(no subject)

[golosptic]

http://www.gazeta.ru/tech/2016/07/07/8376887/yarovaya.shtml

«Газета.Ru» пообщалась с директором по методологии и стандартизации Positive Technologies Дмитрием Кузнецовым, чтобы прояснить некоторые пункты данного поручения. Так, эксперт пояснил, что

под средствами шифрования подразумевается любая программа, которая в качестве защиты использует шифрование данных.

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях», — уточнил эксперт.

Вместе с этим IT-специалист Леонид Волков на своей странице в Facebook напомнил, что система сертификации средств шифрования РОСС.RU.0001.030001 в России существует с ноября 1993 года.

Также Дмитрий Кузнецов объяснил, каким образом будет осуществляться передача ключей шифрования.

«Предоставление ключей — это просто предоставление бумажного документа с распечатанными столбиками цифр», — пояснил эксперт.

Он добавил, что требования к средствам шифрования определяют то, как ключ шифрования должен выглядеть в электронном виде, как его распечатать на бумаге и как из распечатки перевести его обратно в электронную форму.

По мнению эксперта, данное требование не вызовет проблем у операторов связи, так как современный ключ шифрования без дополнительных служебных полей имеет длину не более 8 килобайт, чаще всего используются ключи длиной до 2 килобайт, что ничтожно мало по сравнению с размером самих сообщений.

«Технических проблем с хранением и предоставлением ключей у операторов не будет совершенно точно», — заключил специалист.

P.S. Для тех кто не понял, поясняю. С точки зрения рос. законодательства до сих пор у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.
А что сделано по другим алгоритмам и не сертифицировано - так, не средства шифрования, а детское баловство. Требования закона Яровой на такое баловство не распространяются.

Веселиться, впрочем, думаю, не долго. Уточнят. Да так, что мало не покажется.

Comments

[de_nada]

>P.S. Для тех кто не понял, поясняю. С точки зрения рос. законодательства до сих пор у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.

Немного уточню:

- ГОСТ`овское крипто нужно только госструктурам и тем кто с ними обменивается инфой по оговоренным регламентам;
- для написания криптозащиты ГОСТ или не ГОСТ - вопрос девятый: можно и на AES`е проехаться, главное иметь лицензию на разработку (ну и с учётом предыдущего будет ограничение на сбыт);
- сертификация, равно как и лицензирование, требуются лишь для того, чтобы сами писАть крипто и/или потом барыжить им;
- та же фигня с лицензированием на оказание услуг по защите информации - нужно только если рубишь на это бабосы;

Т.е. физло и негосударственное юрло может невозбранно использовать для себя любимых ЛЮБУЮ криптографию - а может даже и не только использовать готовую, но и налабать на коленке СЕБЕ что-то своё (а не на продажу).

В этой связи мне интересно - вот это высказывание Дмитрия Кузнецова:

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях»

нарочно составлено так, что можно подумать, будто бы любое физло или юрло можно тащить на съезжую за какой-нибудь TrueCrypt на их компе/серваке?

Или это просто неряшливость в формулировках?

Т.е. гражданин директор по методологии и стандартизации Positive Technologies подлец, дурак или пустомеля?

С уважением.

P.S. С тем, что
Уточнят. Да так, что мало не покажется.
поспорить трудно - с "них" станется. И крипто "несертифицированное" запретить для ВСЕХ, и что угодно ещё... :((((

[anonim-legion.livejournal.com]

Вот не каркали бы вы, вместе с топикстартером.

[de_nada]

Да тут каркай не каркай, а поезд ушёл... :(

Новая редакция статьи 13.6 КоАП, вступающая в силу с 20.07.2016, гласит:

1. Использование в сетях связи несертифицированных средств связи, если законодательством предусмотрена их обязательная сертификация, влечет наложение административного штрафа:

- на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой;
- на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой;
- на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.

Плюс пункт из поручения презика:
3. ФСБ России утвердить порядок сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, определив перечень средств, подлежащих сертификации

Ну теперь трёхходовочка:

- ватсаппам-телеграммам велят принести в ФCБ "ключи" (ну или провертеть для них бэкдор, если такие, как Д.К. проконсультируют поглубже);
- граждане используют упомянутые мессенджеры, владельцы которых дружно забили на предыдущий пункт;
- менты (фейсы, "э"-шники, etc.) штрафуют гражданина с ватсаппом и конфискуют его смарт-ноут-десктоп.

В "интересные времена" живём, товарищи...

С уважением.

[anonim-legion.livejournal.com]

Мне больше интересно про ssh и RDP.

>если законодательством предусмотрена их обязательная сертификация

Подлежат ли ssh и RDP обязательной сертификации? А корпоративный pptp?

[golosptic.livejournal.com]

Нет, это у Вас неточное понимание ситуации.
"Какой-нибудь TrueCrypt" не является средством шифрования с т.з. закона.
Кузнецов, хотя и глумится над читателем, но, строго говоря, прав.

[de_nada]

Семантика и логика не дают с Вами согласиться. :)

>эксперт пояснил, что

под средствами шифрования подразумевается любая программа, которая в качестве защиты использует шифрование данных.

Т.е. ТС с его т.з. тоже средство шифрования... только НЕ прошедшее " сертификацию в аккредитованных ФСБ испытательных лабораториях".

Соответственно - если исходить из его посыла, что "оборот" таких программ ограничен, а "коммерческое" (вот кстати дивный "резиновый" термин, годный на многое!) их использование требует лицензии(!) ФCБ - любой обычный ТС-юзер будет нарушителем закона в его, Д.К., понимании.

С уважением.

[golosptic.livejournal.com]

Не надо со мной соглашаться, если не хотите. Но перечитайте еще раз текст.

[de_nada]

>Но перечитайте еще раз текст.

Дык я ж как раз строго по тексту! :)

Вот буду очень признателен, если не просто посоветуете "перечитать текст", а конкретно процитируете тот его кусок, который Вы полагаете существенным для Вашей точки зрения.
Иначе это как-то не алё получается... :)))

С уважением.

[golosptic.livejournal.com]

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях», — уточнил эксперт.

Т.е. вывод из его слов (строго в соответствии с законом и правоприменительной практикой) - нет соответствия требованиям ФСБ по сертификации - значит это не шифрование, а какое-то иное преобразование данных.

[de_nada]

Вот хоть убей - ну не выходит такой Ваш вывод из процитированного.

Ну нет там нигде сцепки "нет сертификации - значит не шифрование", тут Вы просто додумываете, как мне кажется.

По правилам русского языка и логики Д.К. определяет, что "под средствами шифрования подразумевается ЛЮБАЯ программа, которая в качестве защиты использует шифрование данных".

Всё! С этого момента и ТС, и ВинРАР, и любая другая программа, использующая шифрование, есть "средство шифрования".

И далее он говорит, что
а) "коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ"

б) "сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях

Заметьте - Д.К. ничего не говорит о том, что ЕСЛИ программа "пройдёт сертификацию ФСБ", то она средство шифрования (а если НЕ пройдёт - то не средство шифрования)".
В обоих утверждениях все эти программы уже именуются "средствами шифрования" просто по факту наличия у них криптофункционала - а лицензия и сертифицирование выставляются условием "легальности" их, программ использования, а не критерием того, что программа является "средством шифрования".

Отсюда "линия защиты" на основе отсутствия у того же ТС "сертификата" ФCБ представляется мне несостоятельной.

С уважением.

[golosptic.livejournal.com]

Ну нет там нигде сцепки "нет сертификации - значит не шифрование", тут Вы просто додумываете, как мне кажется.
Эта сцепка понятна тем, кто знает нормативную базу.
Сотрудник Positive её знает вообще-то заведомо, версия что он лох просто не может всерьёз обсуждаться.

Поэтому для тех, кому понятно - выходит весёлый глум, а все прочие смеются над тем, какой он дебил.

Отсюда "линия защиты" на основе отсутствия у того же ТС "сертификата" ФCБ представляется мне несостоятельной.
Если быть точным, то есть три варианта

1) Соответствие установленным нормативными актами алгоритмам и наличие сертификата - средство шифрования

2) Соответствие установленным нормативными актами алгоритмам и отсутствие сертификата - незаконный оборот средства шифрования

3) Несоответствие установленным нормативными актами алгоритмам и невозможность в связи с этим сертификации by design - не средство шифрования.

Юмор в том месте, что большинство читателей не понимают разницы между пп 2 и 3.

[de_nada]

Ну я не скажу, что прям наизусть знаю всю нормативку, но по роду деятельности за темой слежу - оттого и недоумение, что не припоминаю НПА, в котором бы русским по-белому подтверждалось бы Ваше утверждение, мол, "без сертификата - не крипто" и за него не поругают.
Если знаете, что это за НПА - поделитесь, пожалуйста.

С уважением.

P.S. И вот это - "незаконный оборот средства шифрования" - тоже как-то нефеншуйно звучит "в общем виде". Подозреваю, что речь идёт о "разработке/продаже за бабло без лицензии-сертификации", но выглядит прямой аллюзией на "незаконный оборот" наркотиков или оружия.
"Неаккуратненько!(с)"

[m-antsemitcer.livejournal.com]

Теперь в России WinRaR запретят.

[qkowlew.livejournal.com]

Я лично полагаю (и зовите меня параноиком), что мониторинг соцсетей в "поисках полезной информации по уточнению формулировок" некоторыми структурами уже ведётся, и "мы сами" действительно, своими руками по клавиатуре уже не один раз подкинули ряд "а это идей". Реализация их, конечно, сильно замедлена (ибо бюрократический аппарат пока ещё остаётся бумагокровным), но...

[nivanych.livejournal.com]

Какой бюрократический аппарат помешает условной Яровой выдвинуть ещё поправочки, скажем, завтра?
Через какое время их приняли после выдвижения?

[blackyblack.livejournal.com]

Тут коллеги интересуются, в случае применения ассиметричного ширования, нужно в КГБ открытый и закрытый ключ нести?

[nivanych.livejournal.com]

Во-первых, как написал автор поста (прочитайте, интересно), это пока касается только сертифицированного.
Во-вторых, в поправках формулировка не говорит про "открытый-закрытый", а про информацию, необходимую для расшифровки.
В-третьих, любому человеку, изучившеву основы криптографии, очевидно, что в целом ряде случаев, эту информацию провайдер/хостер физически предоставить не сможет. Что с ними за это будет, не знаю. Видимо, будут штрафовать и подталкивать к большим ограничениям. А мож и сами "скажут", что всё это незаконно.

[blackyblack.livejournal.com]

Хоть и грубо, но справедливо. :)

[anonim-legion.livejournal.com]

Я думаю, что открытого хватит. Пусть из него генерируют закрытый. Хоть это и сложная задача, но думаю, россиянские ученые, под руководством академика Кадырова - справятся.

[(Anonymous)]

По поводу шифрования. Никто ничего уточнять не будет. Очевидно, что целью этого всего является получение доступа к зашифрованной переписке, а не к использованию винрара или ТС. Все уже продумано на пару шагов.
Следующим шагом просто обяжут операторов распространения информации (чему несказанно обрадуется гроссен четверка) блокировать работу приложений, позволяющих гражданам РФ использовать средства шифрования, не прошедшие сертификацию. Т.е. у себя на компьютере вы будете использовать что угодно, но передать это что угодно через российского оператора- это вряд ли.
Меня больше удивляет, почему вдруг все решили, что информацию о фактах отправки сообщений, етс, а также к архивным массивам переписки/голоса, они будут получать "без решения суда". Решение суда всегда было слабеньким, но хоть каким-то ограничителем беспредела.

[golosptic.livejournal.com]

Будут, потому что смогут.

[nivanych.livejournal.com]

> у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.

Троллинг с их стороны очень OK.
Я вот попался.