Криптография и российское законодательство

В Литературе разместил интересную статью, близкую теме нашего обсуждения. Рекомендую ознакомиться.
http://www.pgpru.com/articles/isrevolt.htm

Добавлено:

Кроме того, раздел Литература дополнен законодательными актами, в той или иной мере регламентирующими использование средств ИБ. Поэтому всем участникам дискуссии, заинтересованным в детальных ответах относительно легитимности применения данных средств, настоятельно советую внимательно изучить эти документы.

Спасибо, SATtva! Статья относительно законодательства весьма интересна! Как говорится, свой взгляд автора. Я же скажу, что в нашей стране государственная сертификация криптосистемы, особенно от отечественных производителей – по существу равняется её дискредитации (или компрометации) в глазах частных лиц и мелких предпринимателей. И чем сильнее будут насаждаться на государственном уровне отечественные криптосистемы – тем более активным будет противодействие. Тем более, что ни о каких открытых исходниках речи не идёт, как я понял?

И ещё, напомните-ка, кажется криптоалгоритм ГОСТ – до сих пор не считается официально полностью открытым?
[quote:fe5c02dbfd="Алгоритм шифрования ГОСТ 28147-89, его использование и реализация
для компьютеров платформы Intel x86. Андрей Винокуров (avin@chat.ru)"]"...согласно установленному порядку, для шифрования информации, имеющей гриф, должны быть использованы ключевые данные, полученные от уполномоченной организации."
]>
Т.е. доступно описание собственно криптоалгоритма, но генерация ключей для него не стандартизована, и открытых данных насчёт "слабых" ключей этого криптоалгоритма – нет?

Ушк, о пространствах слабых ключей в ГОСТ мне неизвестно, насколько знаю, таковых нет. Алгоритм полностью открыт и опубликован, собственно, в ГОСТе No 28147-89. Дизайн его весьма прост, основан на сети Файстеля, не помню никаких тёмных мест, в которые гэбисты могли теоретически упрятать лазейку. Так или иначе, подобные подозрения равносильны сомнениям в надёжности, допустим, DES, ведь к его разработке американское АНБ руку приложило (авторские узлы замены они полностью пересмотрели; впоследствии оказалось, что с целью противодействия дифференциальному криптоанализу — методу, который АНБ изобрело за несколько лет до Шамира), SHA1 вообще детище АНБ...

В приведённой Вами цитате, однако, речь идёт о том, что если конкретная реализация ГОСТа предназначена для шифрования информации, отнесённой к гос. тайне, то криптографические ключи должны быть получены от "уполномоченной организации" (с лета 2003-го это ФСБ). Такой порядок предусмотрен для цели депонирования ключей. По-моему, всё абсолютно справедливо.

Насколько я понимаю из ваших слов я, как физическое лицо, могу совершенно законно использовать PGP для защиты всоей корреспонденции?
А как насчет противоположных заявлений типа: http://pgp2all.org.ru/pravo.html?

Заявлять можно всё, что угодно, только положения вещей это не изменит. Я бы поостерёгся приводить в качестве аргумента пресловутый Указ Президента №334 от 03.04.95 по причинам чисто юридическим.

П. 4 названного Указа запрещает деятельность юридических и физических лиц по эксплуатации СКЗИ без лицензии, выданной ФАПСИ при Президенте РФ. В соответствии с п. 1 ст. 1 Федерального закона "О лицензировании отдельных видов деятельности" от 08.08.2001, "закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального закона". В то же время перечень лицензируемых на территории РФ видов деятельности, предусмотренный п. 1 ст. 17, не включает положения о лицензировании деятельности, связанной с эксплуатацией СКЗИ. Это раз.

УК не предусматривает наказания за эксплуатацию несертифицированных СКЗИ. Это два.

С КоАП ответ не столь очевиден. Согласно п. 2 ст. 13.12 КоАП от 30.12.2001, "использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от пяти до десяти МРОТ с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от десяти до двадцати МРОТ; на юридических лиц – от ста до двухсот МРОТ с конфискацией несертифицированных средств защиты информации или без таковой". В то же время, п. 1 положения "О сертификации средств защиты информации", утверждённого постановлением Правительства РФ №509 от 23.04.96, гласит: "Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации". С точки зрения данного положения PGP и иные СКЗИ, не предназначенные для защиты сведений, составляющих государственную тайну РФ, выходят из-под требований обязательной сертификации, благодаря чему административная ответственность за их эксплуатацию невозможна. Это три.

О судебных прецедентах возложения ответственности на юридических или физических лиц за эксплуатацию несертифицированных СКЗИ в РФ мне неизвестно. Это четыре.

Ушк:
Третий вариант – разделение ключей, возможно в некоторых случаях и весьма неплох, но совершенно не подходит, как мне кажется, для большинства применений. Конечно, когда альтернативы нет – придётся терпеть неудобства, но всё равно область возможного применения – достаточно узка. Здесь никто из владельцев ключей не обладает полным контролем над информацией, содержащейся в контейнере. Контейнер получается как неуничтожимая для одного человека свинья-копилка, в которую можно что-то положить, но нельзя потом этим самому воспользоваться.

ничто не мешает нам эту удаленную часть ключика знать здесь
и пользоваться копилкой в обе стороны.

Здравствуйте.
На странице http://netz.narod.ru/articles/pgp.html прочитал следующую фразу -" В России применение любой системы шифрования (формально даже архивирование!) требует лицензирования". Откуда у автора такие данные?

Может лучше автора о том и спросить? Заблуждение — не порок, вооще-то...

Скажите, в РФ сертифицирована система S/MIME, которую можно применять с Outlook, получив сертификат формата X.509?

S/MIME — это стандарт MIME-форматирования сообщений, содержащих криптографированные данные. Стандарт не описывает ничего иного, кроме порядка формирования таких сообщений и режимов использования стандартных алгоритмов. Сертифицировать стандарт нельзя; можно только само программное средство, реализующее криптографические функции, т.е. Outlook, например, или, если более точно, системную библиотеку MS CryptoAPI, которую используют все программы MS для проведения криптографических вычислений. CryptoAPI сертификата ФСБ не имеет и вряд ли когда-нибудь получит: наша система сертификации и предъявляемые к сертифицируемым средствам требования столь сложны, что ни одно ПО общего назначения не имеет подобных сертификатов соответствия.

Тема скончалась раньше, чем правоверы изменили границы истолкования "правовой базы"
Как говорил широко известный в узких кругах помощник прокурора, читая постановление правительства, фуфло, какое-то! Профессионал. Знает, где работает.

— А сколько дивизий у папы римского? — внезапно прервал Сталин рассуждения Черчилля.

"Страшно подумать", сколько дивизий у педофилов. SATtva, а Вы любите детей?