Ключ для дешифровки пользователь передает в СУБД с каждым запросом, защищая его с помощью открытой криптографии, встроенной в устройства eToken (Фото: Aladdin)На современных предприятиях значительная часть важной информации хранится в базе данных. Конфиденциальности этой информации стоит уделять особое внимание, однако сделать это непросто. Дело в том, что полное шифрование файлов базы данных не обеспечивает удобной защиты с точным разграничением полномочий. Кроме того, такая защита оказывается слишком ресурсоемкой — на расшифровку большого файла базы данных может уйти несколько часов. В то же время защищать стоит не всю базу целиком, а только наиболее критичные с точки зрения безопасности поля таблиц. То есть для эффективной защиты базы данных шифрование должно быть встроено внутрь самой СУБД.

Именно такое решение предлагает компания «Аладдин Р.Д.», объявившая о выпуске сертифицированной версии инструмента защиты баз данных под названием «КриптоБД». Этот продукт предназначен для шифрования полей таблиц в базах данных под управлением Oracle и выполнен в виде хранимых процедур. Пользователь определяет поля, которые нужно зашифровать, и «КриптоБД» производит все необходимые настройки базы, чтобы указанные поля были защищены от несанкционированного просмотра. Ключ для дешифровки пользователь передает в СУБД с каждым запросом, защищая его с помощью открытой криптографии, встроенной в устройства eToken. Шифрование происходит на стороне сервера, поэтому данные передаются по сети в незашифрованном виде, а это значит, что при построении системы рекомендуется защищать канал связи между клиентом и сервером.

Первая версия технологии, которая положена в основу «КриптоБД», была разработана компанией «Аладдин Р.Д.» еще в 2005 году, однако тогда ее невозможно было применять массово. Шифрование отдельных столбцов требует изменения самого приложения, в которое необходимо встроить обращение к процедурам дешифровки. При этом нужно получить от клиента ключ, с помощью которого расшифровываются хранимые в базе данные. С 2007 года компания занялась разработкой собственной реализации российских алгоритмов шифрования, и уже в 2008 году впервые представила публике технологию криптозащиты базы Oracle (см. подробнее в статье «Секретная база», Computerworld Россия, № 25, 2008).

С 2005 года продукт существовал в виде отдельных проектов по созданию систем защиты баз данных, однако сейчас «Аладдин Р.Д.» разработала программное обеспечение, позволяющее автоматически наложить криптозащиту на указанные пользователем поля. По заверениям Александра Додохова, руководителя направления защиты баз данных в «Аладдин Р.Д.», эта процедура срабатывает в 95% приложений класса клиент-сервер. Тем не менее многозвенные решения все равно придется переделать, чтобы обеспечить передачу ключа шифрования сквозь все слои приложения. Заниматься интеграцией «КриптоБД» в информационные системы заказчиков будут партнеры «Аладдин Р.Д.» и Oracle. Потребность в эффективной защите данных есть, и, скорее всего, спрос на «КриптоБД» будет достаточным, хотя продукт замедляет работу приложения на 5-35%.

«Для обеспечения защиты данных клиенты вполне могут установить более производительный сервер», — отметил ведущий консультант компании Oracle Николай Данюков.

Следует отметить, что продукт основан на российских алгоритмах шифрования, как симметричного, так и открытого, причем в решении были использованы собственные разработки компании «Аладдин Р.Д.», а не сторонние криптобиблиотеки. Фактически «КриптоБД» — первый продукт, для которого «Аладдин Р.Д.» разработала собственную реализацию алгоритмов шифрования из серии ГОСТ. Эта реализация прошла процедуру сертификации по системе ФСБ по классу защиты для уровней КС1 и КС2. По словам Алексея Кузьмина, заместителя начальника Центра ФСБ России, защита «КриптоБД» вполне может пройти по категории КС3 (комплекс средств защиты), требования к которой включают надежные механизмы аутентификации. В решении «Аладдин Р.Д.» используются устройства eToken, которые могут выполнять роль средства надежной аутентификации пользователей. Кузьмин считает, что сертификации по системе ФСБ достаточно для соответствия требованиям закона «О персональных данных», однако в «Аладдин Р.Д.» планируют пройти процедуру сертификации «КриптоБД» и во ФСТЭК.