Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Последствия международных санкций и ужесточение государственного регулирования кардинально изменили рыночный ландшафт Public Key Infrastructure (PKI) в России. Сегодня на отечественном рынке представлен широкий выбор систем управления ключевыми носителями и цифровыми сертификатами.

 

 

 

 

 

 

1. 1. Введение
2. 2. Основы и назначение систем PKI
3. 3. Как развивается мировой рынок PKI
4. 4. Что происходит в российском сегменте PKI
5. 5. Обзор отечественных средств PKI
   
   1. 5.1. Avanpost PKI
   2. 5.2. Indeed Certificate Manager
   3. 5.3. JaCarta Management System 4LX для Linux
   4. 5.4. «Рутокен KeyBox»
6. 6. Выводы

Введение

В современном цифровом мире защита данных — одна из приоритетных задач для любой организации. Практически любой компании сейчас приходится противостоять множеству угроз информационной безопасности, таких как хакерские атаки, утечки конфиденциальной информации, фишинговые рассылки, компрометация учётных записей.

Перечень рисков продолжает расти вместе с развитием технологий, а методы защиты приходится постоянно совершенствовать. В качестве основы построения защищённой цифровой среды стоит рассмотреть инфраструктуру открытых ключей. Такая система позволяет аутентифицировать пользователей и устройства, что снижает риски несанкционированного доступа при обмене информацией, обеспечивая конфиденциальность и целостность данных.

Основы и назначение систем PKI

Под термином инфраструктура открытых ключей (Public Key Infrastructure, PKI) в сфере информационной безопасности понимают совокупность стандартов, ролей, политик и процедур для управления цифровыми сертификатами. В основе инфраструктуры открытых ключей лежит асимметричное шифрование, оперирующее парой криптографических ключей, каждый из которых выполняет свою функцию.

Открытый ключ предназначен для всеобщего доступа: с его помощью любой желающий может зашифровать информацию или проверить достоверность электронной подписи. Закрытый ключ, напротив, хранится владельцем в строжайшей тайне и используется для расшифровки полученных данных или создания подписи.

Именно взаимодействие открытого и закрытого ключей позволяет выстроить защищённый обмен информацией даже через каналы связи, которые считаются небезопасными. Этот механизм фактически воссоздаёт доверенную среду, в которой любая электронная коммуникация становится одновременно и конфиденциальной, и проверяемой на подлинность.

Однако самих ключей недостаточно — необходима ещё и инфраструктура, которая берёт на себя задачи по выпуску и управлению цифровыми сертификатами. С помощью этих сертификатов подтверждается подлинность всех участников обмена данными, а также гарантируется, что передаваемая информация не была изменена при передаче. Таким образом, PKI создаёт полноценную систему доверия в цифровом пространстве.

Объекты и компоненты PKI:

• Центр сертификации (CA, Certificate Authority) — доверенная третья сторона, которая выпускает, обновляет и отзывает цифровые сертификаты. CA подтверждает подлинность владельцев и гарантирует, что сертификат действительно принадлежит заявленному лицу или устройству.
• Регистрационный центр (RA, Registration Authority) — отвечает за проверку заявок и аутентификацию заявителей перед выдачей сертификатов. RA часто работает как расширение CA, выполняя функции первичной идентификации пользователей.
• Серверы OCSP и списки отозванных сертификатов (CRL, Certificate Revocation List) — используются для оперативной проверки статуса сертификатов. CRL публикуется центром сертификации и содержит перечень сертификатов, признанных недействительными до истечения их срока. OCSP позволяет выполнить проверку в реальном времени.
• Хранилища закрытых ключей (HSM, Hardware Security Module) — аппаратные модули безопасности, предназначенные для защиты закрытых ключей от компрометации, несанкционированного доступа и извлечения.
• Конечные субъекты — пользователи, устройства, серверы и любые другие сущности, которые являются владельцами цифровых сертификатов. Они применяют сертификаты в процессах аутентификации, шифрования и создания электронной подписи.
• Цифровой сертификат — электронный документ, связывающий открытый ключ с конкретной сущностью (человеком, организацией или устройством). Содержит информацию, позволяющую идентифицировать владельца ключа.
• Открытые и закрытые ключи — пара криптографических ключей, используемая в асимметричном шифровании. Открытый ключ публично доступен для шифрования данных. Закрытый ключ хранится в секрете у владельца и служит для расшифровки информации.

 

Рисунок 1. Инфраструктура PKI

 

PKI решает 3 основные задачи: аутентификация участников взаимодействия, шифрование данных и создание электронной подписи. Для этого система управляет полным жизненным циклом цифровых сертификатов: от их генерации и распространения до использования, хранения и своевременного отзыва. Именно сертификаты выступают инструментом проверки личности, защиты сообщений от подделки и обеспечения конфиденциальности цифровых коммуникаций.

Различные отрасли экономики адаптируют инфраструктуру открытых ключей под свои специфические задачи:

• В финансовом секторе PKI обеспечивает безопасность онлайн-транзакций, верификацию клиентов и защищённый обмен данными между банками, что существенно снижает риски мошенничества.
• Здравоохранение использует технологию для сохранения конфиденциальности медицинских записей пациентов и безопасного обмена чувствительной информацией между врачами и клиниками.
• Государственные службы применяют PKI для цифровой идентификации граждан, защиты информационных систем госорганов и обеспечения юридической силы электронных документов в административных процессах.
• В сфере электронной коммерции технология защищает данные покупателей и платёжную информацию, шифруя транзакции и подтверждая их подлинность с помощью цифровых подписей — это укрепляет доверие клиентов к онлайн-покупкам.
• Образовательные учреждения используют PKI для управления доступом к учебным материалам, защиты личных данных студентов и преподавателей, а также для безопасного проведения онлайн-экзаменов и выдачи цифровых сертификатов о квалификации.

Однако PKI представляет собой универсальную технологическую основу для построения безопасности в любых информационных системах. Эти системы используются для шифрования электронной почты, защиты IoT-устройств, обеспечения безопасного доступа к корпоративным сетям и ресурсам, шифрования трафика между сервером и клиентом по протоколу HTTPS.

Как развивается мировой рынок PKI

Согласно отчёту агентства The Business Research Company рынок PKI-решений вырос с 5,5 млрд долларов в 2025 году до 6,65 млрд долларов в 2026 году. При ежегодном приросте в 19,7 % к 2030 году его объём вырастет до 13,64 млрд долларов.

 

Рисунок 2. Прогноз роста рынка PKI (источник: thebusinessresearchcompany.com)

 

Схожие цифры приведены в отчёте Business Research Insights: это аналитическое агентство оценивает объём рынка PKI в 2026 году на уровне 6,49 млрд долларов. При ежегодном приросте в 17,7 % к 2035 году его объём вырастет до 28,64 млрд долларов.

 

Рисунок 3. Прогноз роста рынка PKI (источник: businessresearchinsights.com)

 

Программные решения, относящиеся к PKI, можно поделить на отдельные сегменты: Certificate Authority (CA) Software, Registration Authority (RA) Software, Digital Signature Solutions, Public Key Management Solutions. Некоторые аналитические компании, например Data Insights Market, рассматривают рынок инфраструктуры открытых ключей вместе с решениями для управления жизненным циклом сертификатов (Certificate Lifecycle Management, CLM).

Основные тенденции в инфраструктуре открытых ключей, по мнению экспертов Verified Market Reports:

• Развитие Cloud-based PKI. Популярность облачных решений растёт благодаря масштабируемости, гибкости и экономии средств по сравнению с локальными аналогами. Поставщики управляют полным жизненным циклом сертификатов — от выпуска до отзыва.
• Услуга Managed PKI. Специализированные компании берут на аутсорсинг выдачу, отзыв и мониторинг сертификатов. Это позволяет организациям снизить сложность и расходы на внутреннее администрирование, сохраняя высокий уровень безопасности.
• Автоматизация PKI. Инструменты автоматизации упрощают операции с сертификатами, минимизируют человеческие ошибки и обеспечивают своевременное продление. Результат — более надёжная и эффективная PKI-среда.
• PKI как услуга (PKI as a Service, PKIaaS). Подписная модель доступа к полной функциональности PKI без капитальных вложений в собственную инфраструктуру. Организации быстро и экономично внедряют управление сертификатами, шифрование и идентификацию.
• Постквантовая криптография. В тренде разработка алгоритмов, устойчивых к взлому квантовыми компьютерами. Вендоры PKI активно внедряют новые криптосхемы, чтобы обеспечить защиту данных в будущем.
• Безопасность с нулевым доверием. В модели Zero Trust, где ни одному устройству или пользователю по умолчанию не доверяют, PKI играет ключевую роль: аутентифицирует субъекты и защищает каналы связи.
• Обеспечение комплаенса. Отраслевые стандарты (например, PCI DSS для платёжных данных) обязывают использовать системы PKI. Поставщики стремятся предлагать решения, адаптированные под конкретные требования каждой индустрии.

Мировыми лидерами в сегменте управления ключевыми носителями и цифровыми сертификатами являются компании: DigiCert, GoDaddy, Microsoft Corporation, Venafi, Comodo, GlobalSign, Keyfactor, Sectigo, Futurex, VeriSign.

Что происходит в российском сегменте PKI

Текущее состояние российского рынка инфраструктуры открытых ключей во многом сформировалось под влиянием международных санкций. Крупные зарубежные вендоры, такие как DigiCert, Sectigo и Entrust, полностью свернули коммерческую деятельность на территории России и Беларуси.

В результате для отечественного бизнеса выбор PKI-решения перестал быть сугубо технической задачей. Сегодня это стратегический шаг, от которого зависят возможность участия в государственных закупках, сотрудничества с объектами критической инфраструктуры и перспективы дальнейшего развития в рамках российской цифровой экономики.

Инфраструктура открытых ключей в России регулируется несколькими ведомствами, каждое из которых отвечает за определённые аспекты информационной безопасности:

• ФСБ России контролирует использование средств криптографической защиты информации, устанавливает требования к шифрованию данных и обеспечивает защиту государственной тайны.
• ФСТЭК России занимается технической защитой информации, определяет требования к безопасности информационных систем и следит за их выполнением.
• ФСВТС России играет важную роль в регулировании оборота шифровальных средств, координируя деятельность по экспорту и импорту криптографических технологий.
• Минцифры России отвечает за развитие цифровой инфраструктуры, регулирует работу удостоверяющих центров и обеспечивает внедрение современных технологий электронной подписи.

Важную роль в регулировании PKI-инфраструктуры играет законодательная база. Основным документом, регламентирующим использование электронной подписи в России, является Федеральный закон № 63-ФЗ. Он определяет её правовой статус, порядок применения, требования к удостоверяющим центрам и права участников электронного взаимодействия. Приказы Минцифры России от 13.11.2020 № 584, от 19.11.2020 № 603, от 26.11.2020 № 624 определяют требования к удостоверяющим центрам и условия работы с квалифицированными сертификатами.

Приказ ФАПСИ от 13.06.2001 № 152 определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

В России применяются 2 основных криптографических стандарта: RSA и ГОСТ. RSA является общепризнанным международным стандартом шифрования, а под ГОСТ в данном контексте понимают российские криптографические стандарты, например ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015. Они могут применяться параллельно: так, в системе ЕГАИС предусмотрены пин-коды для 2 типов ключей — RSA и ГОСТ. Первый тип используется для взаимодействия с системой и подписания электронных документов. Второй необходим для организации защищённого канала связи с сервером ЕГАИС.

Для некоторых организаций предусмотрены отдельные требования к инфраструктуре открытых ключей: так, с 1 апреля 2026 года ФНС России перешла на новые криптографические стандарты — ГОСТ 34.12-2018 и ГОСТ 34.13-2018. Это потребовало обновления криптозащиты электронных подписей и замены устаревших версий криптопровайдеров и носителей.

Одним из регуляторов, активно влияющих на формирование рынка через выпуск директив и нормативных актов, выступает Банк России. В качестве примера можно привести Положение №851-M от 30.01.2025, которое обязывает банковские учреждения применять усиленную квалифицированную электронную подпись (УКЭП) и TLS‑сертификаты, работающие на базе криптографических алгоритмов ГОСТ, при организации межбанковского взаимодействия. Кроме того, кредитные организации должны интегрироваться с Системой межведомственного электронного взаимодействия (СМЭВ).

Ещё одним важным направлением регуляторного влияния становится запуск цифрового рубля. В этом проекте использование собственного удостоверяющего центра Банка России и его сертификатов становится обязательным требованием для всех банков-участников. Таким образом, регулятор не только задаёт стандарты безопасности, но и напрямую определяет технологическую инфраструктуру, в которой предстоит работать финансовым организациям.

Количественные показатели российского рынка PKI за 2021–2025 годы, а также прогноз его развития на 2026–2030 годы можно посмотреть в отчёте BusinesStat.

Обзор отечественных средств PKI

В данном обзоре рассматриваются отечественные платформы для управления инфраструктурой открытых ключей (PKI). Продукты различаются между собой спецификой, практической реализацией защиты цифровых сертификатов и ключевых носителей. Разберём вкратце наиболее популярные решения, уделив внимание техническим нюансам.

 

 

Avanpost PKI

Российская компания Avanpost является разработчиком системы Avanpost PKI для управления всеми элементами инфраструктуры открытых ключей из единого центра. Решение предназначено для управления сертификатами безопасности на всём протяжении их жизненного цикла — от выпуска до блокировки или отзыва, а также физическими ключевыми носителями и СКЗИ.

Решение включает серверную часть, базу данных, веб-клиенты для пользователя и администратора, а также программный агент для взаимодействия с носителями в фоновом режиме. Платформа поддерживает гибкое разграничение доступа администраторов, учёт владельцев информационных систем и автоматизацию бизнес-процессов, например подачу заявок на выпуск или перевыпуск сертификатов.

Система Avanpost PKI совместима с популярными удостоверяющими центрами: «КриптоПро УЦ» (1.5, 2.0 и Linux), Microsoft CA, RSA Keon 6.0, Check Point, ViPNet, а также поддерживает так называемый Offline УЦ с обменом через промежуточные папки файловой системы без прямого взаимодействия с УЦ. Решение может одновременно работать с несколькими типами USB-токенов и смарт-карт (eToken, Rutoken, JaCarta, YubiKey, ФОРОС, KAZTOKEN и др.), самостоятельно определяя установленный в компьютере носитель при создании запроса на сертификат.

Также система поддерживает «облачные ключевые носители» (в частности, «КриптоПро DSS»), работу с реестром ОС и даже с обычными USB-накопителями, которые можно использовать для размещения сертификатов и ключей.

Для учёта СКЗИ в Avanpost PKI предусмотрена печать журнала поэкземплярного учёта или схемы криптографической защиты. Для формирования отчётов в систему заложена функциональность, позволяющая использовать предустановленные шаблоны или самостоятельно конструировать необходимые отчётные формы.

 

Рисунок 4. Регистрация субъектов в системе Avanpost PKI

 

Особенности решения:

• Учёт и управление жизненным циклом ключевых носителей и лицензий на СКЗИ, учёт АРМ и инвентаризация установленных на них СКЗИ в единой базе данных.
• Сервис самообслуживания, доступный в личном кабинете пользователя.
• Редактор бизнес-процессов, реализованный в виде графического конструктора.
• Использование технологии автоматического масштабирования ресурсов (autoscaling).
• Кроссплатформенность, наличие открытого API для интеграции.
• Поддержка технологий контейнеризации, популярных опенсорсных и проприетарных решений.

Решение включено в Реестр отечественного ПО (реестровая запись № 1287 от 05.09.2016), сертифицировано ФСТЭК России (сертификат соответствия № 4254). Больше информации о продукте представлено на сайте вендора.

 

 

Indeed Certificate Manager

Программный комплекс Indeed Certificate Manager (Indeed CM) — отечественное решение для централизованного управления цифровыми сертификатами, ключевыми носителями и инфраструктурой открытых ключей. Система автоматизирует такие рутинные операции, как выпуск, обновление, приостановка и отзыв сертификатов. Это снижает нагрузку на ИТ-подразделения и повышает общую эффективность работы с PKI.

Помимо непосредственной работы с сертификатами, платформа обеспечивает полный контроль над ключевыми носителями разных производителей — смарт-картами и USB-токенами. В рамках единого инструмента ведётся реестр таких устройств, а также электронный журнал учёта СКЗИ в соответствии с требованиями ФАПСИ № 152, полностью заменяя ручной учёт и исключая ошибки, вызванные человеческим фактором. Indeed CM взаимодействует с разными удостоверяющими центрами, автоматизируя получение и обслуживание сертификатов независимо от выбранного УЦ.

Продукт имеет модульную архитектуру, что позволяет легко встраивать его в существующую инфраструктуру заказчика. Серверные и клиентские части могут работать на машинах под управлением ОС Windows или Linux. Для миграции с зарубежных решений или при смене системы управления базами данных вендор предусмотрел специальные утилиты, сохраняющие накопленные данные и настройки.

 

Рисунок 5. Автоматический отзыв сертификата в Indeed CM

 

Особенности решения:

• Встроенный сервис внутреннего электронного документооборота.
• Ведение журнала поэкземплярного учёта СКЗИ. В систему заложены журналы учёта ключевых носителей и сертификатов с настраиваемым набором полей.
• Возможность удалённого администрирования ключевых носителей через программный агент, автоматическая блокировка отозванных сертификатов.
• Наличие сервиса самообслуживания для сотрудников.
• Автоматизированная рассылка уведомлений о событиях в системе.
• Возможность интеграции с SIEM и другими компонентами инфраструктуры клиента, наличие коннекторов к системам Secret Net Studio и Indeed AM, интеграция с системами IdM через API.

Решение включено в Реестр отечественного ПО (реестровая запись № 4921 от 03.12.2018). Больше информации о продукте представлено на сайте производителя.

 

 

JaCarta Management System 4LX для Linux

JaCarta Management System (JMS) — это корпоративное решение для учёта и централизованного управления жизненным циклом средств аутентификации и электронной подписи, защищённых носителей информации, аппаратных OTP/U2F-токенов, программных аутентификаторов типа PUSH/OTP/Messaging (SMS).

В состав системы входит производительный сервер усиленной аутентификации (MFA) JaCarta Authentication Server (JAS) на платформе Linux для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей для части сотрудников.

В состав сервера входит JIP — корпоративное решение для сквозной аутентификации в приложениях, поддерживающих протоколы SAML и OIDC. При этом JIP полностью заменяет реализованный в целевом приложении механизм аутентификации, предоставляя все необходимые факторы аутентификации.

JMS взаимодействует с распространёнными российскими и зарубежными удостоверяющими центрами (УЦ), такими как Aladdin Enterprise CA, Microsoft CA (через компонент MSCA Proxy), Dogtag, «КриптоПро УЦ», «ИнфоТеКС» и др. Встроенный офлайн-коннектор обеспечивает работу JMS с любыми удостоверяющими центрами, в том числе аттестованными или расположенными в изолированных контурах, не нарушая предъявляемых к данным УЦ требований к информационной безопасности.

Система интегрируется с ресурсными системами — источниками информации о пользователях и рабочих станциях, в качестве которых могут выступать не только FreeIPA, Samba AD, ALD Pro, РЕД АДМ и «Альт Домен», но и Microsoft AD. Работает со всеми ЭК линейки JaCarta, ЗНИ JaCarta SF/ГОСТ.

 

Рисунок 6. Консоль управления JaCarta Management System

 

Особенности решения:

• Широкий набор функций для учёта и управления: автоматический учёт всех токенов, ведение журнала СКЗИ, журналирование действий пользователей и администраторов, формирование отчётности по токенам, пользователям, СКЗИ, рабочим станциям.
• Сервис усиленной (MFA) аутентификации с возможностью SSO в совместимые приложения (SAML, OIDC).
• Автоматизация исполнения политик безопасности.
• Простая процедура миграции с предыдущих версий на Windows. Возможность эффективно работать в гетерогенной среде Linux/Windows.
• Поддержка кластерных технологий (NLB) и распространённых аппаратных балансировщиков нагрузки для неограниченной масштабируемости, производительности и отказоустойчивости.
• Предоставление сервиса самообслуживания для пользователей.

Решение включено в Реестр отечественного ПО (реестровая запись № 11260 от 05.08.2021), сертифицировано ФСТЭК России (сертификат соответствия № 4516). На нашем сайте есть обзор версии 3.0 данного продукта, а ещё больше информации о нём представлено на сайте производителя.

 

 

«Рутокен KeyBox»

«Рутокен KeyBox» — многофункциональная платформа, упрощающая взаимодействие с PKI-инфраструктурой предприятия, автоматизируя административные процессы и управление жизненным циклом ключевых носителей (токенов, смарт-карт и других устройств). Система даёт возможность централизованно управлять средствами аутентификации, вести учёт СКЗИ, контролировать их использование, а также решать типовые проблемы пользователей без привлечения администраторов.

Продукт разработан с учётом необходимости контроля жизненного цикла ключевых носителей и самих СКЗИ. В системе оцифрованы следующие этапы: постановка на учёт, изготовление, ввод в эксплуатацию, выдача пользователю, изъятие и уничтожение. Продукт охватывает выпуск, обновление, управление и отзыв сертификатов, обеспечивая безопасность на всех этапах существования открытых ключей.

«Рутокен KeyBox» поддерживает отечественные криптографические стандарты, интегрируется с различными УЦ и службами каталогов, допуская добавление ключевой информации из внешних удостоверяющих центров. Платформа позволяет контролировать ключевую инфраструктуру из единой точки за счёт входящего в её состав компонента Middleware, предоставляющего унифицированный интерфейс для управления устройствами, подключёнными к рабочей станции. Администратор может назначить пользователю СКЗИ из свободного пула, редактировать введённые параметры или изъять средство криптографической защиты.

 

Рисунок 7. Интерфейс Рутокен KeyBox

 

Особенности решения:

• Кроссплатформенность — серверная и клиентская части могут работать как под управлением Windows, так и Linux.
• Поддержка центров сертификации Microsoft Enterprise CA 2003/2008/2012/2016/2019, «КриптоПро УЦ» 2.0, «Валидата УЦ» версий 3.1, 4.0.
• Наличие коннекторов для интеграции с Active Directory, LDAP и SIEM, а также API.
• Работа с широким перечнем ключевых носителей («Рутокен S», «Рутокен ЭЦП», «Рутокен Lite», Kaztoken, JaCarta, ESMART, MS_KEY K-«Ангара»).
• Поддержка алгоритмов шифрования RSA и ГОСТ.
• Наличие сервиса самообслуживания для пользователей.

«Рутокен KeyBox» версии 7.0 включён в Реестр отечественного ПО (реестровая запись № 18160 от 29.06.2023), сертифицировано ФСТЭК России (сертификат соответствия № 4972). Больше информации о продукте и других решениях вендора представлено на сайте производителя.

Выводы

PKI считается одним из наиболее надёжных инструментов обеспечения информационной безопасности. Внедрение инфраструктуры открытых ключей — это необходимость для организаций, которые всерьёз относятся к защите данных. PKI становится оправданным выбором в тех случаях, когда бизнес работает с конфиденциальной информацией, проводит онлайн-транзакции, обрабатывает персональные данные или подпадает под отраслевые требования регуляторов. В таких ситуациях PKI выполняет роль страховки: инвестиции в защиту окажутся несопоставимо ниже потенциальных потерь от утечки данных или взлома.

Однако решение о внедрении PKI должно быть взвешенным: важно объективно оценить потребности организации, имеющиеся ресурсы и реальные риски. При выборе конкретной системы управления ключевыми носителями и цифровыми сертификатами стоит обратить внимание на удобство развёртывания системы, соответствие стандартам, стоимость лицензий, простоту обучения персонала.

При этом следует помнить, что PKI не является универсальным инструментом и не заменяет собой другие средства защиты. Антивирусное программное обеспечение, сетевые экраны, системы обнаружения вторжений, регулярное резервное копирование и политики безопасности остаются обязательными элементами корпоративной защиты. Только комплекс мер позволит минимизировать риски и обеспечить безопасность в цифровом мире.