

Что такое имитовставка (MAC)?

Имитовставка (Message Authentication Code, MAC) — короткий блок данных фиксированной длины, вычисляемый на основе сообщения и секретного ключа. Служит для проверки целостности и подлинности данных: получатель пересчитывает имитовставку с тем же ключом и сравнивает с полученной. Совпадение подтверждает, что сообщение не было изменено и отправлено владельцем ключа. В российских стандартах имитовставка вычисляется на основе блочных шифров («Магма», «Кузнечик») или хеш-функции «Стрибог». Не путать с электронной подписью — имитовставка использует симметричный ключ, подпись — асимметричный.

Что такое Key Wrap?

Key Wrap (упаковка ключей) — криптографический режим, предназначенный для безопасной передачи или хранения симметричных ключей. В отличие от обычного шифрования данных, Key Wrap добавляет механизмы проверки целостности и аутентичности ключа, предотвращая подмену или модификацию. Ключ шифруется с помощью мастер-ключа (Key Encryption Key, KEK), результат содержит имитовставку для детектирования изменений. Используется в протоколах обмена ключами, аппаратных модулях безопасности (HSM), системах управления ключами. Российский стандарт — режимы MGM и CTR-ACPKM в ГОСТ Р 34.12-2015, западный аналог — AES Key Wrap (RFC 3394).

💡

Интересный факт: название «Магма» вероятно выбрано не случайно — это отсылка к геологическому термину, символизирующему «расплавленную основу», из которой формируются новые структуры.

ГОСТ Р 34.13-2015: режимы шифрования

Стандарт определяет, как применять блочные шифры «Кузнечик» и «Магма» для защиты данных любого размера. Блочный шифр обрабатывает фиксированные порции (блоки по 128 бит), а режимы показывают, как с его помощью шифровать файлы, потоки и сетевой трафик.

Простая аналогия: блочный шифр — это замок, который закрывает только одну дверь (один блок данных). Режимы шифрования — это инструкция, как с помощью этого замка защитить целое здание (весь файл или поток).

Основные режимы

Режим	Как работает	Где применяется	Особенности
ECB (Electronic Codebook)	Каждый блок шифруется независимо. Один и тот же блок открытого текста всегда даёт одинаковый зашифрованный блок.	Не используется в реальных задачах — только для учебных примеров.	Проблема: повторяющиеся фрагменты данных видны в зашифрованном виде. Это утечка информации.
CBC (Cipher Block Chaining)	Каждый блок перед шифрованием складывается по XOR с предыдущим зашифрованным блоком. Создаёт «цепочку» — изменение одного бита влияет на все последующие.	Шифрование файлов на диске, архивов, баз данных.	Требуется вектор инициализации (IV) — случайное число, передаётся открыто.
CTR (Counter)	Шифр работает как генератор псевдослучайной последовательности: счётчик (0, 1, 2, 3...) шифруется, результат складывается по XOR с открытым текстом.	VPN, TLS, защищённые каналы связи.	Параллельное шифрование, подходит для потоковых данных, ошибка в одном блоке не портит остальные.
OFB и CFB (потоковые режимы)	Похожи на CTR, но используют обратную связь: результат шифрования предыдущего блока становится входом для следующего.	Шифрование данных произвольной длины (не кратной размеру блока).	—
MAC (имитовставка)	Не режим шифрования, а режим проверки целостности. Создаёт короткий «отпечаток» (4–8 байт). Если данные изменились — отпечаток не совпадёт.	Защита от подделки сообщений, проверка целостности ключей (Key Wrap в ГОСТ CMS).	—
CTR-ACPKM (российская инновация)	Усовершенствованный CTR с автоматической периодической сменой ключа. Каждые N мегабайт система генерирует новый раундовый ключ из основного — прозрачно для пользователя.	Защищённые VPN-каналы с многотерабайтным трафиком, долгие TLS-сессии, облачные хранилища.	Решает проблему накопления статистики при шифровании огромных объёмов. Включён в ISO/IEC 10116:2017.

ГОСТ Р 34.10-2012: электронная подпись на эллиптических кривых

Стандарт электронной цифровой подписи (ЭЦП), основанный на математическом аппарате эллиптических кривых над конечными простыми полями. Это фундамент всей инфраструктуры квалифицированной электронной подписи (КЭП) в России — от подписания налоговых деклараций до государственных контрактов на миллиарды рублей.

Технические характеристики

Длина ключей: 256 и 512 бит.
Математическая основа: эллиптические кривые над простым полем (специальные математические структуры, где все вычисления выполняются по модулю большого простого числа)
Стойкость: основана на сложности вычисления дискретного логарифма в группе точек эллиптической кривой.
Применение: вся инфраструктура квалифицированной электронной подписи (КЭП) в России.
Хеш-функция: работает в связке с «Стрибог» (ГОСТ Р 34.11-2012).
Международное обозначение: описан в RFC 7091.
Статус: актуальный. Принят в 2012 году, вступил в силу с 1 января 2013 года. Переходный период, в течение которого разрешалось использование ГОСТ Р 34.10-2001, продлевался до 31 декабря 2018 года. С 2019 года ГОСТ Р 34.10-2012 является единственным действующим стандартом ЭЦП в России.

Что изменилось по сравнению с ГОСТ Р 34.10-2001

ГОСТ Р 34.10-2001 (принят в 2001 году) был первым российским стандартом ЭЦП на эллиптических кривых, но поддерживал только 256-битные ключи и работал с устаревшей хэш-функцией ГОСТ Р 34.11-94.

ГОСТ Р 34.10-2012 принёс три ключевых улучшения:

Поддержка 512-битных ключей — критично для долгосрочной защиты (документы со сроком хранения 30+ лет). При гипотетическом появлении квантовых компьютеров 256-битные ключи могут быть скомпрометированы алгоритмом Шора, 512-битные дают дополнительный запас стойкости.
Интеграция с хеш-функцией «Стрибог» — новая функция с длиной 256 или 512 бит заменила устаревший ГОСТ Р 34.11-94. Это устранило теоретические уязвимости старой хеш-функции.
Новые параметры эллиптических кривых — стандарт определил кривые, оптимизированные для производительности и стойкости против современных атак (включая атаки на слабые кривые).

Где применяется

Квалифицированная электронная подпись (КЭП) — единственный тип ЭП, признаваемый юридически эквивалентным собственноручной подписи (63-ФЗ «Об электронной подписи»).
Электронный документооборот (ЭДО) — подписание договоров, актов, счетов-фактур.
Государственные информационные системы — ЕГАИС, ГИС ГМП, системы электронных торгов.
Банковские системы — удалённое банковское обслуживание (ДБО), межбанковские переводы.
Налоговая и бухгалтерская отчётность — сдача деклараций в ФНС через операторов ЭДО.
Аутентификация в СКЗИ — вход в защищённые системы, подписание ключевой информации.

Почему эллиптические кривые?

Эллиптические кривые дают ту же стойкость, что и классические схемы (RSA, DSA), но при значительно меньших размерах ключей. Например, 256-битный ключ на эллиптической кривой эквивалентен по стойкости 3072-битному ключу RSA. Это означает меньший размер подписи, быстрее вычисления, меньше трафика — критично для мобильных устройств и встраиваемых систем.

Что такое хеш-функция?

Хеш-функция — криптографический алгоритм, который преобразует данные произвольной длины в строку фиксированного размера (хеш, дайджест). Обладает тремя ключевыми свойствами: необратимость (невозможно восстановить исходные данные из хеша), устойчивость к коллизиям (крайне сложно найти два разных сообщения с одинаковым хешем) и лавинный эффект (изменение одного бита входных данных меняет примерно половину битов выходного хеша). Используется для проверки целостности данных, хранения паролей, формирования электронной подписи. Российский стандарт — «Стрибог» (ГОСТ Р 34.11-2012), западный аналог — SHA-2/SHA-3.

ГОСТ Р 34.11-2012 «Стрибог»: современная хеш-функция

«Стрибог» — основная российская криптографическая хеш-функция. Вычисляет «цифровой отпечаток» данных произвольной длины — уникальное значение фиксированного размера (256 или 512 бит), которое однозначно идентифицирует исходные данные.

Технические характеристики

Длина хеша: 256 или 512 бит (выбирается в зависимости от требований безопасности).
Размер блока входных данных: 512 бит.
Архитектура: схема Меркла-Дамгора с функцией сжатия на основе конструкции Миягучи-Пренеля.
Количество раундов: 12 раундов преобразований.
Международное обозначение: описан в RFC 6986.В 2018 году «Стрибог» был включён в международный стандарт ISO/IEC 10118-3.
Статус: актуальный. Заменил ГОСТ Р 34.11-94 с 1 января 2013 года. С 2019 года является единственной действующей хеш-функцией в российских стандартах криптографической защиты.

Что изменилось по сравнению с ГОСТ Р 34.11-94

ГОСТ Р 34.11-94 (принят в 1994 году) был построен на базе блочного шифра ГОСТ 28147-89 и имел фиксированную длину хеша 256 бит. К концу 2000-х годов стандарт устарел: криптоаналитики нашли способы построения коллизий (разных сообщений с одинаковым хешем) со сложностью ниже 2¹²⁸ операций — существенно быстрее, чем атака полным перебором. Длина хеша 256 бит стала недостаточной для долгосрочной защиты критичных данных, а зависимость от ГОСТ 28147-89 с нефиксированными S-блоками создавала проблемы совместимости между разными реализациями.

«Стрибог» решил эти проблемы:

Две длины хеша — 256 бит для обычных задач, 512 бит для долгосрочного архивирования и критичных систем.
Современная архитектура — независимая от блочных шифров, оптимизированная для производительности.
Стойкость к коллизиям — на сегодняшний день не найдено практических атак, снижающих стойкость ниже теоретической (2¹²⁸ операций для 256-битного хэша, 2²⁵⁶ для 512-битного).

Где применяется

Электронная подпись — вычисление хеша документа перед подписанием (ГОСТ Р 34.10-2012 работает только в связке со «Стрибог»).
Контроль целостности данных — проверка, что файл или сообщение не были изменены.
Хранение паролей — вместо паролей в базе хранятся их хеши.
Цифровые сертификаты — хеширование открытых ключей и данных сертификатов в инфраструктуре PKI.
Блокчейн и распределённые реестры — российские блокчейн-платформы используют «Стрибог» для хеширования блоков.
СКЗИ — имитовставка, Key Wrap, генерация ключевого материала.

Что такое схема Меркла-Дамгора?

Схема Меркла-Дамгора (Merkle-Damgård construction) — классическая архитектура криптографических хеш-функций. Входное сообщение разбивается на блоки фиксированной длины, затем обрабатывается последовательно: результат хеширования предыдущего блока (промежуточное состояние) подаётся на вход функции сжатия вместе со следующим блоком данных. Финальное состояние после обработки всех блоков становится итоговым хешем. Используется в MD5, SHA-1, SHA-2 и российском «Стрибоге».

Что такое конструкция Миягучи-Пренеля?

Конструкция Миягучи-Пренеля (Miyaguchi-Preneel) — способ построения функции сжатия для хеш-функций на основе блочного шифра. Работает так: блок данных шифруется с использованием предыдущего состояния хеша в качестве ключа, затем результат складывается по XOR с исходным состоянием и блоком данных. Эта схема обеспечивает высокую стойкость к коллизиям и используется в «Стрибоге» (ГОСТ Р 34.11-2012).

💡

Интересный факт: название «Стрибог» — это имя древнеславянского бога ветра. «Кузнечик», «Магма», «Стрибог» — все они отсылают к образам движения, трансформации и силы. Это не только дань культуре, но и способ сделать технические стандарты более запоминающимися и «человечными»

Возможные уязвимости и дискуссии вокруг ГОСТ-криптографии

Ни один криптографический стандарт не застрахован от критики — это нормальная часть научного процесса. Открытая дискуссия, независимый криптоанализ и публикация уязвимостей делают алгоритмы сильнее. ГОСТ-криптография не исключение: за последние годы исследователи выявили несколько потенциальных слабостей, которые важно понимать при оценке рисков.

Непрозрачность S-блоков «Кузнечика». В 2019 году криптограф Лео Перрин показал, что таблицы подстановки «Кузнечика» сгенерированы по скрытому алгоритму. Разработчики не раскрыли критерии выбора, что создаёт вопросы доверия. Практических атак на основе этой особенности не найдено (Cryptology ePrint Archive, 2019).
Закрытость разработки. Российские стандарты разрабатываются ФСБ без открытых конкурсов — в отличие от западной практики. Это снижает доверие международного сообщества, но за 10+ лет не найдено практических атак, снижающих стойкость ниже заявленной.
Квантовая угроза. ГОСТ Р 34.10-2012 уязвим к квантовому алгоритму Шора — как и RSA, ECDSA. Квантовый компьютер, способный взломать 256-битные ключи, появится не ранее 2030–2035 годов. Российские постквантовые стандарты ожидаются в 2026–2027 годах. Симметричные шифры остаются стойкими.
Ограниченная аппаратная поддержка. ГОСТ-алгоритмы не имеют встроенного ускорения в массовых процессорах. Программные реализации медленнее AES и более уязвимы к атакам по сторонним каналам. Сертифицированные СКЗИ компенсируют это специализированными криптопроцессорами.

Выводы: все обсуждаемые слабости не привели к реальным взломам. Для российских организаций, работающих с регулируемыми данными, ГОСТ остаётся единственным юридически признаваемым вариантом.

Сравнение с западными аналогами

Российские криптографические стандарты часто сравнивают с западными, но не для выбора «лучшего», а чтобы понять архитектурные различия, совместимость и практические ограничения. По стойкости алгоритмы сопоставимы — разница в деталях реализации, экосистеме поддержки и регуляторных требованиях.

Блочные шифры: «Кузнечик» и AES

Параметр	«Кузнечик»	AES
Размер блока	128 бит	128 бит
Длина ключа	256 бит (фиксировано)	128 / 192 / 256 бит
Структура	SP-сеть	SP-сеть
Раунды	10	10 / 12 / 14 (в зависимости от длины ключа)
Год принятия	2015	2001
Международный стандарт	RFC 7801, ISO/IEC 18033-3	FIPS 197, ISO/IEC 18033-3

Ключевые отличия

Производительность: AES быстрее на современных процессорах благодаря встроенным инструкциям AES-NI (аппаратное ускорение на уровне CPU). «Кузнечик» компенсирует это специализированными ускорителями в сертифицированных СКЗИ, но на обычном железе без оптимизации работает медленнее.
Экосистема: AES поддерживается всеми операционными системами, браузерами, облачными платформами и библиотеками из коробки. «Кузнечик» требует специализированного ПО (КриптоПро CSP, ViPNet, OpenSSL с патчами).

Электронная подпись: ГОСТ Р 34.10-2012, RSA, ECDSA

Параметр	ГОСТ Р 34.10-2012	RSA	ECDSA
Математическая основа	дискретный логарифм на эллиптических кривых	факторизация больших чисел	дискретный логарифм на эллиптических кривых
Длина ключа	256 / 512 бит	2048 / 4096 бит	256 / 384 / 521 бит
Размер подписи	512 / 1024 бит	2048 / 4096 бит	512 / 768 / 1042 бит
Скорость генерации подписи	быстро	медленно	быстро
Скорость проверки подписи	быстро	быстро	быстро
Год стандартизации	2012	1977 (алгоритм), 1994 (стандарт)	1999 (стандарт ANSI X9.62)
Международный стандарт	RFC 7091	PKCS#1, RFC 8017	FIPS 186-4, ANSI X9.62, SEC 1
Стойкость к квантовым атакам	уязвим (алгоритм Шора)	уязвим (алгоритм Шора)	уязвим (алгоритм Шора)

Ключевые отличия

Архитектура: ГОСТ Р 34.10-2012 и ECDSA архитектурно близки — оба основаны на эллиптических кривых, используют схожие математические операции. Главное различие — в параметрах кривых и деталях алгоритма подписания.
Размер ключей: RSA требует ключи в 4–8 раз длиннее для эквивалентной стойкости. 256-битный ключ на эллиптической кривой (ГОСТ, ECDSA) эквивалентен по стойкости 3072-битному ключу RSA. Это критично для мобильных устройств, смарт-карт и систем с ограниченными ресурсами.
Производительность: RSA медленнее при генерации подписи (требует возведения в степень по большому модулю), но быстр при проверке. ГОСТ и ECDSA быстры в обеих операциях.

Хеш-функции: «Стрибог», SHA-2, SHA-3

Параметр	«Стрибог»	SHA-2 (SHA-256/512)	SHA-3 (Keccak)
Длина хеша	256 / 512 бит	224 / 256 / 384 / 512 бит	224 / 256 / 384 / 512 бит
Архитектура	Меркла-Дамгор + Миягучи-Пренель	Меркла-Дамгор	губка (sponge construction)
Размер блока	512 бит	512 / 1024 бит	переменный
Раунды	12	64 / 80	24
Год стандартизации	2012	2001	2015
Международный стандарт	RFC 6986, ISO/IEC 10118-3	FIPS 180-4	FIPS 202
Известные уязвимости	нет	нет	нет

Ключевые отличия

Архитектура: «Стрибог» и SHA-2 используют классическую схему Меркла-Дамгора (последовательная обработка блоков). SHA-3 построен на принципиально иной конструкции «губка» (sponge) — более гибкой и устойчивой к определённым типам атак.
Производительность: SHA-2 быстрее на современных процессорах благодаря аппаратной поддержке (инструкции SHA Extensions в Intel/AMD). «Стрибог» медленнее на обычном железе, но оптимизирован в российских СКЗИ.

Асимметричная криптография в ГОСТ: электронная подпись и обмен ключами

Блочные шифры («Кузнечик», «Магма») и хеш-функция («Стрибог») решают задачу симметричного шифрования — когда обе стороны заранее договорились об общем секретном ключе. Но как передать этот ключ по открытому каналу? Как подписать документ так, чтобы любой мог проверить подлинность, но никто не смог подделать? Эти задачи решает асимметричная криптография.

В российских стандартах асимметричная криптография устроена иначе, чем на Западе. Все асимметричные алгоритмы описаны в ГОСТ Р 34.10-2012 и делятся на два класса задач: электронная подпись и выработка общего ключа.

Два класса асимметричных алгоритмов

Электронная подпись — классический асимметричный алгоритм с парой ключей: закрытый (секретный) ключ для подписания и открытый ключ для проверки. Математическая основа — задача дискретного логарифмирования на эллиптических кривых (ECDLP). На этом алгоритме построена вся инфраструктура квалифицированной электронной подписи (КЭП) в России.
Протокол VKO (Выработка Ключа Общего) — российский вариант алгоритма Диффи-Хеллмана на эллиптических кривых. Позволяет двум сторонам по открытым каналам выработать общий секретный ключ для симметричного шифрования. Применяется в ГОСТ TLS при установке защищённого соединения и при шифровании сообщений в формате CMS/PKCS#7.

Принципиальное отличие от западной модели

В ГОСТ нет аналога RSA в роли шифрующего асимметричного алгоритма. В западной практике RSA используют и для подписи, и для прямого шифрования данных открытым ключом получателя.

В российской модели асимметрика применяется только для подписи и выработки сессионного ключа, а само шифрование данных всегда симметричное — на «Кузнечике» или «Магме». Это архитектурное решение обеспечивает лучшую производительность и более гибкую защиту от квантовых угроз.

Что такое алгоритм Диффи-Хеллмана?

Алгоритм Диффи-Хеллмана — криптографический протокол, позволяющий двум сторонам выработать общий секретный ключ по открытому каналу связи без предварительного обмена секретами. Работает так: каждая сторона генерирует закрытый ключ и вычисляет открытый, затем стороны обмениваются открытыми ключами и независимо вычисляют одну и ту же общую точку. Наблюдатель видит только открытые ключи — недостаточно для восстановления секрета. Используется в TLS, VPN, SSH для установки защищённого соединения. Российский протокол VKO (ГОСТ Р 34.10-2012) — это вариант Диффи-Хеллмана на эллиптических кривых с дополнительными параметрами безопасности.

Как работает ГОСТ-шифрование: от отправителя к получателю

ГОСТ-шифрование строится на принципе эфемерных ключей — одноразовых секретов, которые уничтожаются сразу после использования. Это обеспечивает совершенную прямую секретность (Forward Secrecy): даже если через год ваш основной ключ украдут, старые сообщения останутся защищёнными.

Представьте сейф с двумя замками:

Отправитель генерирует временный ключ (эфемерный) — одноразовый код доступа. Через протокол VKO (Выработка Ключа Общего) обе стороны независимо вычисляют общий секрет, не передавая его по сети. Это как два человека, которые знают секретную формулу и приходят к одному результату, не говоря друг другу ответ.

Этот секрет превращается в ключ шифрования через функцию выработки ключа (KDF, Key Derivation Function). Затем сессионный ключ оборачивается — шифруется с защитой от подделки. Данные шифруются на этом сессионном ключе, а эфемерный ключ уничтожается навсегда.

Что такое эфемерный ключ?

Эфемерный ключ (временный ключ) — криптографический ключ, который генерируется случайным образом для одной сессии и уничтожается сразу после использования. В отличие от долгосрочных ключей (хранящихся в сертификатах), эфемерный ключ существует только во время шифрования конкретного сообщения или установки соединения. Это обеспечивает совершенную прямую секретность: даже если основной закрытый ключ будет скомпрометирован в будущем, злоумышленник не сможет расшифровать старые сообщения — эфемерные ключи уже не существуют нигде. Используется в протоколах ГОСТ VKO, TLS, VPN.

Что такое совершенная прямая секретность?

Совершенная прямая секретность (Perfect Forward Secrecy, PFS) — свойство криптографического протокола, при котором компрометация долгосрочных ключей не позволяет расшифровать ранее перехваченные сообщения. Достигается за счёт использования эфемерных (одноразовых) ключей для каждой сессии: даже если злоумышленник украдёт основной закрытый ключ через год, он не сможет восстановить эфемерные ключи прошлых сессий — они были уничтожены сразу после использования. Обязательное требование для современных защищённых протоколов: ГОСТ VKO, TLS 1.3, VPN. Без PFS утечка одного ключа компрометирует всю историю переписки.

Что такое функция выработки ключа (KDF)?

Функция выработки ключа (Key Derivation Function, KDF) — криптографический алгоритм, который преобразует исходный секретный материал (например, общую точку на эллиптической кривой или пароль) в криптографически стойкий ключ фиксированной длины. KDF решает три задачи: растягивает короткие секреты до нужной длины, обеспечивает равномерное распределение битов (устраняет слабые участки) и добавляет контекстную информацию (соль, идентификаторы алгоритмов) для уникальности каждого ключа. В российских стандартах используется HKDF на основе «Стрибога» (ГОСТ Р 50.1.113-2016). Без KDF нельзя безопасно использовать результат протокола Диффи-Хеллмана или VKO как ключ шифрования.

Что передаётся по каналу

Всё упаковывается в формат CMS (синтаксис криптографических сообщений):

Компонент	Что это	Размер
Эфемерный открытый ключ	Публичная часть одноразового ключа	64 байта
UKM	Случайная соль для уникальности сессии	8 байт
WrappedCEK	Обёрнутый сессионный ключ с защитой от подделки	36 байт
IV	Вектор инициализации для шифрования	16 байт
CipherText	Зашифрованные данные	Переменный

Важно: закрытая часть эфемерного ключа никогда не передаётся и уничтожается сразу после формирования сообщения.

Как это работает: пошаговая схема

Действия отправителя:

Генерация параметров. Создаёт эфемерную пару ключей (временный закрытый и открытый), случайную соль UKM (8 байт для уникальности сессии), сессионный ключ CEK (256 бит — им будут зашифрованы данные) и вектор инициализации IV (128 бит — начальное значение для режима шифрования).
VKO — выработка общего секрета. Вычисляет общую точку на эллиптической кривой, комбинируя свой эфемерный закрытый ключ с открытым ключом получателя из его сертификата. Результат — секретное число, которое знают обе стороны, но оно никогда не передаётся по сети.
KDF — выработка ключа шифрования. Общий секрет нельзя использовать напрямую. Функция HKDF-Стрибог превращает его в криптографически стойкий ключ шифрования ключей (KEK) — мастер-ключ, которым будет защищён сессионный ключ.
Обёртывание сессионного ключа. Защищает сессионный ключ CEK имитовставкой (MAC) — коротким «отпечатком», доказывающим целостность, затем шифрует весь пакет (CEK + MAC) на KEK алгоритмом «Магма». Это называется Key Wrap — упаковка ключа с защитой от подделки.
Шифрование данных. Шифрует данные на сессионном ключе CEK алгоритмом «Кузнечик» в режиме CTR — быстрое потоковое шифрование, подходящее для файлов любого размера.
Отправка. Формирует CMS-контейнер с эфемерным открытым ключом, солью UKM, обёрнутым сессионным ключом, вектором инициализации и зашифрованными данными. Эфемерный закрытый ключ навсегда уничтожается — он больше нигде не существует.

Действия получателя:

VKO — выработка общего секрета. Извлекает из CMS-сообщения эфемерный открытый ключ отправителя и соль UKM, затем вычисляет ту же общую точку на эллиптической кривой, используя свой закрытый ключ. Математика гарантирует: результат совпадёт с тем, что получил отправитель.
KDF — выработка ключа шифрования. Пропускает общий секрет через ту же функцию HKDF-Стрибог и получает тот же мастер-ключ KEK. Обе стороны теперь владеют одинаковым ключом, хотя никогда не передавали его друг другу.
Разворачивание сессионного ключа. Расшифровывает обёрнутый ключ алгоритмом «Магма» и извлекает сессионный ключ CEK вместе с имитовставкой MAC.
Проверка целостности. Пересчитывает имитовставку от CEK и сравнивает с полученной. Если значения не совпадают — ключ был повреждён при передаче или подделан злоумышленником. Расшифровка немедленно прерывается — работать с повреждённым ключом опасно.
Расшифровка данных. Только после успешной проверки целостности расшифровывает данные на проверенном сессионном ключе CEK алгоритмом «Кузнечик».

Этап	Отправитель	Получатель
1. Подготовка	Генерирует эфемерный ключ, UKM, CEK, IV	—
2. VKO	Вычисляет общую точку Z	Вычисляет ту же точку Z
3. KDF	Выводит KEK из Z	Выводит тот же KEK
4. Key Wrap	Оборачивает CEK на KEK с MAC	Разворачивает CEK, проверяет MAC
5. Шифрование	Шифрует данные на CEK	Расшифровывает данные на CEK
6. Результат	Эфемерный ключ уничтожен	Данные получены

Почему это безопаснее RSA

Обе стороны получают одну и ту же точку на эллиптической кривой, не передавая секретов по каналу. Эфемерный ключ уничтожается сразу после отправки — даже если через год закрытый ключ получателя утечёт, злоумышленник не сможет расшифровать старые сообщения.

Преимущество	Как достигается
Прямая секретность	Эфемерный ключ уничтожается после сессии
Аутентичность ключа	MAC проверяет целостность CEK до расшифровки
Независимость сессий	Каждое сообщение — новая тройка параметров
Защита от перехвата	Наблюдатель видит только открытые ключи — недостаточно для восстановления секрета

Регуляторная среда: кто контролирует защиту информации

Регуляторная среда: кто и как контролирует криптографию

ФСБ России: главный регулятор

Федеральная служба безопасности — ключевой регулятор криптографии в России. Её полномочия:

Лицензирование деятельности по разработке, производству, распространению, обслуживанию шифровальных средств — на основании постановления Правительства № 313 от 16.04.2012.
Сертификация СКЗИ через Центр по лицензированию, сертификации и защите государственной тайны (ЦЛСЗ ФСБ).
Установление требований к СКЗИ для защиты персональных данных (Приказ № 378), государственных информационных систем (Приказ № 117), средств электронной подписи (Приказ № 796).
Надзор и проверки операторов, использующих сертифицированные СКЗИ.

ФСТЭК России: смежный регулятор

Отвечает за некриптографические средства защиты информации: межсетевые экраны, антивирусы, системы обнаружения вторжений. Граница ответственности проста: «всё, что шифрует» — ФСБ, «всё, что защищает без шифрования» — ФСТЭК.

💡

В мае 2026 года менеджер паролей Пассворк стал первым в России продуктом своего класса, получившим сертификат ФСТЭК России № 5063 по четвёртому уровню доверия. Это подтверждает его соответствие требованиям защиты информации для государственных информационных систем и операторов персональных данных.

Роскомнадзор: контроль операторов персональных данных

Роскомнадзор контролирует операторов персональных данных и проверяет выполнение требований 152-ФЗ — включая использование сертифицированных СКЗИ. Хотя не регулирует криптографию напрямую, именно Роскомнадзор штрафует за отсутствие СКЗИ при обработке ПДн.

Росстандарт и Минцифры

Росстандарт утверждает национальные стандарты. Профильный технический комитет — ТК 26 «Криптографическая защита информации». Минцифры отвечает за инфраструктуру электронной подписи, аккредитацию удостоверяющих центров и координацию импортозамещения.

ЦБ РФ: регулятор финансового сектора

Центральный банк России устанавливает обязательные требования к криптографической защите для кредитных организаций, платёжных систем и операторов финансовых услуг. Ключевые документы: ГОСТ Р 57580.1-2017 (стандарт защищённости финансовых операций), Положения ЦБ № 683-П, 684-П, 719-П, 802-П. ЦБ РФ имеет право выдавать предписания об устранении нарушений, ограничивать операции (запрет на привлечение новых клиентов, открытие филиалов) и отзывать лицензии при систематических нарушениях или крупных утечках данных.

Как взаимодействуют регуляторы

ФСБ устанавливает требования к СКЗИ → Роскомнадзор проверяет их выполнение у операторов ПДн → ФСТЭК сертифицирует некриптографические СЗИ → Минцифры координирует импортозамещение и развитие инфраструктуры электронной подписи.

Законодательная база: что обязывает применять ГОСТ

Российское законодательство не содержит единого закона «О криптографии». Вместо этого требования к применению ГОСТ-шифрования распределены по отраслевым нормативным актам — в зависимости от типа данных, отрасли и уровня угроз. Ниже — ключевые документы, которые определяют, кто, когда и какую криптографию обязан использовать.

Документ	Что регулирует	Кого касается
63-ФЗ «Об электронной подписи»	Определяет три вида подписи: простую (ПЭП), усиленную неквалифицированную (НЭП) и усиленную квалифицированную (КЭП). КЭП — это де-факто только ГОСТ-криптография (ГОСТ Р 34.10-2012 + ГОСТ Р 34.11-2012) в составе сертифицированного СКЗИ.	Все, кто использует КЭП. С 2022 года КЭП юридическим лицам выдаёт исключительно УЦ ФНС России.
Постановление Правительства № 313	Лицензирование деятельности по разработке, производству, распространению шифровальных средств и оказанию услуг в области шифрования.	Разработчики и поставщики СКЗИ. Компания, эксплуатирующая СКЗИ только для собственных нужд, лицензию не получает.
152-ФЗ «О персональных данных» + Приказ ФСБ № 378	Главный документ, регулирующий применение СКЗИ при обработке персональных данных. Привязывает класс СКЗИ к уровню защищённости ИСПДн (Постановление Правительства № 1119). Описывает организационные меры: режим помещений, перечень допущенных лиц, журналы учёта СКЗИ.	Операторы персональных данных. При передаче ПДн по открытым каналам применение сертифицированных СКЗИ фактически обязательно.
187-ФЗ «О безопасности КИИ»	Регулирует защиту критической информационной инфраструктуры. С 2025 года: запрет на иностранное ПО на значимых объектах КИИ, обязательное взаимодействие с ГосСОПКА, требования к отечественной криптографии в защищённых каналах.	Субъекты КИИ: банки, операторы связи, энергетика, транспорт, здравоохранение.
Требования ЦБ РФ	Ключевые документы: ГОСТ Р 57580.1-2017, Положения ЦБ № 683-П, 684-П, 719-П, 802-П. Финансовые организации обязаны использовать сертифицированные ФСБ СКЗИ и проходить оценку соответствия каждые 1–3 года.	Банки, платёжные системы, финансовые организации.

Где использование ГОСТ-криптографии обязательно

Государственные органы и ГИС. Все федеральные, региональные и муниципальные органы власти обязаны применять сертифицированные СКЗИ.
Обработка персональных данных. При передаче ПДн по открытым каналам применение сертифицированных СКЗИ становится фактически обязательным.
Критическая информационная инфраструктура. Банки, операторы связи, энергетика, транспорт, здравоохранение обязаны строить защиту значимых объектов с применением отечественных сертифицированных средств.
Банки и финансовый сектор. Любые банковские операции, межбанковские взаимодействия, ДБО — везде применяется ГОСТ.
Электронная подпись и ЭДО. Любая квалифицированная электронная подпись построена на ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
СМЭВ и межведомственное взаимодействие. Построена исключительно на ГОСТ-криптографии.

Штрафы и ответственность за нарушения

Использование несертифицированных средств криптографической защиты или игнорирование требований по применению ГОСТ-алгоритмов — не абстрактный риск, а конкретная статья расходов. С 2025 года штрафы за нарушения в области защиты информации существенно выросли, а контроль усилился.

Административная ответственность

Применяется при использовании несертифицированных СКЗИ, отсутствии лицензий ФСБ у поставщика или нарушении организационных требований (отсутствие журналов учёта, допуск неуполномоченных лиц). Особое внимание уделяется утечкам персональных данных: за повторный инцидент компании грозит оборотный штраф от 1% до 3% годовой выручки (но не менее 20 млн и не более 500 млн рублей).

Статья КоАП РФ	Субъект ответственности	Размер штрафа (руб.)
13.12 ч. 2 (несертифицированные СКЗИ)	Должностные лица	10 000 – 50 000
	Юридические лица	50 000 – 100 000
13.11 ч. 1 (нарушение правил обработки ПДн)	Должностные лица	50 000 – 100 000
	Должностные лица (повторное нарушение)	100 000 – 200 000
	Юридические лица	150 000 – 300 000
	Юридические лица (повторное нарушение)	300 000 – 500 000
13.11 ч. 12-14 (утечки ПДн)	Юридические лица	3 000 000 – 15 000 000
13.11 ч. 15 (повторная утечка)	Юридические лица	Оборотный штраф: 1–3% выручки
13.12.1 (безопасность КИИ)	Должностные лица	10 000 – 50 000
	Юридические лица	50 000 – 500 000

Уголовная ответственность

Статья 272 УК РФ (Неправомерный доступ к компьютерной информации): если деяние повлекло уничтожение или копирование данных — до 2 лет лишения свободы. При тяжких последствиях — до 7 лет.
Статья 274 УК РФ (Нарушение правил эксплуатации средств хранения/обработки): если нарушение повлекло ущерб свыше 1 млн рублей — до 2 лет лишения свободы. При тяжких последствиях — до 5 лет.

Специфика финансового сектора

Центральный банк России устанавливает собственные санкции для кредитных организаций:

Предписание об устранении нарушений — обязательное к исполнению в установленный срок (обычно 30–90 дней)
Ограничение на проведение отдельных операций — запрет на привлечение новых клиентов, открытие филиалов
Отзыв лицензии — в случае систематических нарушений или крупной утечки данных

Как избежать штрафов

Используйте только сертифицированные СКЗИ — проверьте наличие сертификата ФСБ нужного класса (КС1, КС2, КС3) на сайте регулятора
Проверьте лицензии поставщика — разработчик или интегратор СКЗИ должен иметь лицензию ФСБ на разработку, производство или распространение шифровальных средств
Ведите журналы учёта СКЗИ — фиксируйте выдачу ключей, доступ к криптографическим модулям, инциденты
Организуйте режим помещений — СКЗИ класса КС2 и выше требуют контроля доступа в серверные
Обучите персонал — администраторы должны пройти обучение по работе с конкретным СКЗИ (требование Приказа ФСБ № 378)
Уведомите регулятора — при вводе СКЗИ в эксплуатацию уведомите ФСБ (для КС2 и выше) или ФСТЭК (для ГИС)
Проводите регулярные аудиты — проверяйте актуальность сертификатов, обновлений, соответствие организационных мер требованиям

Тренды и будущее российской криптографии

Постквантовая криптография

Главный долгосрочный риск — квантовые компьютеры, способные взломать алгоритмы, основанные на дискретном логарифме и факторизации.

В России активно ведутся работы:

В ТК 26 создана рабочая группа «Постквантовые криптографические механизмы»
Компания «Криптонит» опубликовала реализацию постквантового алгоритма «Шиповник» на основе кодовой криптографии
Российские постквантовые стандарты ожидаются в 2026–2027 годах

Для сравнения: NIST в августе 2024 года уже утвердил первые постквантовые стандарты (ML-KEM). Важно, что ГОСТ-симметричные шифры («Кузнечик», «Магма», «Стрибог») при достаточной длине ключа считаются устойчивыми к квантовым атакам.

Заключение

Криптография в России сегодня — часть нормативного ландшафта, в котором работает любой бизнес с регулируемыми данными. Правильно выстроенная криптографическая защита — это одновременно соответствие закону, минимизация штрафных рисков и реальная безопасность данных.

ГОСТ-алгоритмы технически сопоставимы с западными аналогами по стойкости, но имеют критическое преимущество: они единственные легитимны для защиты персональных данных, государственных информационных систем, КИИ и финансовых транзакций в России.

После 2022 года рынок отечественных средств защиты информации прошёл через бум импортозамещения. Сегодня доступны зрелые продукты с сертификацией ФСТЭК, поддержкой российских стандартов и интеграцией в популярные платформы.

Менеджер паролей Пассворк — один из таких продуктов. Решение имеет лицензии ФСБ на ТЗКИ и СЗКИ, сертификат ФСТЭК России и включён в реестр отечественного ПО. Это делает Пассворк подходящим решением для организаций, работающих с персональными данными, государственных структур и субъектов КИИ.

Если ваша компания работает с персональными данными, подпадает под КИИ или регулируется ЦБ — Пассворк решает задачу управления паролями с соблюдением всех регуляторных требований. Протестируйте бесплатно

Часто задаваемые вопросы

Чем ГОСТ-криптография отличается от западных стандартов?

ГОСТ-алгоритмы разработаны в России, сертифицированы ФСБ и являются единственными юридически признаваемыми для защиты персональных данных, государственных информационных систем и КИИ. Технически они сопоставимы по стойкости с западными аналогами (AES, RSA, ECDSA), но имеют другую математическую основу и архитектуру. Главное отличие — регуляторная легитимность: использование несертифицированных средств влечёт штрафы.

Обязательно ли использовать ГОСТ-криптографию для всех компаний?

Нет, не для всех. Зависит от типа обрабатываемых данных и статуса организации. ГОСТ обязателен для государственных органов, операторов персональных данных при передаче ПДн по открытым каналам, субъектов КИИ, банков и финансовых организаций. Коммерческие компании, не попадающие в эти категории, могут использовать любые криптографические средства — но при работе с регулируемыми данными сертифицированные СКЗИ становятся единственным легитимным вариантом.

Что такое постквантовая криптография и когда она появится в России?

Постквантовая криптография — это алгоритмы, устойчивые к атакам квантовых компьютеров. Современные асимметричные алгоритмы (ГОСТ Р 34.10-2012, RSA, ECDSA) теоретически уязвимы к алгоритму Шора, который может разложить большие числа за полиномиальное время. В России активно ведутся работы в ТК 26, компания «Криптонит» опубликовала реализацию постквантового алгоритма «Шиповник». Российские постквантовые стандарты ожидаются в 2026–2027 годах. Симметричные шифры («Кузнечик», «Магма», AES-256) при достаточной длине ключа остаются стойкими даже в постквантовую эру.

Можно ли использовать западные алгоритмы (AES, RSA) вместе с ГОСТ?

Да, гибридный подход допустим для коммерческих организаций, не подпадающих под жёсткие регуляторные требования. Многие современные СКЗИ поддерживают оба стандарта. Однако для государственных органов, операторов ПДн при передаче данных по открытым каналам, субъектов КИИ и банков ГОСТ-криптография обязательна — западные алгоритмы не обеспечивают юридической силы защиты.

Что такое класс СКЗИ и как его выбрать?

Класс СКЗИ (КС1, КС2, КС3, КВ, КА) определяет уровень защиты и организационные требования. Выбор зависит от типа данных, уровня защищённости ИСПДн и анализа угроз. Операторам ПДн обычно достаточно КС1–КС2, государственным органам и банкам требуется КС2 и выше.

Нужно ли обучать сотрудников работе с СКЗИ?

Да, это обязательное требование Приказа ФСБ № 378. Администраторы и пользователи СКЗИ должны пройти обучение по работе с конкретным средством защиты. Обучение проводится либо разработчиком СКЗИ, либо аккредитованным учебным центром. Без подтверждения обучения (сертификата или свидетельства) использование СКЗИ считается нарушением организационных мер защиты — это основание для штрафа при проверке ФСБ или Роскомнадзора.

Криптография в России: ГОСТ-алгоритмы, СКЗИ и требования в 2026 году

ГОСТ-криптография — обязательная часть цифровой инфраструктуры для государственных органов, банков и операторов персональных данных. Разбираем действующие алгоритмы («Кузнечик», «Магма», «Стрибог»), законодательные требования и практические сценарии применения сертифицированных СКЗИ.