![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
(no subject)
«Газета.Ru» пообщалась с директором по методологии и стандартизации Positive Technologies Дмитрием Кузнецовым, чтобы прояснить некоторые пункты данного поручения. Так, эксперт пояснил, что
под средствами шифрования подразумевается любая программа, которая в качестве защиты использует шифрование данных.
«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях», — уточнил эксперт.
Вместе с этим IT-специалист Леонид Волков на своей странице в Facebook напомнил, что система сертификации средств шифрования РОСС.RU.0001.030001 в России существует с ноября 1993 года.
Также Дмитрий Кузнецов объяснил, каким образом будет осуществляться передача ключей шифрования.
«Предоставление ключей — это просто предоставление бумажного документа с распечатанными столбиками цифр», — пояснил эксперт.
Он добавил, что требования к средствам шифрования определяют то, как ключ шифрования должен выглядеть в электронном виде, как его распечатать на бумаге и как из распечатки перевести его обратно в электронную форму.
По мнению эксперта, данное требование не вызовет проблем у операторов связи, так как современный ключ шифрования без дополнительных служебных полей имеет длину не более 8 килобайт, чаще всего используются ключи длиной до 2 килобайт, что ничтожно мало по сравнению с размером самих сообщений.
«Технических проблем с хранением и предоставлением ключей у операторов не будет совершенно точно», — заключил специалист.
P.S. Для тех кто не понял, поясняю. С точки зрения рос. законодательства до сих пор у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.
А что сделано по другим алгоритмам и не сертифицировано - так, не средства шифрования, а детское баловство. Требования закона Яровой на такое баловство не распространяются.
Веселиться, впрочем, думаю, не долго. Уточнят. Да так, что мало не покажется.
no subject
>Но перечитайте еще раз текст.
Дык я ж как раз строго по тексту! :)
Вот буду очень признателен, если не просто посоветуете "перечитать текст", а конкретно процитируете тот его кусок, который Вы полагаете существенным для Вашей точки зрения.
Иначе это как-то не алё получается... :)))
С уважением.
no subject
Т.е. вывод из его слов (строго в соответствии с законом и правоприменительной практикой) - нет соответствия требованиям ФСБ по сертификации - значит это не шифрование, а какое-то иное преобразование данных.
no subject
Вот хоть убей - ну не выходит такой Ваш вывод из процитированного.
Ну нет там нигде сцепки "нет сертификации - значит не шифрование", тут Вы просто додумываете, как мне кажется.
По правилам русского языка и логики Д.К. определяет, что "под средствами шифрования подразумевается ЛЮБАЯ программа, которая в качестве защиты использует шифрование данных".
Всё! С этого момента и ТС, и ВинРАР, и любая другая программа, использующая шифрование, есть "средство шифрования".
И далее он говорит, что
а) "коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ"
б) "сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях
Заметьте - Д.К. ничего не говорит о том, что ЕСЛИ программа "пройдёт сертификацию ФСБ", то она средство шифрования (а если НЕ пройдёт - то не средство шифрования)".
В обоих утверждениях все эти программы уже именуются "средствами шифрования" просто по факту наличия у них криптофункционала - а лицензия и сертифицирование выставляются условием "легальности" их, программ использования, а не критерием того, что программа является "средством шифрования".
Отсюда "линия защиты" на основе отсутствия у того же ТС "сертификата" ФCБ представляется мне несостоятельной.
С уважением.
no subject
Эта сцепка понятна тем, кто знает нормативную базу.
Сотрудник Positive её знает вообще-то заведомо, версия что он лох просто не может всерьёз обсуждаться.
Поэтому для тех, кому понятно - выходит весёлый глум, а все прочие смеются над тем, какой он дебил.
Отсюда "линия защиты" на основе отсутствия у того же ТС "сертификата" ФCБ представляется мне несостоятельной.
Если быть точным, то есть три варианта
1) Соответствие установленным нормативными актами алгоритмам и наличие сертификата - средство шифрования
2) Соответствие установленным нормативными актами алгоритмам и отсутствие сертификата - незаконный оборот средства шифрования
3) Несоответствие установленным нормативными актами алгоритмам и невозможность в связи с этим сертификации by design - не средство шифрования.
Юмор в том месте, что большинство читателей не понимают разницы между пп 2 и 3.
no subject
Ну я не скажу, что прям наизусть знаю всю нормативку, но по роду деятельности за темой слежу - оттого и недоумение, что не припоминаю НПА, в котором бы русским по-белому подтверждалось бы Ваше утверждение, мол, "без сертификата - не крипто" и за него не поругают.
Если знаете, что это за НПА - поделитесь, пожалуйста.
С уважением.
P.S. И вот это - "незаконный оборот средства шифрования" - тоже как-то нефеншуйно звучит "в общем виде". Подозреваю, что речь идёт о "разработке/продаже за бабло без лицензии-сертификации", но выглядит прямой аллюзией на "незаконный оборот" наркотиков или оружия.
"Неаккуратненько!(с)"