Аэс тэс и гэс: Основные принципы организации производства и потребления электроэнергии в России

Что осталось от энергосистемы Украины

https://crimea.ria.ru/20221011/chto-ostalos-ot-energosistemy-ukrainy-1124827425.html

Что осталось от энергосистемы Украины

Что осталось от энергосистемы Украины — РИА Новости Крым, 11.10.2022

Что осталось от энергосистемы Украины

Объединенная энергетическая система Украины, кроме четырех атомных электростанций, включает 15 ТЭС, 43 ТЭЦ, восемь крупных ГЭС и три ГАЭС*. Кроме того,… РИА Новости Крым, 11.10.2022

2022-10-11T18:58

2022-10-11T18:58

2022-10-11T18:33

украина

экономика

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn1.img.crimea.ria.ru/img/07e6/0a/0b/1124827261_0:99:3292:1951_1920x0_80_0_0_afda747b51248f888c81f6992d63a511.jpg

СИМФЕРОПОЛЬ, 11 сен – РИА Новости Крым. Объединенная энергетическая система Украины, кроме четырех атомных электростанций, включает 15 ТЭС, 43 ТЭЦ, восемь крупных ГЭС и три ГАЭС*. Кроме того, генерация происходит за счет альтернативных источников, в основном солнечных и ветровых (СЭС и ВЭС).По итогам прошлого года суммарная выработка электроэнергии составила 156,5 миллиардов кВт/ч. При этом на атомные электростанции пришлось более 55% мощности, ТЭС и ТЭЦ суммарно поставили 29,3%, ГЭС и ГАЭС – 6,7%, возобновляемая энергетика (СЭС, ВЭС, БЭС, – ред.) поставила около 8%.До марта этого года исключением являлась Бурштынская ТЭС. В начала двухтысячных ее вывели из энергосистемы Украины. В составе так называемого «Бурштынского острова» станция вырабатывала энергию для поставок на экспорт в страны Восточной Европы, а именно в Молдавию, Румынию, Словакию и Польшу. Кроме того, украинский президент недавно заявил о готовности включить в экспорт Германию.В марте все электросети Украины были интегрированы с европейской ENTSO-E. Именно с этим фактором связано то, что Украина продолжает поставлять электроэнергию на экспорт в Европу, несмотря на сложности с работой части генерирующих объектов, которые возникли после событий 10 октября. Украина прекращает экспорт электроэнергии в ЕС >>В частности, в понедельник авиаудары пришлись по ТЭЦ-6 в Киеве, Бурштынской ТЭС, Львовским ТЭЦ. В компании «Укрэнерго» предупредили о возможных перебоях с энергопитанием.Во вторник 11 октября под удар попали две главных ТЭС Левобережной Украины. Чтобы выровнять генерацию, энергетики приняли решение отключить от снабжения Харьковскую и Полтавскую область. Однако сбои продолжились и затронули Днепропетровскую, Запорожскую и Одесскую области.Украинские власти сообщают о повреждении критической инфраструктуры >>Таким образом, возможности энергогенерации Украины серьезно снизились. Более того, продолжение ударов по подстанциям и электростанциям может привести к полной разбалансировке и уничтожению энергосистемы страны.Больше 300 населенных пунктов в Украине обесточены — ГСЧС >> ГАЭС* – гидроаккумулирующая электростанция – гидроэлектростанция, используемая для выравнивания суточной неоднородности графика электрической нагрузки.

https://crimea.ria.ru/20221010/putin-vs-rf-nanesli-massirovannyy-udar-po-obektam-na-ukraine-1124801834.html

https://crimea.ria.ru/20221011/deystvuyuschie-aes-ukrainy-spravka-1124819854.html

украина

РИА Новости Крым

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2022

РИА Новости Крым

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://crimea.ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости Крым

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

1920

1080

true

1920

1440

true

https://cdnn1. img.crimea.ria.ru/img/07e6/0a/0b/1124827261_281:0:3012:2048_1920x0_80_0_0_9da3d16fa0e48d7fd52b907cb02d6d4d.jpg

1920

1920

true

РИА Новости Крым

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости Крым

1

5

4.7

96

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

украина, экономика

СИМФЕРОПОЛЬ, 11 сен – РИА Новости Крым. Объединенная энергетическая система Украины, кроме четырех атомных электростанций, включает 15 ТЭС, 43 ТЭЦ, восемь крупных ГЭС и три ГАЭС*. Кроме того, генерация происходит за счет альтернативных источников, в основном солнечных и ветровых (СЭС и ВЭС).

По итогам прошлого года суммарная выработка электроэнергии составила 156,5 миллиардов кВт/ч. При этом на атомные электростанции пришлось более 55% мощности, ТЭС и ТЭЦ суммарно поставили 29,3%, ГЭС и ГАЭС – 6,7%, возобновляемая энергетика (СЭС, ВЭС, БЭС, – ред. ) поставила около 8%.

Энергетика как отрасль обладает рядом важных особенностей, которые существенно влияют на объемы генерации. Первое – электроэнергию как продукт невозможно накопить и хранить. Следовательно, выработка должна соответствовать потреблению. Второе – недостаточная или избыточная генерация приводят к разбалансировке системы. При этом опасны как избыток, так и недостаток энергии в сети. Третье – объекты энергосистемы не существуют по отдельности, они объединены в единую энергосеть. В данном случае – Украины.

До марта этого года исключением являлась Бурштынская ТЭС. В начала двухтысячных ее вывели из энергосистемы Украины. В составе так называемого «Бурштынского острова» станция вырабатывала энергию для поставок на экспорт в страны Восточной Европы, а именно в Молдавию, Румынию, Словакию и Польшу. Кроме того, украинский президент недавно заявил о готовности включить в экспорт Германию.

В марте все электросети Украины были интегрированы с европейской ENTSO-E. Именно с этим фактором связано то, что Украина продолжает поставлять электроэнергию на экспорт в Европу, несмотря на сложности с работой части генерирующих объектов, которые возникли после событий 10 октября.

Украина прекращает экспорт электроэнергии в ЕС >>

В частности, в понедельник авиаудары пришлись по ТЭЦ-6 в Киеве, Бурштынской ТЭС, Львовским ТЭЦ. В компании «Укрэнерго» предупредили о возможных перебоях с энергопитанием.

10 октября, 13:07

Путин: ВС РФ нанесли массированный удар по объектам на Украине

Во вторник 11 октября под удар попали две главных ТЭС Левобережной Украины. Чтобы выровнять генерацию, энергетики приняли решение отключить от снабжения Харьковскую и Полтавскую область. Однако сбои продолжились и затронули Днепропетровскую, Запорожскую и Одесскую области.

Украинские власти сообщают о повреждении критической инфраструктуры >>

Эксперты подсчитали, что с начала года Украина потеряла около трети объектов энергосистемы. В первую очередь речь идет о Запорожской АЭС. Кроме того, из энергосети вышли семь ТЭС, шесть ТЭЦ, две СЭС и три ВЭС, которые расположены в Луганской, Донецкой народных республиках и Запорожской области, ставшими регионами России.

Таким образом, возможности энергогенерации Украины серьезно снизились. Более того, продолжение ударов по подстанциям и электростанциям может привести к полной разбалансировке и уничтожению энергосистемы страны.

Больше 300 населенных пунктов в Украине обесточены — ГСЧС >>

ГАЭС* – гидроаккумулирующая электростанция – гидроэлектростанция, используемая для выравнивания суточной неоднородности графика электрической нагрузки.

11 октября, 13:22

Действующие АЭС Украины. Справка

Украина с начала СВО потеряла 21% энергомощностей

Электростанции на Украине советские, т. е. при их строительстве обеспечивали повышенные меры защиты / Gleb Garanich / Reuters

С 10 октября на Украине разрушено 30% электростанций страны, утверждает президент Украины Владимир Зеленский. Тем не менее выработка электроэнергии в стране за это время увеличилась на 4,3%: если 9 октября Украина произвела 260,2 млн кВт·ч электричества, то 17 октября – 271,4 млн кВт·ч, следует из оперативных данных Международного энергетического агентства (МЭА). Из-за падения экономики у Украины есть запас энергомощностей, и эффект от ударов скажется не сразу, считают эксперты.

О разрушении 30% электростанций Украины Зеленский заявил 18 октября в своем Twitter. Это, по его словам, «привело к массовым отключениям электроэнергии по всей стране». Ранее, 11 октября, министр энергетики Украины Герман Галущенко привел те же данные, заявив CNN, что от российских ракет за два дня пострадали около 30% энергетической инфраструктуры Украины (не уточнялось, речь идет только об электростанциях или также о сетях, – «Ведомости»). Власти пытаются «быстро восстановить подключение к другим источникам», говорил он.

Правительство Украины призвало людей «ограничить» потребление энергии. «У нас критическая ситуация по всей стране. Один регион зависит от другого. Надо готовиться по всей стране к тому, что могут быть отключения как электроэнергии, так и водоснабжения и теплоснабжения», – заявил замглавы офиса президента Украины Кирилл Тимошенко.

Но пока выработка электроэнергии упала не сильно. Минимума за последние дни она достигала 11 октября, составив 243 млн кВт·ч, что на 7% меньше, чем до начала систематических ударов, следует из данных МЭА. К 17 октября выработка восстановилась до 271 млн кВт·ч.

«Заявление Зеленского следует читать так: 30% электростанций не разрушены, а получили повреждения», – считает заведующий лабораторией глобальных проблем энергетики Московского энергетического института Владимир Клименко. А повреждения могут быть разными: разрушение гидроагрегатов ГЭС может потребовать годы на ремонт, а если осколками выбило стекла в помещениях или перебило сети, на ремонт уйдет несколько часов или дней, рассуждает эксперт. Кроме того, дневные или недельные скачки производства и потребления – это норма, добавляет он.

Электростанции на Украине советские, т. е. при их строительстве обеспечивали повышенные меры защиты, вплоть за возможности выдержать ядерный удар, говорит директор Института развития парламентаризма Алексей Чадаев. «Просто так их не уничтожишь», – согласен Клименко. Киев, вероятнее всего, завышает нанесенный ущерб, уверены эксперты.

АЭС и ГЭС, а это около половины генерации Украины, вовсе не подверглись атакам. Ракетные удары наносились преимущественно по ТЭС, на которые приходится 55% оставшихся под контролем Киева мощностей.

Украина в 2021 г. выработала 156 млрд кВт·ч электроэнергии. Больше половины (55%) приходилось на четыре АЭС страны – 86 млрд кВт·ч, следует из данных глобальной статистики BP. Далее идут угольная генерация (24%) и нефтегазовая (7%). На 15 ТЭС и 42 ТЭЦ в совокупности в 2021 г. было выработано 48 млрд кВт·ч, или 31% всей электроэнергии. Общие мощности Украины составляли 51 ГВт.

Самой крупной электростанцией Украины была Запорожская АЭС. Это шесть блоков общей мощностью 6 ГВт, ежегодная генерация – 40 млрд кВт·ч, почти половина атомной и четверть всей электроэнергии Украины. Далее идет Южно-Украинская АЭС (2,9 ГВт, 18,6 млрд кВт·ч), Ровенская АЭС (2,7 ГВт, 17,1 млрд кВт·ч) и Хмельницкая АЭС (2 ГВт, 9 млрд кВт·ч).

К началу 2022 г. Украина уже лишилась контроля над 11 электростанциями в Донбассе на 5 ГВт, т. е. 10% мощностей. С начала СВО и к настоящему моменту Украина потеряла еще 12 станций и 19% мощностей на 9,7 ГВт. Главными утратами были, помимо Запорожской АЭС, также Углегорская ТЭС (1,2 ГВт), Запорожская ТЭС (1,2 ГВт), Каховская ГЭС (351 МВт), Северодонецкая ТЭЦ (260 МВт) и ряд других помельче. Всего, не считая Крыма, Украина лишилась порядка 14,7 ГВт, или 29% мощностей.

Но с присоединением к России ЛНР, ДНР, Херсонской и Запорожской областей Украина одновременно лишилась и 20% ВВП и 21% населения, подсчитывали «Ведомости», т. е. пропала и необходимость снабжать электричеством этих потребителей.

Даже если повреждения украинских электростанций существенные и потребуют длительного ремонта, у страны был запас мощностей. ВВП Украины за 9 месяцев 2022 г. потерял 30%, следует из предварительной оценки министерства экономики страны, а по итогам года сократится на 35%, оценивает МВФ. Спад производства закономерно вызвал и спад спроса на электроэнергию, считает Клименко. Если 23 февраля Украина генерировала 446 млн кВт·ч электроэнергии в сутки, то 1 марта – 312 млн кВт·ч, а 9 октября – 260 млн кВт·ч, или на 42% меньше, следует из данных МЭА. При этом Украина фактически лишилась 21% мощностей с начала года, а значит, дополнительное падение на 21% было связано со спадом потребности в электричестве.

Об этом же говорит и рост экспорта электроэнергии. За январь – июль Украина выручила на нем $206 млн, что на 52% больше, чем за тот же период 2021 г., следует из данных UN Comtrade. Экспорт «помогает европейским странам экономить на российском газе и угле», заявлял Галущенко. Украина экспортирует около 600 МВт мощности, отметил в сентябре председатель правления «Укрэнерго» Владимир Кудрицкий. Это еще 2% имеющихся в ее распоряжении мощностей.

Следующий фактор, который позволяет повысить выработку электроэнергии, связан с загрузкой имеющихся мощностей, говорит Клименко. Общий коэффициент использования установленной мощности (КИУМ) за 9 месяцев 2021 г. составил 54%, следует из данных минэнерго Украины. Для АЭС КИУМ – около 70%, для ТЭС – 50-55%, а для ГЭС – менее 50%, замечает ученый. Возможности накопить выработанную электроэнергию нет (только на ГАЭС, но их производство ничтожно). Но можно поднять нагрузку имеющихся мощностей, поясняет эксперт. А если у электростанции выходит из строя только часть, то можно догрузить то, что осталось целым.

Основные проблемы с энергетикой по-прежнему остаются в районах, непосредственно затронутых боевыми действиями. На 31 июля на Украине из-за повреждений оставались обесточенными 770 населенных пунктов и 625 200 потребителей, в частности в Донецкой области – около 379 200, Луганской – 128 200, Харьковской – 39 400, Николаевской – 30 300 потребителей, следует из последних опубликованных данных минэнерго Украины.

Новости СМИ2

Отвлекает реклама?  С подпиской 
вы не увидите её на сайте

aes. Для чего нужны тесты Монте-Карло для блочных шифров?

спросил

Изменено
3 года, 2 месяца назад

Просмотрено
726 раз

$\begingroup$

NIST указывает, что для создания тестовых векторов Монте-Карло для режима ECB и CBC для соревнований AES требовались реализации.

Зачем эти тесты? Единственное, о чем я могу думать, так это о каком-то рандомизированном тестировании блочного шифра в определенных режимах. Однако в этом случае разница между ECB и CBC не будет иметь значения.

Мне кажется, это странный способ проверки ошибок реализации. Вы ожидаете таких вещей, как проверка границ и тому подобное, но простое выполнение шифрования снова и снова может не дать нужных результатов. А странные ключи/вводные значения также покрываются другими тестами.

Наконец, создание алгоритмом собственных входных данных кажется опасным. Если блочный шифр не ведет себя так, как указано, ввод может быть ошибочным. Так зачем использовать блочный шифр в качестве DRBG, а не другой хорошо определенный/проверенный алгоритм?

  • aes
  • cbc
  • ecb
  • nist
  • тест-векторы

$\endgroup$

2

$\begingroup$

Как обычно, правительственные ведомства просто повторяют существующие правила. Таким образом, они включили тесты Монте-Карло из более ранних тестовых документов, на этот раз из 1980 года. Если вы пойдете по пыльному следу по ссылке Маартена, вы в конечном итоге придете к специальной публикации NBS 500-20, Проверка правильности аппаратных реализаций.
стандарта шифрования данных NBS. Это два соответствующих отрывка.

В данной публикации описывается конструкция и
работа испытательного стенда NBS, который используется для
проверка аппаратных реализаций
Федеральное шифрование данных обработки информации
Стандарт (DES).

и

Так как набор тестов всем известен,
серия тестов выполняется с использованием псевдослучайных данных для
убедиться, что устройство не предназначено только для передачи
тестовый набор. Кроме удачной серии Монте-Карло
тесты дают некоторую уверенность в том, что аномальное сочетание
входов не существует, что может привести к зависанию устройства или
в противном случае неисправность по причинам, не связанным непосредственно с
реализация алгоритма. В то время как цель
Набор тестов DES должен гарантировать, что коммерческое устройство точно выполняет алгоритм DES, тест Монте-Карло
необходимо для гарантии того, что коммерческое устройство было
не построен специально, чтобы пройти объявленные тесты. {128})$. Таким образом, хотя фиксированные векторы тестов с известными ответами являются полезными инструментами отладки, они не являются хорошими критериями сертификации.

$\endgroup$

2

Зарегистрируйтесь или войдите в систему

Зарегистрируйтесь с помощью Google

Зарегистрироваться через Facebook

Зарегистрируйтесь, используя электронную почту и пароль

Опубликовать как гость

Электронная почта

Требуется, но никогда не отображается

Опубликовать как гость

Электронная почта

Требуется, но не отображается

Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания, политикой конфиденциальности и политикой использования файлов cookie

.

Важность шифрования и как AWS может помочь

по
Кен Бир | на
| в
AWS CloudHSM, служба управления ключами AWS, Foundational (100), безопасность, идентификация и соответствие требованиям |
Постоянная ссылка |
Комментарии |
Делиться

Шифрование является важнейшим компонентом стратегии глубокоэшелонированной защиты, которая представляет собой подход к обеспечению безопасности с рядом защитных механизмов, разработанных таким образом, что в случае сбоя одного механизма безопасности по крайней мере еще один продолжает работать. По мере того, как все больше организаций стремятся работать быстрее и в больших масштабах, им нужны способы удовлетворения важнейших требований соответствия и повышения безопасности данных. Шифрование при правильном использовании может обеспечить дополнительный уровень защиты по сравнению с базовым контролем доступа.

Как и почему работает шифрование?

Шифрование работает с использованием алгоритма с ключом для преобразования данных в нечитаемые данные (зашифрованный текст), которые могут снова стать читаемыми только с помощью правильного ключа. Например, простая фраза вроде «Hello World!» может выглядеть как «1c28df2b595b4e30b7b07500963dc7c» в зашифрованном виде. Существует несколько различных типов алгоритмов шифрования, все они используют разные типы ключей. Надежный алгоритм шифрования опирается на математические свойства для создания зашифрованного текста, который невозможно расшифровать с использованием любой практически доступной вычислительной мощности без необходимого ключа. Поэтому защита ключей и управление ими становится важной частью любого решения для шифрования.

Шифрование как часть вашей стратегии безопасности

Эффективная стратегия безопасности начинается со строгого контроля доступа и постоянной работы по определению наименьших привилегий, необходимых для лиц или систем, получающих доступ к данным. AWS требует, чтобы вы управляли своими собственными политиками контроля доступа, а также поддерживает многоуровневую защиту для обеспечения наилучшей защиты данных.

Шифрование является критически важным компонентом стратегии глубокоэшелонированной защиты, поскольку оно может устранить недостатки в вашем основном механизме управления доступом. Что делать, если механизм управления доступом дает сбой и разрешает доступ к необработанным данным на диске или по сетевому каналу? Если данные зашифрованы с помощью надежного ключа, пока ключ дешифрования не находится в той же системе, что и ваши данные, злоумышленник не сможет расшифровать ваши данные с вычислительной точки зрения. Чтобы показать, насколько это невозможно, давайте рассмотрим Advanced Encryption Standard (AES) с 256-битными ключами (AES-256). Это самый надежный отраслевой и одобренный правительством алгоритм шифрования данных. AES-256 — это технология, которую мы используем для шифрования данных в AWS, включая шифрование Amazon Simple Storage Service (S3) на стороне сервера. Чтобы сломаться, используя современные вычислительные технологии, потребуется не менее триллиона лет. Текущие исследования показывают, что даже будущая доступность квантовых вычислений не сократит в достаточной степени время, необходимое для взлома шифрования AES.

Но что, если вы по ошибке создадите чрезмерно разрешающие политики доступа к своим данным? Хорошо спроектированная система шифрования и управления ключами также может предотвратить возникновение проблемы, поскольку она отделяет доступ к ключу дешифрования от доступа к вашим данным.

Требования к решению для шифрования

Чтобы получить максимальную отдачу от решения для шифрования, вам нужно подумать о двух вещах:

  1. Защита ключей в состоянии покоя : Защищены ли системы, использующие ключи шифрования, чтобы ключи нельзя было использовать вне системы? Кроме того, правильно ли эти системы реализуют алгоритмы шифрования для получения надежных зашифрованных текстов, которые невозможно расшифровать без доступа к нужным ключам?
  2. Независимое управление ключами : Является ли разрешение на использование шифрования независимым от того, как контролируется доступ к базовым данным?

Существуют сторонние решения, которые можно использовать в AWS для выполнения этих требований. Однако эти системы могут быть сложными и дорогими в эксплуатации в больших масштабах. AWS предлагает ряд вариантов для упрощения шифрования и управления ключами.

Защита ключей в состоянии покоя

Когда вы используете сторонние решения для управления ключами, может быть сложно оценить риск утечки ваших открытых ключей и их использования за пределами решения. Ключи должны где-то храниться, и вы не всегда можете знать или проверять все способы защиты этих систем хранения от несанкционированного доступа. Сочетание технической сложности и необходимости сделать шифрование пригодным для использования без ухудшения производительности или доступности означает, что выбор и эксплуатация решения для управления ключами может привести к трудным компромиссам. Лучшей практикой для обеспечения максимальной безопасности ключа является использование аппаратного модуля безопасности (HSM). Это специализированное вычислительное устройство, в которое встроено несколько элементов управления безопасностью, чтобы предотвратить передачу ключей шифрования с устройства таким образом, чтобы злоумышленник мог получить доступ к этим ключам и использовать их.

Одним из таких элементов управления в современных модулях HSM является реакция на вмешательство, при которой устройство обнаруживает физические или логические попытки доступа к незашифрованным ключам без авторизации и уничтожает ключи до того, как атака увенчается успехом. Поскольку вы не можете установить и использовать собственное оборудование в центрах обработки данных AWS, AWS предлагает две услуги, использующие HSM с реакцией на несанкционированное вмешательство для защиты ключей клиентов: AWS Key Management Service (KMS), которая управляет парком HSM от имени клиента, и AWS CloudHSM, который дает клиентам возможность управлять своими собственными модулями HSM. Каждая служба может создавать ключи от вашего имени, или вы можете импортировать ключи из локальных систем для использования каждой службой.

Ключи в AWS KMS или AWS CloudHSM можно использовать для непосредственного шифрования данных или для защиты других ключей, распространяемых среди приложений, которые напрямую шифруют данные. Метод шифрования ключей шифрования называется конвертным шифрованием, и он позволяет выполнять шифрование и дешифрование на компьютере, где существуют данные клиента в виде открытого текста, вместо того, чтобы каждый раз отправлять данные в HSM. Для очень больших наборов данных (например, базы данных) нецелесообразно перемещать гигабайты данных между набором данных и HSM для каждой операции чтения/записи. Вместо этого шифрование конверта позволяет распространять ключ шифрования данных в приложение, когда это необходимо. «Главные» ключи в HSM используются для шифрования копии ключа данных, поэтому приложение может хранить зашифрованный ключ вместе с данными, зашифрованными с помощью этого ключа. После того как приложение зашифрует данные, копия открытого текста ключа данных может быть удалена из его памяти. Единственный способ расшифровать данные — отправить зашифрованный ключ данных размером всего несколько сотен байт обратно в HSM и расшифровать.

Процесс шифрования конвертов используется во всех сервисах AWS, в которых данные шифруются от имени клиента (так называемое шифрование на стороне сервера), чтобы свести к минимуму снижение производительности. Если вы хотите шифровать данные в своих собственных приложениях (шифрование на стороне клиента), рекомендуется использовать шифрование конверта с AWS KMS или AWS CloudHSM. Обе службы предлагают клиентские библиотеки и SDK для добавления функций шифрования в код своих приложений и использования криптографических функций каждой службы. AWS Encryption SDK — это пример инструмента, который можно использовать где угодно, а не только в приложениях, работающих в AWS.

Поскольку правильное внедрение алгоритмов шифрования и модулей HSM имеет решающее значение, все поставщики модулей HSM должны проверять свои продукты доверенной третьей стороной. HSM как в AWS KMS, так и в AWS CloudHSM проверяются в соответствии с программой FIPS 140-2 Национального института стандартов и технологий — стандартом для оценки криптографических модулей. Это подтверждает безопасную конструкцию и реализацию криптографических модулей, включая функции, связанные с портами и интерфейсами, механизмами аутентификации, физической безопасностью и реакцией на несанкционированное вмешательство, операционными средами, управлением криптографическими ключами и электромагнитными помехами/электромагнитной совместимостью (EMI/EMC). Шифрование с использованием проверенного криптографического модуля FIPS 140-2 часто является требованием для других схем соответствия, связанных с безопасностью, таких как FedRamp и HIPAA-HITECH в США, или международного стандарта индустрии платежных карт (PCI-DSS).

Независимое управление ключами

Хотя AWS KMS и AWS CloudHSM могут защищать главные ключи открытого текста от вашего имени, вы по-прежнему несете ответственность за управление контролем доступа, чтобы определить, кто может инициировать использование ключей шифрования и при каких условиях. Одним из преимуществ использования AWS KMS является то, что язык политики, который вы используете для определения элементов управления доступом к ключам, совпадает с языком, который вы используете для определения доступа ко всем другим ресурсам AWS. Обратите внимание, что язык тот же, а не фактические элементы управления авторизацией. Вам нужен механизм управления доступом к ключам, отличный от того, который вы используете для управления доступом к вашим данным. AWS KMS предоставляет этот механизм, позволяя назначать одну группу администраторов, которые могут управлять только ключами, и другую группу администраторов, которые могут управлять доступом только к базовым зашифрованным данным. Такая настройка процесса управления ключами помогает обеспечить разделение обязанностей, необходимое для предотвращения случайного повышения привилегий на расшифровку данных неавторизованным пользователям. Для еще большего разделения контроля AWS CloudHSM предлагает независимый механизм политик для определения доступа к ключам.

Даже имея возможность отделить управление ключами от управления данными, вы все равно можете убедиться, что вы правильно настроили доступ к ключам шифрования. AWS KMS интегрирован с AWS CloudTrail, поэтому вы можете контролировать, кто какие ключи использовал, для каких ресурсов и когда. Это обеспечивает детализированное представление о ваших процессах управления шифрованием, которое, как правило, гораздо более глубокое, чем локальные механизмы аудита. События аудита из AWS CloudHSM можно отправлять в Amazon CloudWatch, сервис AWS для мониторинга и оповещения сторонних решений, которые вы используете в AWS.

Шифрование данных в состоянии покоя и в движении

Все сервисы AWS, обрабатывающие данные клиентов, шифруют передаваемые данные и предоставляют возможности для шифрования данных в состоянии покоя. Все сервисы AWS, предлагающие шифрование в состоянии покоя с помощью AWS KMS или AWS CloudHSM, используют AES-256. Ни один из этих сервисов не хранит ключи шифрования в виде открытого текста в состоянии покоя — это функция, которую могут выполнять только AWS KMS и AWS CloudHSM с помощью своих HSM, сертифицированных по стандарту FIPS 140-2. Эта архитектура помогает свести к минимуму несанкционированное использование ключей.

При шифровании передаваемых данных сервисы AWS используют протокол Transport Layer Security (TLS) для обеспечения шифрования между вашим приложением и сервисом AWS. Большинство коммерческих решений используют проект с открытым исходным кодом под названием OpenSSL для своих нужд TLS. OpenSSL имеет около 500 000 строк кода, по крайней мере 70 000 из которых реализуют TLS. База кода большая, сложная и трудно поддающаяся аудиту. Более того, когда в OpenSSL появляются ошибки, перед глобальным сообществом разработчиков стоит задача не только исправить и протестировать изменения, но и убедиться, что полученные исправления сами по себе не привносят новые недостатки.

В ответ на проблемы с реализацией TLS в OpenSSL компания AWS разработала собственную реализацию TLS, известную как s2n, или сигнал-шум. В июне 2015 года мы выпустили s2n, который мы разработали, чтобы он был небольшим и быстрым. Цель s2n — предоставить вам сетевое шифрование, которое легче понять и которое можно полностью проверить. Мы выпустили и лицензировали его под лицензией Apache 2.0 и разместили на GitHub.

Мы также разработали s2n для анализа с использованием автоматических рассуждений для проверки безопасности и правильности с использованием математической логики. С помощью этого процесса, известного как формальные методы, мы проверяем правильность кодовой базы s2n каждый раз, когда вносим изменения в код. Мы также автоматизировали эти математические доказательства, которые мы регулярно запускаем повторно, чтобы убедиться, что желаемые свойства безопасности не изменяются в новых версиях кода. Автоматизированные математические доказательства правильности — новая тенденция в индустрии безопасности, и AWS использует этот подход для широкого спектра нашего критически важного программного обеспечения.

Для реализации TLS необходимо использовать ключи шифрования и цифровые сертификаты, подтверждающие право собственности на эти ключи. AWS Certificate Manager и AWS Private Certificate Authority — это два сервиса, которые могут упростить выдачу и ротацию цифровых сертификатов в вашей инфраструктуре, которая должна предлагать конечные точки TLS. Оба сервиса используют комбинацию AWS KMS и AWS CloudHSM для создания и/или защиты ключей, используемых в выдаваемых ими цифровых сертификатах.

Резюме

В AWS безопасность является нашим главным приоритетом, и мы стремимся максимально упростить для вас использование шифрования для защиты ваших данных помимо базового контроля доступа. Создавая и поддерживая инструменты шифрования, которые работают как в облаке, так и за его пределами, мы помогаем вам защитить ваши данные и обеспечить соответствие требованиям во всей вашей среде. Мы ставим безопасность в центр всего, что мы делаем, чтобы убедиться, что вы можете защитить свои данные с помощью лучших в своем классе технологий безопасности с минимальными затратами.

Если у вас есть отзывы об этом сообщении, отправьте их в разделе комментариев ниже. Если у вас есть вопросы по этому сообщению, начните новую тему на форуме AWS KMS или форуме AWS CloudHSM или обратитесь в службу поддержки AWS.

Хотите больше инструкций по безопасности AWS, новостей и анонсов функций? Следуйте за нами на Twitter.

Кен Бир

Кен — генеральный директор службы управления ключами AWS. Кен более 7 лет работал в области управления идентификацией и доступом, шифрования и управления ключами в AWS. До прихода в AWS Кен отвечал за сетевую безопасность в Trend Micro.

Аэс тэс и гэс: Основные принципы организации производства и потребления электроэнергии в России