(no subject)

[golosptic]

http://www.gazeta.ru/tech/2016/07/07/8376887/yarovaya.shtml

«Газета.Ru» пообщалась с директором по методологии и стандартизации Positive Technologies Дмитрием Кузнецовым, чтобы прояснить некоторые пункты данного поручения. Так, эксперт пояснил, что

под средствами шифрования подразумевается любая программа, которая в качестве защиты использует шифрование данных.

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях», — уточнил эксперт.

Вместе с этим IT-специалист Леонид Волков на своей странице в Facebook напомнил, что система сертификации средств шифрования РОСС.RU.0001.030001 в России существует с ноября 1993 года.

Также Дмитрий Кузнецов объяснил, каким образом будет осуществляться передача ключей шифрования.

«Предоставление ключей — это просто предоставление бумажного документа с распечатанными столбиками цифр», — пояснил эксперт.

Он добавил, что требования к средствам шифрования определяют то, как ключ шифрования должен выглядеть в электронном виде, как его распечатать на бумаге и как из распечатки перевести его обратно в электронную форму.

По мнению эксперта, данное требование не вызовет проблем у операторов связи, так как современный ключ шифрования без дополнительных служебных полей имеет длину не более 8 килобайт, чаще всего используются ключи длиной до 2 килобайт, что ничтожно мало по сравнению с размером самих сообщений.

«Технических проблем с хранением и предоставлением ключей у операторов не будет совершенно точно», — заключил специалист.

P.S. Для тех кто не понял, поясняю. С точки зрения рос. законодательства до сих пор у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.
А что сделано по другим алгоритмам и не сертифицировано - так, не средства шифрования, а детское баловство. Требования закона Яровой на такое баловство не распространяются.

Веселиться, впрочем, думаю, не долго. Уточнят. Да так, что мало не покажется.

Comments

[de_nada]

>P.S. Для тех кто не понял, поясняю. С точки зрения рос. законодательства до сих пор у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.

Немного уточню:

- ГОСТ`овское крипто нужно только госструктурам и тем кто с ними обменивается инфой по оговоренным регламентам;
- для написания криптозащиты ГОСТ или не ГОСТ - вопрос девятый: можно и на AES`е проехаться, главное иметь лицензию на разработку (ну и с учётом предыдущего будет ограничение на сбыт);
- сертификация, равно как и лицензирование, требуются лишь для того, чтобы сами писАть крипто и/или потом барыжить им;
- та же фигня с лицензированием на оказание услуг по защите информации - нужно только если рубишь на это бабосы;

Т.е. физло и негосударственное юрло может невозбранно использовать для себя любимых ЛЮБУЮ криптографию - а может даже и не только использовать готовую, но и налабать на коленке СЕБЕ что-то своё (а не на продажу).

В этой связи мне интересно - вот это высказывание Дмитрия Кузнецова:

«Средства защиты информации вообще и средства шифрования в частности относятся к продукции, оборот которой в России ограничивается. Это означает, что коммерческое использование таких средств разрешается только при наличии у владельца специального разрешения (лицензии) ФСБ, а сами средства шифрования должны пройти сертификацию в аккредитованных ФСБ испытательных лабораториях»

нарочно составлено так, что можно подумать, будто бы любое физло или юрло можно тащить на съезжую за какой-нибудь TrueCrypt на их компе/серваке?

Или это просто неряшливость в формулировках?

Т.е. гражданин директор по методологии и стандартизации Positive Technologies подлец, дурак или пустомеля?

С уважением.

P.S. С тем, что
Уточнят. Да так, что мало не покажется.
поспорить трудно - с "них" станется. И крипто "несертифицированное" запретить для ВСЕХ, и что угодно ещё... :((((

[qkowlew.livejournal.com]

Я лично полагаю (и зовите меня параноиком), что мониторинг соцсетей в "поисках полезной информации по уточнению формулировок" некоторыми структурами уже ведётся, и "мы сами" действительно, своими руками по клавиатуре уже не один раз подкинули ряд "а это идей". Реализация их, конечно, сильно замедлена (ибо бюрократический аппарат пока ещё остаётся бумагокровным), но...

[blackyblack.livejournal.com]

Тут коллеги интересуются, в случае применения ассиметричного ширования, нужно в КГБ открытый и закрытый ключ нести?

[(Anonymous)]

По поводу шифрования. Никто ничего уточнять не будет. Очевидно, что целью этого всего является получение доступа к зашифрованной переписке, а не к использованию винрара или ТС. Все уже продумано на пару шагов.
Следующим шагом просто обяжут операторов распространения информации (чему несказанно обрадуется гроссен четверка) блокировать работу приложений, позволяющих гражданам РФ использовать средства шифрования, не прошедшие сертификацию. Т.е. у себя на компьютере вы будете использовать что угодно, но передать это что угодно через российского оператора- это вряд ли.
Меня больше удивляет, почему вдруг все решили, что информацию о фактах отправки сообщений, етс, а также к архивным массивам переписки/голоса, они будут получать "без решения суда". Решение суда всегда было слабеньким, но хоть каким-то ограничителем беспредела.

[nivanych.livejournal.com]

> у нас средствами шифрования считается то, что сделано по ГОСТ и сертифицировано органами.

Троллинг с их стороны очень OK.
Я вот попался.