Комментарии 79
Бред.
Не для всех конечно. Но использование не сертифицированных средств шифрования, там где требуются сертифицированные действительно штрафуется. А так же штрафуются огранизации которые распрастраняют такие средства, там где требуется использовать сертифицированные.
Какое ты "страшное" слово написал, что тут аж девять человек обкакались :-)
Не секрет, что российское законодательство (в области информации, интернета) находится в зачаточном состоянии, и не соответствует реалиям
НЛО прилетело и опубликовало эту надпись здесь
А вы думаете кто-нибудь там использует шифрование средствами софта MS?
На свете достаточно систем, которые поддерживают в том числе наш ГОСТ.
На свете достаточно систем, которые поддерживают в том числе наш ГОСТ.
Средствами микрософт - это расплывчатая формулировка, там могут использоваться разные шифрующие компоненты, часть из них сертифицированна и в России.
Есть сертификация средств шифрования, а есть лицензирование, в том числе обязательное, деятельности в области защиты информации. К ней относятся деятельность по разработке, производству, распространению, техническому обслуживанию шифровальных средств, в том числе программных и программно-аппаратных комплексов. Я не нашел информации, что Microsoft inc. имеет лицензию на эту деятельность, не говоря уж о большинстве российских фирм. Следует заметить, что лицензирование этой деятельности относится только к юр. лицам, так что пользователи - частники могут спать спокойно.
Вопрос. Если организация продоставляет доступ к части сайта с использованием https протокола и библиотеки OpenSSL она получается нарушает закон? Если да, то где и кто должен производить лицензирование данного вида деятельности?
Пока организация только использует эти програмные средства, лицензия не нужна. Однако установка, наладка и техническое обслуживание этих средств уже требует лицензии, которые раньше выдавались Гостехкомиссией при президенте РФ и ФАПСИ. Кто сейчас занимается этим вопросом вместо ФАПСИ я не знаю.
Хотя, как обычно, есть разночтения. Например к по закону о лицензировании, использование средств шифрования не требует лицензии. В то время как согласно "Положению о государственном лицензировании деятельности в области защиты информации" эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, требует лицензии ФАПСИ. Дело в том, что это положение выпущено значительно раньше закона, но все еще действует.
Эээ стоп. Какие операции по шифрованию я как юр. лицо могу делать?
Если следовать принципу - "что не запрещено законом, то разрешено", то вы, как юр. лицо без лицензии можете использовать любые средства шифрования. Но предоставление услуг с использованием этих средств или их распространение уже требует лицензии.
Что входит в предоставление услуг с ее использованием? К примеру наличие https интерфейса к сайту к таким может быть отнесено ?
Вот здесь есть подборка нормативных документов по этому вопросу http://www.ekey.ru/lib
А понятно. Тогда продолжаем дальше юзать https :)
К вопросу о https. Выдержка из "Закона о ЭЦП":
"...2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации..."
Так что никаких эгриментов AS-IS, а полная и сугубая ответственность сайтовладетеля...
"...2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации..."
Так что никаких эгриментов AS-IS, а полная и сугубая ответственность сайтовладетеля...
А кстати, никто не задумывался куда делась ФАПСИ?
Скорее всего, нарушает.
Лицензирование производится в установленном законом порядке, как вы не догадались-то :)
Лицензирование производится в установленном законом порядке, как вы не догадались-то :)
Да, кроме того, обязательному лицензированию подлежат организации, предоставляющие услуги в области защиты информации, как например в Вашем случае.
А продавать средства шифрования без лицензии не нарушение?
Есть несколько "но". Например, наличие у венды (кстати, это единственная система на момент года 3 назад, сейчас не знаю) соответствующего сертификата (ФАПСИ что ли его тогда выдавало) на соответствующие реализации алгоритмов шифрования.
Второй момент - шифровать не потому, как кто-то ниже сказал, что что-то может быть подвергнуто опасности, а как раз наоборот - спецслужбы не смогут что-то расшифровать когда надо. Я не сторонник боязни "кровавой гэбни", но это достаточно известный и не особо скрываемый факт. Они ещё живут временами "печатей". Знаете, да, что у печати есть несколько степеней защиты - буковы там всякие мелкие, сигнатуры невпопад... В расчёте на то, что кустарными методами сделать две одинаковые печати якобы будет невозможно. Вот они ещё понятиями тех времён и оперируют.
Второй момент - шифровать не потому, как кто-то ниже сказал, что что-то может быть подвергнуто опасности, а как раз наоборот - спецслужбы не смогут что-то расшифровать когда надо. Я не сторонник боязни "кровавой гэбни", но это достаточно известный и не особо скрываемый факт. Они ещё живут временами "печатей". Знаете, да, что у печати есть несколько степеней защиты - буковы там всякие мелкие, сигнатуры невпопад... В расчёте на то, что кустарными методами сделать две одинаковые печати якобы будет невозможно. Вот они ещё понятиями тех времён и оперируют.
Такие черные ходы есть во всех "рекомендуемых" государством алгоритмов шифрования. В т.ч. и у американских :)
НЛО прилетело и опубликовало эту надпись здесь
Алгоритм открытый, а реализация нет.
Основной вопрос не в открытости даже или закрытости, а в сертификации :)
Не свистите. Существует реализация в виде патчей для OpenSSL. В следующей версии обещали включить в дистрибутив. Вот только реализацию еще надо сертифицировать.
Ага а таблицы с высокой степенью устойчивости к коллизиям вы откуда будете брать? К тому же таблицы как вы правильно и заметили выдаются тем же ФСБ.
Кстати ФАПСИ думаю не средства шифрования сертификата не выдавала. Там скорее идет речь о выдаче сертификата системе для работы с конфиденциальной информацией. Виндой это дело кстати не ограничивается существует два отечественных коммерческих дистрибутива прошедших аналогичную сертификацию.
Посадили ли кого нибудь за это?
Думаю, что имеет смысл шифровать даже слабыми алгоритмами т.к. это хотя бы спасёт от срабатывания фильтров. Например, если вы в письме пишете о терроризме, то в открытом виде оно может быть легко перехвачено и ссылка на вас может появиться в специальной базе. Конечно просто обсуждение этой темы со знакомыми вряд ли создаст вам проблем, но надо заботиться о сбережении государственного бюджета и не засорять секретные диски ненужной информацией. А вот если вы шифруете свою почту PGP это сообщение, скорее всего, невозможно расшифровать "налету" и соответственно ваша переписка может быть открыта только когда заниматься будут именно вами. В общем шифрование это как кольцо из "Властелина колец". Одели и ваши родственники, партнёры, начальство не могут прочесть ваши личные данные, но от Ока это вас не спасёт :) Кстати, если шифрацией пользуется несколько человек, то это только привлекает внимание.
Думаю, что имеет смысл шифровать даже слабыми алгоритмами т.к. это хотя бы спасёт от срабатывания фильтров. Например, если вы в письме пишете о терроризме, то в открытом виде оно может быть легко перехвачено и ссылка на вас может появиться в специальной базе. Конечно просто обсуждение этой темы со знакомыми вряд ли создаст вам проблем, но надо заботиться о сбережении государственного бюджета и не засорять секретные диски ненужной информацией. А вот если вы шифруете свою почту PGP это сообщение, скорее всего, невозможно расшифровать "налету" и соответственно ваша переписка может быть открыта только когда заниматься будут именно вами. В общем шифрование это как кольцо из "Властелина колец". Одели и ваши родственники, партнёры, начальство не могут прочесть ваши личные данные, но от Ока это вас не спасёт :) Кстати, если шифрацией пользуется несколько человек, то это только привлекает внимание.
НЛО прилетело и опубликовало эту надпись здесь
Чье внимание это привлекает?
За нами уже следят?
Пищите в интернете по ключевому слову СОРМ. Много интересного узнаете :)
а разве ее вообще можно расшифровать без привлечения человека, который имеет ключ?
Зависит от размера ключа. Если что то найдут вас и ключ.
Чье внимание это привлекает?
От соседей по локалке до ФСБ.
За нами уже следят?
Да, может не конкретно за мной или вами, но посредством шаблонов типа "бомба", "террорист" наверняка (хотя в нашем бардаке могут и не следить ;))
а разве ее вообще можно расшифровать без привлечения человека, который имеет ключ?
Разумно исходить из того, что абсолютной защиты нет.
Ага давольно старая присказка к рекламе МТС:
МТС. Люди говорят. ФСБ. Мы слушаем.
МТС. Люди говорят. ФСБ. Мы слушаем.
НЛО прилетело и опубликовало эту надпись здесь
Между прочим, мобильник представляет собой программно-аппаратный комплекс, осуществляющий с одной стороны шифрование-дешифрование GSM-траффика, а с другой стороны (если он имеет интерпретатор Java) средствами проверки ЭЦП. И если операторы вполне возможно имеют лицензии на деятельность по защите информации, то есть большие сомнения, что поставщики и продавцы мобильников хотя бы знают об этом.
Между прочим такие мобильники уже есть и их можно купить. Только вот защиты от ФСБ они не гарантируют т.к. все алгоритмы используемые там сертифицированы для использования на территории России. Но как защита коммерческой тайны они работать могут.
Любой GSM мобильник реализует алгоритм А5 для шифрования голосового трафика. Но по требованию ФСБ оператор может отключить шифрование. Кроме того фактически алгоритм оперирует 54 битным ключом и относительно легко поддается взлому.
НЛО прилетело и опубликовало эту надпись здесь
Действительно на базе Мегафона развёрнута сеть защищённой мобильной связи. Но там мобильники некрасивые ;)
Вы наверно немного путаете. По тем данным которые есть у меня Java совершенно ни при делах при шифровке траффика в GSM (по крайней мере не в аппарате). Действительно GSM траффик шифруется достаточно надёжно, что бы отсечь левые подключения которые были большой проблемой у предыдущих поколений связи DAMPS (вроде так). Года три назад была новость про группу учёных которые нашли надёжный метод взлома протоколов шифрования GSM. Но это опять не про ФСБ. СОРМ даёт этой прекрасной организации возможность вообще не заморачиваться с дешифровкой. Фишка в том, что траффик на оборудовании оператора дешифруется и маршрутизируется незащищённым. При маршрутизации всё это проходит через оборудование ФСБ и они имеют возможность делать с вашими разговорами чего угодно. Кроме того сейчас повсеместно введены системы определения координат. Не знаю насколько всё автоматизированно но потенциально ФСБ может слушать любого и при этом видеть примерный район в котором находится передатчик.
НЛО прилетело и опубликовало эту надпись здесь
Взломоустойчивы в целом все открытые алгортимы длина ключа которых больше 1024 бита и если ключи меняются не менее раза в год. Насчет черных дверей сказать что-то сложно. Но если они даже и есть, то доступны только спецслужбам.
Большинство распространенных методов шифрования основаны на так называемых однонаправленых функциях и проходят тщательное исследование мировым математическим сообществом на предмет выяснения их действительной однонаправленности. Такие алгоритмы могуп быть взломаны только брут-форс атакой и их стойкость зависит от размера ключа, сложности однонаправленной функции и деталей реализации криптографического протокола. Однако существуют так называемые протоколы условного вручения ключей (Escrowed Encryption Standarts) в который секретный ключ разделяется на части и депонируются в специальных организациях. При необходимости, по решению суда ;), части изымаются с депонента и защифрованный канал дешифруется. Это например алгоритм SkipJack, реализованный в микросхеме Clipper, внедряемой АНБ для криптотелефонии.
Вряд ли на этом ресурсе вы найдёте профессионалов криптологов которые смогут авторитетно ответить на ваши вопросы. Кстати, тут недавно канадцы показали прототип фотонного компьютера... говорят он классно перебирает коды ;)
Вы правда верите что если действительно будет надо европейские разведки не смогут воспользоваться паяльником?
А «паяльники» у них не так сильно распространены.
Вы правда верите что если действительно будет надо европейские разведки не смогут воспользоваться паяльником?
НЛО прилетело и опубликовало эту надпись здесь
насколько быстро он перебирает коды?
Говорят достаточно быстро что бы сделать применяемые сейчас длины ключей неэффективными.
Но речь шла о невозможности(взможности) расшифровки без участия владельца зашифрованных данных
Тут непонятно. Ходят слухи, что есть некие секретные алгоритмы... но могут и врать :)
Думаю, Поносов имеет теперь полное право заявить в милицию на Стива Балмера.
Вообще-то CryptoAPI ничего не шифрует. Это API для работы со средствами шифрования (крипто-провайдерами) в Windows. Через CryptoAPI приложения работают с тем же КриптоПро. В Windows встроено много крипто-провайдеров, но они все американские, и их использование в документообороте юр. лица не будет иметь никакой юридической силы и спец. службы действительно смогут докапаться при желании.
Я не юрист, но не понятно, юрист ли автор заметки, но описаны одни эмоции, причем в стилистике "желтой" прессы. На мой взгляд, Микрософт и распространители DVD-плейеров ничего не нарушают.
Я не юрист, но не понятно, юрист ли автор заметки, но описаны одни эмоции, причем в стилистике "желтой" прессы. На мой взгляд, Микрософт и распространители DVD-плейеров ничего не нарушают.
К сожалению, при буквальном чтении нашего запутанного законодательства в этой области, все именно так и обстоит, что подверждается разъяснительными письмами руководства ФАПСИ, которые легко найти на специализированных сайтах. Незаконным является разработка и распространение всех средств шифрования без соответствующей лицензии, в том числе и DVD-плейеров, iPod`ов, спутниковых ресиверов, дистрибутивов Linux, Windows, Word, Excel, Access, серверов баз данных, архиваторов и многого другого.
Целью этой статьи было желание вскрыть весь градус маразма, бушуещего в среде высоконепрофессиональных закнотворцов, в результате которого рождаются такие параноидальные законы, причем относительно свежие. Генератором этих законов в свое время выступало ФАПСИ исходя из стремления максимально расширить сферу лицензирования, чтобы хоть кто-нибудь да попал бы в сети их частных аттестационных центров. Так что это просто бизнес, ничего личного.
Целью этой статьи было желание вскрыть весь градус маразма, бушуещего в среде высоконепрофессиональных закнотворцов, в результате которого рождаются такие параноидальные законы, причем относительно свежие. Генератором этих законов в свое время выступало ФАПСИ исходя из стремления максимально расширить сферу лицензирования, чтобы хоть кто-нибудь да попал бы в сети их частных аттестационных центров. Так что это просто бизнес, ничего личного.
В нашем государстве действуют только понятия.
Если ваши интересы пересекутся с власть-имущими, то им и их законы не помешают. Так что если требуется работать в сфере шифрования, но надо обязательно сводить в баню пару чинов из ФАПСИ :)
Если ваши интересы пересекутся с власть-имущими, то им и их законы не помешают. Так что если требуется работать в сфере шифрования, но надо обязательно сводить в баню пару чинов из ФАПСИ :)
Ага, я писал о таком маразме в области кассовых аппаратов :) Только в этой сфере законодательство выполняется безукоризненно :)
"лицензирование деятельности" в приводимом законе - это лицензирование коммерческой деятельности. Т.е. если вы получаете доход с деятельности, которую нужно лицензировать, но лицензии нет - нарушение. В противном случае - это к на вас не распространяется.
ФЗ "О лицензировании отдельных видов деятельности"
"...лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю;..."
"...лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности;..."
"...лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом;..."
КоАП РФ:
"...Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии)..."
В законах не сказано о том какая форма деятельности юр. лица - предпринимательская или некоммерческая. Да и не может быть сказано, потому что суть лицензировании в контроле соблюдения общих интересов третьих лиц в процессе деятельности юр. лица, безотносительно к получению им прибыли.
"...лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю;..."
"...лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности;..."
"...лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии в соответствии с настоящим Федеральным законом;..."
КоАП РФ:
"...Статья 19.20. Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии)..."
В законах не сказано о том какая форма деятельности юр. лица - предпринимательская или некоммерческая. Да и не может быть сказано, потому что суть лицензировании в контроле соблюдения общих интересов третьих лиц в процессе деятельности юр. лица, безотносительно к получению им прибыли.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Шифрование — дорога на нары.