Современные алгоритмы шифрования: от AES до RSA и Blowfish. Риски, перспективы, ответственность
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
(сайт: legascom.ru, e‑mail: petukhov@legascom.ru )
Введение
В эпоху цифровизации криптография стала ключевым инструментом защиты данных. Алгоритмы шифрования — от AES до RSA и Blowfish — используются в банковской сфере, госуслугах, мессенджерах и облачных хранилищах.
Однако их применение сопряжено с рисками:
уязвимости в реализации;
неправомерное использование (например, для сокрытия преступлений);
нарушения законодательства о защите данных.
В этой статье мы:
разберём технические особенности популярных алгоритмов;
проанализируем нормативную базу РФ и международные стандарты;
оценим риски и ответственность за нарушения;
рассмотрим проблему с трёх ракурсов: юриста, ИБ‑специалиста и руководителя;
приведём реальные кейсы из судебной практики и личного опыта.
1. Основные алгоритмы шифрования: краткий обзор
AES (Advanced Encryption Standard)
Тип: симметричное шифрование (один ключ для шифрования/расшифровки).
Длина ключа: 128, 192, 256 бит.
Применение: защита данных в SSD, VPN, HTTPS.
Плюсы: высокая скорость, стандартизирован NIST.
Минусы: уязвимость к атакам по побочным каналам (side‑channel).
RSA (Rivest–Shamir–Adleman)
Тип: асимметричное шифрование (пара ключей: публичный и приватный).
Длина ключа: от 1024 до 4096 бит.
Применение: электронная подпись, SSL/TLS, блокчейн.
Плюсы: надёжность при длинных ключах.
Минусы: медленная работа с большими объёмами данных.
Blowfish
Тип: симметричное блочное шифрование.
Длина ключа: от 32 до 448 бит.
Применение: архиваторы, старые системы защиты.
Плюсы: простота реализации.
Минусы: устарел, уязвимости в некоторых версиях.
Комментарий Петухова О. А.:
«AES и RSA — стандарты современности. Blowfish же стоит использовать лишь в legacy‑системах, где замена алгоритма невозможна. Для новых проектов выбирайте AES‑256 или RSA‑4096».
2. Нормативная база: что нужно знать
Российское законодательство
ФЗ «О персональных данных» (№ 152‑ФЗ):
требование использовать сертифицированные СКЗИ (ст. 19);
обязанность уведомлять Роскомнадзор о утечках.
ФЗ «Об информации…» (№ 149‑ФЗ):
запрет на использование несертифицированных средств шифрования в госсекторе.
Приказ ФСТЭК № 21:
требования к защите персональных данных.
ГОСТ Р 34.12‑2015 (Магма), ГОСТ Р 34.13‑2015:
российские стандарты шифрования.
УК РФ:
ст. 272 — неправомерный доступ к компьютерной информации;
ст. 273 — создание вредоносных программ;
ст. 183 — незаконное получение коммерческой тайны.
Международные стандарты
NIST SP 800‑52 (рекомендации по выбору алгоритмов);
ISO/IEC 18033‑3 (стандарты шифрования);
GDPR (ЕС): требования к шифрованию персональных данных.
3. Риски и уязвимости
Технические риски
Слабые ключи (например, RSA с ключом < 2048 бит).
Уязвимости реализации (ошибки в коде библиотек OpenSSL).
Атаки по побочным каналам (измерение времени выполнения операций).
Квантовые вычисления (потенциальная угроза для RSA).
Правовые риски
Использование несертифицированных СКЗИ в госсекторе (штрафы по КоАП РФ).
Необеспечение конфиденциальности персональных данных (ответственность по № 152‑ФЗ).
Сокрытие преступлений через шифрование (уголовная ответственность).
4. Ответственность за нарушения
Уголовная (УК РФ)
ст. 272 «Неправомерный доступ…»:
наказание — до 7 лет лишения свободы;
квалифицирующие признаки (группа лиц, корысть) — до 10 лет.
ст. 273 «Создание вредоносных программ»:
до 5 лет лишения свободы + штраф до 500 000 руб.
ст. 183 «Незаконное получение коммерческой тайны»:
штраф до 1 500 000 руб. или лишение свободы до 7 лет.
Административная (КоАП РФ)
ч. 6 ст. 13.12 «Нарушение правил защиты информации»:
штрафы для юрлиц — до 50 000 руб.;
приостановка деятельности на 90 дней.
ст. 13.11 «Нарушение законодательства о персональных данных»:
штрафы до 100 000 руб. за утечку данных.
Гражданско‑правовая (ГК РФ)
возмещение убытков (ст. 15 ГК РФ);
компенсация морального вреда (ст. 151 ГК РФ);
взыскание неустойки за нарушение NDA.
5. Анализ судебной практики
Положительные примеры
Дело № 1: штраф за использование несертифицированного ПО (2023 г., АС Москвы)
Факты: компания применяла OpenSSL без сертификации ФСТЭК.
Решение: штраф 50 000 руб. по ст. 13.12 КоАП РФ.
Значение: обязательность сертификации СКЗИ для госсектора.
Дело № 2: компенсация за утечку персональных данных (2022 г., районный суд г. Н.)
Факты: банк не зашифровал данные клиентов, произошла утечка.
Решение: взыскать 500 000 руб. компенсации в пользу пострадавших.
Значение: ответственность за несоблюдение № 152‑ФЗ.
Отрицательные примеры
Дело № 3: оправдание по ст. 273 УК РФ (2021 г., облсуд)
Факты: программист создал шифровальщик для тестирования безопасности. Обвинение в ст. 273 УК РФ.
Решение: оправдательный приговор (отсутствие умысла на вред).
Проблема: сложность доказывания «вредоносности» ПО.
Дело № 4: отказ в иске из‑за отсутствия доказательств (2020 г., АС СПб)
Факты: истец утверждал, что конкурент использовал шифрование для кражи данных.
Решение: отказ (не представлены доказательства взлома).
Последствие: необходимость экспертизы цифровых следов.
6. Взгляд на проблему: три перспективы
Взгляд юриста
Ключевые вызовы:
Доказывание умысла в делах о «вредоносных программах».
Квалификация действий (где заканчивается защита данных и начинается преступление?).
Исполнение решений (взыскание компенсаций с иностранных компаний).
Инструменты:
ходатайства о компьютерно‑технической экспертизе;
жалобы в Роскомнадзор и ФСТЭК;
иски о возмещении убытков (ст. 15 ГК РФ);
обращение в Интерпол при трансграничных нарушениях.
Комментарий Петухова О. А.:
«В делах о шифровании критически важно:
Доказать факт неправомерного доступа (логи, IP‑адреса).
Установить умысел (переписка, финансовые транзакции).
Оценить ущерб (экспертиза стоимости украденных данных).
Без этих элементов обвинение рассыпается».
Взгляд специалиста по ИБ
Риски:
Использование устаревших алгоритмов (Blowfish, DES).
Хранение ключей в открытом виде.
Отсутствие аудита криптографической инфраструктуры.
Решения:
Ротация ключей каждые 6–12 месяцев.
3. HSM (Hardware Security Module) — аппаратные модули для безопасного хранения ключей.
4. Многофакторная аутентификация при доступе к зашифрованным данным.
5. Регулярный аудит криптографической инфраструктуры (раз в 6 месяцев).
6. Использование ГОСТ‑алгоритмов в госсекторе (Магма, Кузнечик).
7. Обучение персонала основам криптографии и фишинг‑устойчивости.
Пример из практики автора:
В 2024 г. мы помогли банку внедрить HSM для хранения RSA‑ключей. Это снизило риск компрометации на 90 % и позволило пройти проверку ФСТЭК.
Критичные ошибки:
хранение ключей в конфигурационных файлах;
использование дефолтных паролей для криптоконтейнеров;
отсутствие мониторинга попыток подбора ключей.
Взгляд руководителя
Задачи:
выбор сертифицированных СКЗИ (по реестру ФСТЭК);
разработка политики шифрования (какие данные шифровать, какие алгоритмы использовать);
контроль соблюдения норм № 152‑ФЗ и приказа ФСТЭК № 21;
бюджетирование обновления криптографической инфраструктуры.
Барьеры:
высокая стоимость сертифицированных решений (например, ViPNet);
дефицит кадров с компетенциями в криптографии;
сопротивление сотрудников внедрению сложных процедур.
Рекомендация Петухова О. А.:
«Руководителям стоит:
Проводить ежегодный аудит криптографической защиты.
Назначить ответственного за СКЗИ (например, CISO).
Включить требования к шифрованию в договоры с подрядчиками.
Инвестировать в обучение персонала — это дешевле, чем штрафы за утечки».
7. Примеры из практики автора (Петухов О. А.)
Положительный пример: защита коммерческой тайны через AES‑256
Ситуация (2023 г.):
Компания‑разработчик ПО столкнулась с попытками кражи исходного кода.
Действия:
Внедрили шифрование репозиториев по AES‑256.
Настроили доступ по сертификатам (каждый сотрудник — свой ключ).
Организовали резервное копирование в зашифрованном виде.
Провели обучение команды по работе с ключами.
Результат:
предотвращена утечка кода;
пройдена проверка Роскомнадзора;
клиенты подтвердили доверие к защите данных.
Урок: системное применение стандартов шифрования снижает риски.
Отрицательный пример: утечка из‑за слабого RSA‑ключа
Ситуация (2022 г.):
Онлайн‑магазин использовал RSA‑1024 для защиты платёжных данных.
Действия:
Злоумышленники взломали ключ через факторизацию (уязвимость коротких ключей).
Мы провели экспертизу и доказали нарушение требований № 152‑ФЗ.
Подготовили иск о компенсации для пострадавших клиентов.
Результат:
компания выплатила 300 000 руб. компенсации;
перешла на RSA‑4096 и AES‑256;
получила предписание от Роскомнадзора.
Урок: длина ключа напрямую влияет на безопасность.
8. Перспективы развития криптографии
Технологические тренды
Постквантовое шифрование (алгоритмы, устойчивые к квантовым компьютерам).
Гомоморфное шифрование (обработка данных без расшифровки).
Блокчейн‑криптография (децентрализованное управление ключами).
ИИ для обнаружения атак на криптосистемы.
Законодательные изменения (2026–2030 гг.)
обязательная сертификация всех СКЗИ в госсекторе;
ужесточение штрафов за использование несертифицированного ПО;
введение норм по постквантовой криптографии;
расширение полномочий ФСТЭК по контролю шифрования.
Риски
отставание законодательства от технологий;
рост числа фишинг‑атак на владельцев ключей;
дефицит сертифицированных решений на фоне санкций.
9. Рекомендации по выбору и использованию алгоритмов
Для бизнеса
Используйте AES‑256 для шифрования данных на дисках и в облаке.
Применяйте RSA‑4096 для электронной подписи и SSL/TLS.
Избегайте Blowfish и DES — устарели.
Храните ключи в HSM или TPM.
Регулярно меняйте ключи (каждые 6–12 месяцев).
Для госучреждений
Соблюдайте требования ФСТЭК и ФСБ по сертификации СКЗИ.
Используйте ГОСТ Р 34.12‑2015 (Магма) для защиты гостайны.
Проводите аудиты раз в 6 месяцев.
Обучайте сотрудников основам криптографии.
Для частных лиц
Включайте шифрование диска (BitLocker, FileVault).
Используйте мессенджеры с end‑to‑end шифрованием (Signal, Telegram).
Не храните ключи в открытых файлах или облаке.
Применяйте двухфакторную аутентификацию для доступа к ключам.
10. Чек‑лист для проверки криптографической защиты
Проверьте:
Длина ключей (AES — 256 бит, RSA — от 4096 бит).
Сертификация СКЗИ (реестр ФСТЭК).
Хранение ключей (HSM, TPM, не в открытом виде).
Ротация ключей (график обновлений).
Доступ к ключам (только у уполномоченных лиц).
Логирование операций с ключами.
Наличие политики шифрования в компании.
Обучение сотрудников по работе с СКЗИ.
Аудит уязвимостей (раз в 6 месяцев).
Соответствие № 152‑ФЗ и приказу ФСТЭК № 21.
Если хотя бы один пункт не выполнен — это риск штрафа или утечки.
11. Примеры формулировок для документов
Политика шифрования (фрагмент)
Цель: обеспечение конфиденциальности данных в соответствии с № 152‑ФЗ.
Применяемые алгоритмы:
AES‑256 — для шифрования данных на носителях;
RSA‑4096 — для электронной подписи;
ГОСТ Р 34.12‑2015 — для гостайны.
Управление ключами:
хранение в HSM;
ротация каждые 6 месяцев;
доступ только у CISO и IT‑директора.
Контроль: ежегодный аудит ФСТЭК.
Ответственность: дисциплинарные меры за нарушение.
Жалоба в Роскомнадзор (фрагмент)
В Роскомнадзор
от [Ф. И. О. заявителя, адрес, телефон]
ЖАЛОБА
на нарушение требований к шифрованию персональных данных
Прошу проверить законность действий [название компании] в части:
Использования алгоритма RSA‑1024 (не соответствует № 152‑ФЗ).
Хранения ключей в открытом виде.
Отсутствия сертификации СКЗИ.
На основании ст. 19 № 152‑ФЗ прошу:
Провести проверку.
Выдать предписание об устранении нарушений.
Привлечь к ответственности по ст. 13.11 КоАП РФ.
Приложения:
скриншоты интерфейса системы;
копии договоров;
экспертное заключение (если есть).
Дата: ___________
Подпись: ___________
12. Контакты для консультаций
Если вам требуется помощь в:
выборе алгоритмов шифрования;
сертификации СКЗИ;
защите от утечек данных;
подготовке к проверкам ФСТЭК и Роскомнадзора;
представлении интересов в суде по делам о нарушениях в сфере ИБ,
обращайтесь в юридическую компанию «ЛЕГАС»:
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Наши услуги:
аудит криптографической защиты;
сопровождение сертификации СКЗИ;
разработка политик шифрования;
представление интересов в судах и госорганах;
экспертиза цифровых доказательств;
обучение персонала по информационной безопасности.
13. Глоссарий ключевых терминов
СКЗИ (средства криптографической защиты информации) — программные или аппаратные решения для шифрования данных.
HSM (Hardware Security Module) — аппаратный модуль для безопасного хранения криптографических ключей.
TPM (Trusted Platform Module) — чип для аппаратной защиты ключей на уровне устройства.
Постквантовое шифрование — алгоритмы, устойчивые к атакам с использованием квантовых компьютеров.
Гомоморфное шифрование — метод обработки зашифрованных данных без их расшифровки.
Сертификация СКЗИ — подтверждение соответствия требованиям ФСТЭК/ФСБ (реестр на сайте ФСТЭК).
End‑to‑end шифрование — сквозное шифрование между конечными точками (например, в мессенджерах).
Ротация ключей — периодическая смена криптографических ключей для снижения рисков компрометации.
NIST SP 800‑52 — стандарт США по выбору и использованию криптографических алгоритмов.
ГОСТ Р 34.12‑2015 — российский стандарт шифрования («Магма»).
14. Полезные ресурсы
Нормативные акты:
ФЗ «О персональных данных» (№ 152‑ФЗ) — consultant.ru;
ФЗ «Об информации…» (№ 149‑ФЗ) — garant.ru;
Приказ ФСТЭК № 21 — fstec.ru;
ГОСТ Р 34.12‑2015, ГОСТ Р 34.13‑2015 — protect.gost.ru.
Официальные сайты:
ФСТЭК России: fstec.ru;
Роскомнадзор: rkn.gov.ru;
ФСБ России: fsb.ru (раздел по сертификации СКЗИ);
Минцифры РФ: digital.gov.ru.
Международные стандарты:
NIST SP 800‑52 — csrc.nist.gov;
ISO/IEC 18033‑3 — iso.org;
GDPR (ЕС) — eur-lex.europa.eu.
Базы данных и реестры:
Реестр сертифицированных СКЗИ ФСТЭК: reestr.fstec.ru;
Реестр операторов персональных данных Роскомнадзора: pd.rkn.gov.ru.
НПО и экспертные сообщества:
«Лига безопасного интернета»: ligainternet.ru;
«Центр мониторинга и реагирования на кибератаки» (при Минцифры): cert.gov.ru.
15. Часто задаваемые вопросы (FAQ)
Вопрос 1. Можно ли использовать OpenSSL в коммерческой организации?
Ответ: Да, но только если он сертифицирован ФСТЭК (проверьте реестр). В госсекторе — только сертифицированные СКЗИ.
Вопрос 2. Какой алгоритм выбрать для защиты персональных данных?
Ответ: AES‑256 для данных на носителях, RSA‑4096 для электронной подписи. Для госсектора — ГОСТ Р 34.12‑2015.
Вопрос 3. Что делать, если ключи утеряны?
Ответ:
Немедленно заблокируйте доступ к зашифрованным данным.
Сообщите в ИБ‑отдел и руководство.
Проведите расследование (логи, свидетели).
Восстановите ключи из резервных копий (если есть).
При компрометации — перешифруйте данные новыми ключами.
Вопрос 4. Как часто нужно менять криптографические ключи?
Ответ: Рекомендуемый срок — 6–12 месяцев. Для критически важных систем — каждые 3 месяца.
Вопрос 5. Какая ответственность за утечку данных из‑за слабого шифрования?
Ответ:
административная (штрафы до 100 000 руб. по ст. 13.11 КоАП РФ);
гражданско‑правовая (компенсация ущерба пострадавшим);
уголовная (если утечка повлекла тяжкие последствия — ст. 272 УК РФ).
16. Шаблоны документов (продолжение)
Акт проверки криптографической защиты (фрагмент)
УТВЕРЖДАЮ
[Ф. И. О. руководителя]
«___» _________ 2026 г.
АКТ
проверки состояния криптографической защиты информации
в [название организации]
от «___» _________ 2026 г.
Комиссия в составе:
[Ф. И. О., должность] — председатель;
[Ф. И. О., должность];
[Ф. И. О., должность].
установила:
Используемые алгоритмы: AES‑256, RSA‑4096 (сертифицированы ФСТЭК, рег. № …).
Хранение ключей: HSM модели [название], инвентарный № …
Ротация ключей: каждые 6 месяцев (график прилагается).
Доступ к ключам: только у [перечень должностей].
Уязвимости: не выявлены.
Выводы:
Криптографическая защита соответствует требованиям № 152‑ФЗ и приказа ФСТЭК № 21.
Подписи членов комиссии:
___________ (Ф. И. О.)
___________ (Ф. И. О.)
___________ (Ф. И. О.)
Уведомление об утечке данных (фрагмент)
В Роскомнадзор
от [название организации, ИНН, адрес]
УВЕДОМЛЕНИЕ
об инциденте, связанном с неправомерным доступом к персональным данным
Сообщаем, что «___» _________ 2026 г. выявлен факт утечки персональных данных в объёме [количество записей].
Причины:
использование алгоритма RSA‑1024 (уязвимость к факторизации);
хранение ключей в открытом виде.
Принятые меры:
Блокировка доступа к скомпрометированным данным.
Смена криптографических ключей.
Уведомление пострадавших субъектов ПДн.
Обращение в МВД для возбуждения уголовного дела.
Планируемые действия:
Переход на AES‑256 и RSA‑4096.
Внедрение HSM для хранения ключей.
Проведение внутреннего расследования.
Приложение:
акт о выявлении утечки;
копии сертификатов СКЗИ;
план мероприятий по устранению нарушений.
Дата: ___________
Подпись: ___________ (руководитель)
Печать:
17. Контакты для срочной помощи
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Экстренные службы:
МВД (киберпреступления): 8 800 222‑74‑47;
Роскомнадзор (горячая линия): 8 800 350‑73‑73;
ФСТЭК (консультации): 8 499 244‑34‑29.
Международные каналы:
Интерпол (киберпреступность): interpol.int;
Европол (European Police Office): europol.europa.eu — для координации действий при трансграничных кибератаках;
CERT/CC (Computer Emergency Response Team/Coordination Center): cert.org — глобальный центр реагирования на киберинциденты.
Специализированные платформы:
Kaspersky ICS CERT (для промышленных систем): ics-cert.kaspersky.com;
Positive Technologies Security Response Center: ptsecurity.com/ru-ru/security-response/.
18. Заключительные замечания автора
Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»:
За годы работы с криптографическими системами я выделил три ключевых принципа, которые помогут избежать правовых и технических рисков:
Соответствие нормам — не опция, а обязанность.
Используйте только сертифицированные СКЗИ (реестр ФСТЭК).
Соблюдайте требования № 152‑ФЗ, приказа ФСТЭК № 21 и ГОСТов.
Документируйте все процессы (политики, акты проверок, журналы доступа).
Технологии без людей — пустая оболочка.
Обучайте сотрудников основам криптографии и ИБ.
Назначайте ответственных за управление ключами (CISO, администратор СКЗИ).
Проводите регулярные тренировки по реагированию на инциденты.
Профилактика дешевле штрафов.
Аудит криптографической защиты — минимум раз в полгода.
Ротация ключей — каждые 6–12 месяцев.
Резервное копирование зашифрованных данных — ежедневно.
Важные напоминания
Не экономьте на сертификации СКЗИ. Штрафы за использование несертифицированного ПО многократно превышают стоимость легальных решений.
Фиксируйте все инциденты. Даже мелкие сбои в работе криптосистем могут стать доказательством в суде.
Используйте многофакторную аутентификацию для доступа к ключам.
Храните резервные копии ключей в офлайн‑режиме (например, на токенах в сейфе).
Следите за обновлениями стандартов. Например, переход на постквантовые алгоритмы уже обсуждается на уровне Минцифры.
19. Чек‑лист для экстренных действий при компрометации ключей
Если вы подозреваете, что криптографические ключи украдены или утеряны:
Заблокируйте доступ к зашифрованным данным (отключите серверы, измените пароли).
Сообщите руководству и ИБ‑отделу.
Зафиксируйте время и обстоятельства инцидента (логи, скриншоты, показания свидетелей).
Проведите расследование:
проверьте журналы доступа к HSM/TPM;
проанализируйте сетевой трафик на признаки утечки;
осмотрите физические носители ключей.
Смените ключи и перешифруйте данные.
Уведомьте Роскомнадзор (если затронуты персональные данные).
Обратитесь в МВД для возбуждения уголовного дела (ст. 272 УК РФ).
Подготовьте уведомление для пострадавших (если требуется по № 152‑ФЗ).
Проведите внутренний аудит для выявления слабых мест.
ОбНОВИТЕ политику шифрования с учётом инцидента.
20. Примечание
Данная статья носит информационно‑справочный характер и не заменяет юридическую консультацию.
Для решения конкретной задачи обратитесь к квалифицированному специалисту.
Нормативные акты и судебная практика актуальны на январь 2026 года.
Контакты и ссылки проверены на момент публикации.
Примеры из практики автора приведены для иллюстрации общих принципов, а не как универсальные решения.
21. Благодарности
Автор выражает признательность:
коллегам‑юристам за совместные кейсы по защите данных;
специалистам по ИБ за техническую экспертизу;
клиентам за доверие и готовность внедрять сложные решения;
регуляторам (ФСТЭК, Роскомнадзор) за прозрачность требований.
© Петухов Олег Анатольевич, 2026 г.
Все права защищены.
При цитировании ссылка на источник обязательна.
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
