В документе по ссылке http://www.cisco.com/web/RU/downloads/Crypto_FAQ.pdf
есть следующее.
"В24. Если я предоставляю доступ к своей корпоративной сети своим клиентам
О24. В связи с тем, что Федеральным законом от 8 августа 2001 года № 128-ФЗ
Значит ли это, что все виды передачи шифрованных данных (навскидку: TOR, SSL, SSH, VPN и множество других) не подвергшиеся лицензированию являются противозаконными?
Последствия положительного ответа боюсь себе представить :(
То есть, выходит достаточно определить наличие шифрованных данных в трафике, чтобы наехать на ЛЮБОГО из нас по полной.
Это серъёзный вопрос и серъёзная проблема.
[link2] http://lans.kirov.ru/index.php?mod=faq#9a
[link3] http://www.pgpru.com/biblioteka/pravo/osvjazi/glava1
[link4] http://people.csail.mit.edu/rivest/Chaffing.txt
[link5] http://www.duralex.org/2008/01/24/ocherednaya-svodka-s-poley-bitvyi-za-avtorskie-prava/
есть следующее.
"В24. Если я предоставляю доступ к своей корпоративной сети своим клиентам
или партнерам с помощью VPN-решений, то должен ли я получать
лицензию на данный вид деятельности? Важно ли, что я оказываю такую
услугу на безвозмездной основе?
лицензию на данный вид деятельности? Важно ли, что я оказываю такую
услугу на безвозмездной основе?
«О лицензировании отдельных видов деятельности» оказание услуг по
шифрованию информации отнесено к лицензируемым видам деятельности, то
получение лицензии в данном случае обязательно. Форма предоставления
услуги значения не имеет."
шифрованию информации отнесено к лицензируемым видам деятельности, то
получение лицензии в данном случае обязательно. Форма предоставления
услуги значения не имеет."
Значит ли это, что все виды передачи шифрованных данных (навскидку: TOR, SSL, SSH, VPN и множество других) не подвергшиеся лицензированию являются противозаконными?
Последствия положительного ответа боюсь себе представить :(
То есть, выходит достаточно определить наличие шифрованных данных в трафике, чтобы наехать на ЛЮБОГО из нас по полной.
Это серъёзный вопрос и серъёзная проблема.
Ссылки
[link1] http://www.pgpru.com/biblioteka/pravo/files?get=licensing-crypto-957.txt
[link2] http://lans.kirov.ru/index.php?mod=faq#9a
[link3] http://www.pgpru.com/biblioteka/pravo/osvjazi/glava1
[link4] http://people.csail.mit.edu/rivest/Chaffing.txt
[link5] http://www.duralex.org/2008/01/24/ocherednaya-svodka-s-poley-bitvyi-za-avtorskie-prava/
Tor — серая зона, Tor-узел на самом деле можно отнести к провайдеру услуг связи и обязать его деятельность лицензировать (причём вменят не только лицензию ФСБ, но и Минсвязи на услуги связи и телематические службы); примерно это происходит сейчас в Германии в связи с хранением логов. Ситуация с VPN зависит от конкретной области применения; если это не VPN для "внутреннего применения" (когда не Вы сами являетесь потребителем услуги), то лицензия однозначно нужна. SSL — не в тему, это компонент ОС, всё, что связано с ним, не подлежит лицензированию. То же самое с SSH: мне трудно представить, что Вы станете предоставлять удалённый доступ к своему шеллу третьим лицам.
Это правовая сторона. "Реальная" сторона заключается в том, что просто так никто ни на кого наезжать не станет. Но при случае (особенно если Tor-узел функционирует на площадке юр. лица) — это замечательный повод.
Что это за провайдер такой, к которому надо подключаться по Интернету?
Понятно, тогда перейдем к обще-практической части интересной многим.
1. Может ли администратор предоставить защищённый доступ в сеть сторонним консультантам? Причем договор о консультировании является устным.
2. Подлежит ли лицензированию создание защищённой сети между физическими лицами?
3. Подлежит ли лицензированию создание защищённой сети, если в такую сеть включается сеть (часть сети) предприятия?
Под защищённой сетью подразумеваются как vpn так и p2p сети.
В 1 и 3 случаях на предприятии оффициально не регламентирован режим коммерческой тайны.
лицензию должен получать тот, кто предоставляет услугу, я же ее использую, юзая тот же тор, так что претензий ко мне не должно быть. так же?
Кстати, та же беда и с беспроводными точками доступа. Исходя из буквы закона, это услуга передачи данных, подлежащая лицензированию. То, что "милиционер Вася" пока не ходит по кофейням и ресторанам, спрашивая лицензию на точку WiFi, пока можно объяснить либо безграмотностью Васи, либо более очевидными и простыми способами (и более соответствующими политической конъюнктуре — стремлению страны в ВТО) повышения раскрываемости с помощью пресечения "перацтва".
Также неоднозначна ситуация с WiFi-точками, открываемыми физ. лицами, и это, кстати, ближе к специфике Tor'а. Хотя в России это не так распространено, как на Западе (в силу малого числа "плоских" тарифов с широкими каналами), и зачастую явно запрещено клиентским договором с провайдером. Физ. лицо не может выступать лицензиатом услуг связи.
Это нерелевантно. Хостинг-провайдер тоже обязан получать лицензию Минсвязи, хотя и к нему по определению подключаются через интернет.
mellon, Вы не совсем корректно формулируете свои вопросы. Задавая вопрос юристу, никогда не спрашивайте "законно ли это?"; спрашивайте "что мне будет, если сделать так или так?". Вот ответы в контексте "что за это будет":
Это не принципиально.
Всё так. Скользкий момент в том, можно ли запустить Tor-узел в РФ без риска правового преследования.
SATtva, насчет точек WiFi вы путаете, уже давно не надо получать лицензию на него, если его зона покрытия не выходит за пределы жилого помещения или офиса..для размещения WiFi на улицах уже нужна лицензия...
unknown, причем здесь internet-провайдер?
Просто хотелось бы знать, чем грозит параноикам строительство и обьединение защищенных сетей по личной инициативе, как со стороны предприятия, так и физических лиц.
Допустим, некто решил обьеденить защищенной сетью нескольких своих друзей и несколько предприятий причастных к ним.
И я не понял насчет SSL. SATtva, openSSL позволяет создавать защищенные туннели, это во первых, и он является таким же компонентом ОС как и openVPN, ssh, tor... Да, и что подразумевается под ОС в этом случае: видовз, линукс, солярис, ОС имени Пупкмна?
Здесь не только Tor, но и ssh-серверы, и туннелирование, p2p сети такие как freenet, где каждый предоставляет услуги. и jabber-сервера предоставляющие возможность зашифрованного общения, почтовые серверы... *nix предоставляет самые легкие и доступные средства превращения в самодостаточного хостера, вот и интересно, чем такое грозит.
SATtva, спасибо за ответы, они более чем доходчивы, благодарю :)
Не путаю, я не говорю об обычной WiFi-точке, которой Вы пользуетесь в офисе или дома, это самоочевидный вопрос (ну, мне так казалось). Я конкретно о точках общего доступа; неспроста упомянул там про кафе и рестораны.
Т.е. virtual private networks; на это я ответил: "Ситуация с VPN зависит от конкретной области применения". Какой для VPN применяется протокол — вопрос второстепенный. Отвечая про SSL выше, я думал, что Вы имеете в виду веб-сайты с SSL-защитой.
Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств[link1], п. 1.б:
Думайте сами, решайте сами...
Вот тоже возникли вопросы:
Каков критерий отличия криптографического преобразования информации от некриптографического.
Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?
Скачивание по сети считается ли "ввозом"?
Предоставление возможности скачать считается ли "распространением"? А простановка ссылки? А упоминание?
Консультации в области шифрования информации считаются ли предоставлением услуг в этой области?
Изменивший криптографические возможности ОС Linux продолжает считаться пользователем? А Windows?
Является ли техническая документация на криптографические возможности ОС Windows доступной, в том числе и для проверки?
Можно ли без лицензирования в ФСБ установить на смартфон Skype, обладающий функциями сквозного шифрования? А на компьютер?
Если я скачал файл по просьбе друга – я лицензиат услуг связи?
SATtva, ну эти точки WiFi же принадлежат конкретному провайдеру у которого есть лицензия, в чем тогда проблема я не понимаю...
т.е. все эти точки в кафе и ресторанах с властями согласованы..может и по-левому, т.к. что там проверять хз, но все же...
Если таков договор (кафе просто предоставляет помещение для размещения провайдерской точки доступа), то проблем нет. Проблема возникает тогда, когда кафе (или обычное физ. лицо) заключает договор с провайдером, а потом подключает к провайдерскому проводу свою точку и открывает её для свободного доступа, само по факту становясь нелицензированным провайдером.
Детерминированный алгоритм плюс ключ преобразования.
Если это юр. лицо, стать сотрудником (входить в официальный штат, на мой взгляд, не обязательно). Если физ. лицо, стать этим физ. лицом. :-)
Ну да, продукт ведь попадает на таможенную территорию РФ. Лучше не задумывайтесь над таким вопросом, а то резко поплохеет. :-)
Отвечу на примере (это скорее моё личное мнение, оно может не совпадать с мнением законодателя, тем более, что данный вопрос едва урегулирован на законодательном уровне). Если разместить на этом сайте копию программы и повесить здесь же ссылку на неё — это распространение. Если на другом сайте поставить ссылку на файл, размещённый на этом сайте, — это не распространение.
К счастью для меня, не является. ;-)
Очень хороший вопрос. :-) К сожалению, независимо от моего ответа на него, конечную точку в нём сможет поставить только наш "самый гуманный", но жутко безграмотный в технических вопросах суд. Так что от ответа я просто воздержусь.
ФСБ, по крайней мере, её читало. Наверное, текст Положений следовало переформулировать так: "...документация на которые является доступной, в том числе для проверки ФСБ". :-)
На компьютер точно можно. На смартфон — тоже. А продавать смартфон с предустановленным Скайпом — скорее всего нет.
Лицензиат — лицо, получающее лицензию; лицензиар — сторона, выдающая лицензию. Уточните вопрос, что Вы имели в виду? Если Вы хотели спросить, являетесь ли в таком случае пользователем услуг связи, то да, разумеется, являетесь.
причем вот их выводы по Windiws в общем:
http://pics.livejournal.com/v_alksnis2/pic/000cpw6c
источник, http://v-alksnis2.livejournal.com/88557.html (те кто с траффиком – осторожней :) )
SATtva (14/02/2008 18:57)
Вероятно, вы хотели сказать "лицензиаром"?
Я хотел спросить, что такое предоставление услуг связи. Если я просто скачал файл? А если после дал скопировать его товарищу? А если сделал это по его просьбе? А если просьба была до того, как я скачал? А если просьба была в письменной форме (текстовый файл)? А если я напишу скрипт, обрабатывающий эту письменную форму? ... Короче, где тут проходит граница?
Тогда встаёт вопрос, что такое ключ? Ключом можно объявить некоторую часть входных данных (например, некоторые параметры функции) и тогда любой алгоритм с непустым входом надо будет считать криптографическим. Вероятно, законодатель имел ввиду что-то другое.
Вероятно есть какая-нибудь максимально упрощённая форма временного договора. Например "нажимая на кнопку Скачать вы тем самым подтверждаете своё согласие стать нашим сотрудником на время скачивания файла" :)
Продукт можно ввозить без лицензии, если он становиться криптографическим только после доработки
напильником. То есть исходники качать можно и без лицензии.Ещё вопрос: если в криптографическом продукте ключ ограничен 39 битами, то лицензировать его не надо. А если шифровать последовательно 5 раз, каждый раз с разными ключами по 39 бит, то для этого нужна лицензия? При этом взять продукт, не оставляющий сигнатур на выходе.
Лицензиат — это лицензеполучатель. Таковым может выступать только юридическое лицо или индивидуальный предприниматель.
Вообще всё, что Вы пишите — это просто жонглирование терминологией. Юридическая практика исходит из того, что если нечто выглядит, как утка, и крякает, как утка, — то это утка, даже если на ярлычке Вы напишите "пингвин".
ФЗ "О связи"[link3]:
Это Вы потом налоговой сказки рассказывать будете. Трудовой договор не может быть заключён в форме оферты.
40 битами. Вы что с этим продуктом собираетесь делать? Использовать сами? Так используйте на здоровье, лицензия на это не нужна. Продавать? Кто у Вас такую поделку купит? Относительно таких кульбитов с целью обойти лицензионный режим, я не уверен, как на это ФСБ посмотрит. Учитывая, что эти пять "независимых" ключей будут скорее всего храниться в одном ключевом файле или формироваться из одного пароля, они будут расценены как единый ключевой материал... со всеми вытекающими. В 3DES ведь тоже три 56-битовых ключа и сам алгоритм шифрования — простой DES, только никто почему-то не относит 3DES в число "экспортно-свободных" шифров.
Вот я и спрашиваю, где тут граница?
Про морфинг слышали – берёте изображения утки и пингвина и делаете ряд промежуточных изображений. Так вот эксперимент показывает, что люди, начинающие с разных концов, _одно и то же изображение в середине ряда называют по разному__!
Вообще, это лицензирование не перетекло бы плавно от "защиты" к "контролю". Зачем, например, сквозное шифрование лицензировать, а не сквозное не лицензировать? Забота о благе потребителя? Это пока. А вот как начнут вводить "правовое государство"...
По моему современная юриспуденция всё больше напоминает корпорацию жонглёров. А в условиях неопределённости базовых понятий это всё попахивает нехилым произволом. Если вопрос о лицензировании шифровального средства зависит от того, будут ли его повторно использовать, а особенно если любое преобразование информации можно посчитать криптографическим...
В документе по ссылке написано "менее 40 бит" :)
А если это разделение секрета между несколькими людьми? Например, можно последовательно зашифровать номер счёта, на который будет положена зарплата для всей бригады после исполнения заказа. При этом отсутствие одного человека почти не помешает в результате остальным. И такую фичу вполне можно продавать! А вот надо ли её будет лицензировать?
Тогда, полагаю, приложение каждого из пользователей будет использовать самостоятельный 40-битовый ключ, и противоречий с правовой нормой не возникает.
Флэймовые вопросы/реплики оставляю без внимания.
Всё уже давно придумано и опубликовано, а если будет актуально, то ещё придумают.
У Рона Райвиста была пара протоколов, заменяющих шифрование, чтобы обойти законы.
Вот например Chaffing and Winnowing: Confidentiality without Encryption[link4] – подмена шифрования аутентификацией с побитовым перемешиванием данных:
Другое его изобретение: архивирование, при котором нельзя извлечь информацию из архива, если изменён хотя бы один бит. Тогда вместо ключа используются коды коррекции ошибок при передаче данных в линиях связи. (Ссылку не найти, так как не помню точно как эта экзотика называется).
Откуда берётся красный цвет в цитатах? Я же вроде двойных восклицатльных знаков не использую.
Кстати почитайте Райвиста, очень интересный протокол.
По-моему, winnowing — это такая же попытка представить утку пингвином (просто схема создавалась под иную модель угрозы — правовое принуждение к выдаче ключей, а не "принуждению к лицензированию крипто"). Зато идея с отказывающим "архивированием" ближе к делу. Внешне никаких секретов, в качестве ключа можно использовать позиции изменённых битов. Своего рода стеганография.
Возвращаясь к начальному вопросу и не вдаваясь во флейм хотелось бы возвратиться к сути.
Я вот о чем.
Возьмем для примера физическое лицо и либо юридическое лицо либо индивидуального предпринимателя.
Допустим, большая часть трафика является шифрованной и скорее всего передается через vpn а может и tor.
Также допустим, что есть свидетельства, что жертва имеет запущенные сервера ряда сервисов от тора и freenet до почтового и вебе-сервера.
Пример возможен? Да, более чем. У многих организаций есть свои сервера для личных нужд. и многие администраторы дома держат домашние серваки.
Ток вот в чем вопрос. Чем мы защищены от произвольных проверок со стороны кого бы то ни было?
Чем мы защищены от произвольных проверок "по плану", проверок по заинтерисованности и т.д.
Ведь бывает достаточно недоброжелателю дать на лапу соответствующим лицам, или по аналогии с советской эпохой написать кляузу, чтобы эти самые лица зашевелились
Суть в том, чтоб не нагрянули в гости, просто так, "проверить". и унести для "проверки" твоё имущество.
Защититься от произвола вы можете только имея большие деньги и хорошие связи среди власти. В противном случае вам можно совершенно законно доставить целую кучу неприятностей, и вы с этим ничего не сможете поделать. Таковы реалии нашей страны.
Отпечаток свой видите? Цвет его какой? Вот то-то и оно.
:-)
Пока защищены только бумажной волокитой. А так, в общем-то, ничто не мешает, как отметил ntldr. Ещё раз подчеркну, что наезжать по таким основаниям на частных лиц или на организации (не оказывающие услуг шифрования на коммерческой основе) едва ли станут, если только это не позарез надо (в таких случаях любой повод сгодится, как мы знаем); всё правовое поле в данной сфере слишком нечётко разграничено, без надобности "они" не захотят увязать в этой трясине...
Не совсем по теме, но полезно для общего просвящения: http://www.duralex.org/2008/01.....-za-avtorskie-prava/[link5]