id: Гость   вход   регистрация
текущее время 15:04 28/03/2024
Автор темы: mellon, тема открыта 14/02/2008 16:27 Печать
Категории: приватность, политика, разное, сообщество
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/ФедеральныйЗаконОт8Августа2001ГодаN128-ФЗОЛицензированииОтдельныхВидовДеятельности
создать
просмотр
ссылки

В документе по ссылке filehttp://www.cisco.com/web/RU/downloads/Crypto_FAQ.pdf
есть следующее.
"В24. Если я предоставляю доступ к своей корпоративной сети своим клиентам

или партнерам с помощью VPN-решений, то должен ли я получать
лицензию на данный вид деятельности? Важно ли, что я оказываю такую
услугу на безвозмездной основе?

О24. В связи с тем, что Федеральным законом от 8 августа 2001 года № 128-ФЗ

«О лицензировании отдельных видов деятельности» оказание услуг по
шифрованию информации отнесено к лицензируемым видам деятельности, то
получение лицензии в данном случае обязательно. Форма предоставления
услуги значения не имеет."

Значит ли это, что все виды передачи шифрованных данных (навскидку: TOR, SSL, SSH, VPN и множество других) не подвергшиеся лицензированию являются противозаконными?


Последствия положительного ответа боюсь себе представить :(


То есть, выходит достаточно определить наличие шифрованных данных в трафике, чтобы наехать на ЛЮБОГО из нас по полной.


Это серъёзный вопрос и серъёзная проблема.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (14/02/2008 16:56)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Tor — серая зона, Tor-узел на самом деле можно отнести к провайдеру услуг связи и обязать его деятельность лицензировать (причём вменят не только лицензию ФСБ, но и Минсвязи на услуги связи и телематические службы); примерно это происходит сейчас в Германии в связи с хранением логов. Ситуация с VPN зависит от конкретной области применения; если это не VPN для "внутреннего применения" (когда не Вы сами являетесь потребителем услуги), то лицензия однозначно нужна. SSL — не в тему, это компонент ОС, всё, что связано с ним, не подлежит лицензированию. То же самое с SSH: мне трудно представить, что Вы станете предоставлять удалённый доступ к своему шеллу третьим лицам.

Это правовая сторона. "Реальная" сторона заключается в том, что просто так никто ни на кого наезжать не станет. Но при случае (особенно если Tor-узел функционирует на площадке юр. лица) — это замечательный повод.
— unknown (14/02/2008 18:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Что это за провайдер такой, к которому надо подключаться по Интернету?
— mellon (14/02/2008 18:33, исправлен 14/02/2008 18:37)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68
Понятно, тогда перейдем к обще-практической части интересной многим.
1. Может ли администратор предоставить защищённый доступ в сеть сторонним консультантам? Причем договор о консультировании является устным.
2. Подлежит ли лицензированию создание защищённой сети между физическими лицами?
3. Подлежит ли лицензированию создание защищённой сети, если в такую сеть включается сеть (часть сети) предприятия?
Под защищённой сетью подразумеваются как vpn так и p2p сети.
В 1 и 3 случаях на предприятии оффициально не регламентирован режим коммерческой тайны.
— Paran0ik (14/02/2008 18:50)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
лицензию должен получать тот, кто предоставляет услугу, я же ее использую, юзая тот же тор, так что претензий ко мне не должно быть. так же?
— SATtva (14/02/2008 18:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Tor — серая зона

Кстати, та же беда и с беспроводными точками доступа. Исходя из буквы закона, это услуга передачи данных, подлежащая лицензированию. То, что "милиционер Вася" пока не ходит по кофейням и ресторанам, спрашивая лицензию на точку WiFi, пока можно объяснить либо безграмотностью Васи, либо более очевидными и простыми способами (и более соответствующими политической конъюнктуре — стремлению страны в ВТО) повышения раскрываемости с помощью пресечения "перацтва".

Также неоднозначна ситуация с WiFi-точками, открываемыми физ. лицами, и это, кстати, ближе к специфике Tor'а. Хотя в России это не так распространено, как на Западе (в силу малого числа "плоских" тарифов с широкими каналами), и зачастую явно запрещено клиентским договором с провайдером. Физ. лицо не может выступать лицензиатом услуг связи.

Что это за провайдер такой, к которому надо подключаться по Интернету?

Это нерелевантно. Хостинг-провайдер тоже обязан получать лицензию Минсвязи, хотя и к нему по определению подключаются через интернет.

mellon, Вы не совсем корректно формулируете свои вопросы. Задавая вопрос юристу, никогда не спрашивайте "законно ли это?"; спрашивайте "что мне будет, если сделать так или так?". Вот ответы в контексте "что за это будет":

  1. Может.
  2. Нет, физ. лицо не может получить лицензию.
  3. Нет, это использование в личных целях.

В 1 и 3 случаях на предприятии официально не регламентирован режим коммерческой тайны.

Это не принципиально.

лицензию должен получать тот, кто предоставляет услугу, я же ее использую, юзая тот же тор, так что претензий ко мне не должно быть. так же?

Всё так. Скользкий момент в том, можно ли запустить Tor-узел в РФ без риска правового преследования.
— Paran0ik (14/02/2008 19:09)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
SATtva, насчет точек WiFi вы путаете, уже давно не надо получать лицензию на него, если его зона покрытия не выходит за пределы жилого помещения или офиса..для размещения WiFi на улицах уже нужна лицензия...
— mellon (14/02/2008 19:21)   профиль/связь   <#>
комментариев: 61   документов: 47   редакций: 68
unknown, причем здесь internet-провайдер?

Просто хотелось бы знать, чем грозит параноикам строительство и обьединение защищенных сетей по личной инициативе, как со стороны предприятия, так и физических лиц.

Допустим, некто решил обьеденить защищенной сетью нескольких своих друзей и несколько предприятий причастных к ним.

И я не понял насчет SSL. SATtva, openSSL позволяет создавать защищенные туннели, это во первых, и он является таким же компонентом ОС как и openVPN, ssh, tor... Да, и что подразумевается под ОС в этом случае: видовз, линукс, солярис, ОС имени Пупкмна?

Здесь не только Tor, но и ssh-серверы, и туннелирование, p2p сети такие как freenet, где каждый предоставляет услуги. и jabber-сервера предоставляющие возможность зашифрованного общения, почтовые серверы... *nix предоставляет самые легкие и доступные средства превращения в самодостаточного хостера, вот и интересно, чем такое грозит.

SATtva, спасибо за ответы, они более чем доходчивы, благодарю :)
— SATtva (14/02/2008 19:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
SATtva, насчет точек WiFi вы путаете, уже давно не надо получать лицензию на него, если его зона покрытия не выходит за пределы жилого помещения или офиса..для размещения WiFi на улицах уже нужна лицензия...

Не путаю, я не говорю об обычной WiFi-точке, которой Вы пользуетесь в офисе или дома, это самоочевидный вопрос (ну, мне так казалось). Я конкретно о точках общего доступа; неспроста упомянул там про кафе и рестораны.

SATtva, openSSL позволяет создавать защищенные туннели, это во первых

Т.е. virtual private networks; на это я ответил: "Ситуация с VPN зависит от конкретной области применения". Какой для VPN применяется протокол — вопрос второстепенный. Отвечая про SSL выше, я думал, что Вы имеете в виду веб-сайты с SSL-защитой.

Да, и что подразумевается под ОС в этом случае: видовз, линукс, солярис, ОС имени Пупкмна?

fileПоложение о лицензировании деятельности по распространению шифровальных (криптографических) средств, п. 1.б:

Настоящее Положение не распространяется на деятельность по
распространению ... шифровальных (криптографических) средств, являющихся компонентами ... программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;

Думайте сами, решайте сами...
— Гость (14/02/2008 19:48)   <#>
Вот тоже возникли вопросы:

Каков критерий отличия криптографического преобразования информации от некриптографического.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Скачивание по сети считается ли "ввозом"?

Предоставление возможности скачать считается ли "распространением"? А простановка ссылки? А упоминание?

Консультации в области шифрования информации считаются ли предоставлением услуг в этой области?

Изменивший криптографические возможности ОС Linux продолжает считаться пользователем? А Windows?

Является ли техническая документация на криптографические возможности ОС Windows доступной, в том числе и для проверки?

Можно ли без лицензирования в ФСБ установить на смартфон Skype, обладающий функциями сквозного шифрования? А на компьютер?

Если я скачал файл по просьбе друга – я лицензиат услуг связи?
— Paran0ik (14/02/2008 19:53)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
SATtva, ну эти точки WiFi же принадлежат конкретному провайдеру у которого есть лицензия, в чем тогда проблема я не понимаю...

ЦП и РЧ ГУ ГСН РФ выдает "Разрешение на использование радиочастот", которое утверждает частотно-территориальный план объекта связи и его основные технические характеристики и является основанием для выдачи "Разрешения ГУ ГСН РФ на приобретение РЭС" для конечного пользователя.
После получения разрешения на приобретение РЭС в органах местного Госсвязьнадзора и закупки РЭС проводится монтаж, а затем экспертиза объекта связи. В соответствии с результатами экспертизы объекта связи выдается разрешение на использование РЭС.
http://lans.kirov.ru/index.php? Mod=faq#9a


т.е. все эти точки в кафе и ресторанах с властями согласованы..может и по-левому, т.к. что там проверять хз, но все же...
— SATtva (14/02/2008 20:21, исправлен 14/02/2008 20:28)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
SATtva, ну эти точки WiFi же принадлежат конкретному провайдеру у которого есть лицензия, в чем тогда проблема я не понимаю...

Если таков договор (кафе просто предоставляет помещение для размещения провайдерской точки доступа), то проблем нет. Проблема возникает тогда, когда кафе (или обычное физ. лицо) заключает договор с провайдером, а потом подключает к провайдерскому проводу свою точку и открывает её для свободного доступа, само по факту становясь нелицензированным провайдером.

Каков критерий отличия криптографического преобразования информации от некриптографического.

Детерминированный алгоритм плюс ключ преобразования.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Если это юр. лицо, стать сотрудником (входить в официальный штат, на мой взгляд, не обязательно). Если физ. лицо, стать этим физ. лицом. :-)

Скачивание по сети считается ли "ввозом"?

Ну да, продукт ведь попадает на таможенную территорию РФ. Лучше не задумывайтесь над таким вопросом, а то резко поплохеет. :-)

Предоставление возможности скачать считается ли "распространением"? А простановка ссылки? А упоминание?

Отвечу на примере (это скорее моё личное мнение, оно может не совпадать с мнением законодателя, тем более, что данный вопрос едва урегулирован на законодательном уровне). Если разместить на этом сайте копию программы и повесить здесь же ссылку на неё — это распространение. Если на другом сайте поставить ссылку на файл, размещённый на этом сайте, — это не распространение.

Консультации в области шифрования информации считаются ли предоставлением услуг в этой области?

К счастью для меня, не является. ;-)

Изменивший криптографические возможности ОС Linux продолжает считаться пользователем? А Windows?

Очень хороший вопрос. :-) К сожалению, независимо от моего ответа на него, конечную точку в нём сможет поставить только наш "самый гуманный", но жутко безграмотный в технических вопросах суд. Так что от ответа я просто воздержусь.

Является ли техническая документация на криптографические возможности ОС Windows доступной, в том числе и для проверки?

ФСБ, по крайней мере, её читало. Наверное, текст Положений следовало переформулировать так: "...документация на которые является доступной, в том числе для проверки ФСБ". :-)

Можно ли без лицензирования в ФСБ установить на смартфон Skype, обладающий функциями сквозного шифрования? А на компьютер?

На компьютер точно можно. На смартфон — тоже. А продавать смартфон с предустановленным Скайпом — скорее всего нет.

Если я скачал файл по просьбе друга – я лицензиат услуг связи?

Лицензиат — лицо, получающее лицензию; лицензиар — сторона, выдающая лицензию. Уточните вопрос, что Вы имели в виду? Если Вы хотели спросить, являетесь ли в таком случае пользователем услуг связи, то да, разумеется, являетесь.
— Paran0ik (14/02/2008 20:36, исправлен 14/02/2008 20:37)   профиль/связь   <#>
комментариев: 88   документов: 13   редакций: 3
ФСБ, по крайней мере, её читало

причем вот их выводы по Windiws в общем:
http://pics.livejournal.com/v_alksnis2/pic/000cpw6c
источник, http://v-alksnis2.livejournal.com/88557.html (те кто с траффиком – осторожней :) )
— Гость (15/02/2008 16:13)   <#>
SATtva (14/02/2008 18:57)
Физ. лицо не может выступать лицензиатом услуг связи.
Вероятно, вы хотели сказать "лицензиаром"?

Уточните вопрос, что Вы имели в виду?

Я хотел спросить, что такое предоставление услуг связи. Если я просто скачал файл? А если после дал скопировать его товарищу? А если сделал это по его просьбе? А если просьба была до того, как я скачал? А если просьба была в письменной форме (текстовый файл)? А если я напишу скрипт, обрабатывающий эту письменную форму? ... Короче, где тут проходит граница?


Каков критерий отличия криптографического преобразования информации от некриптографического.

Детерминированный алгоритм плюс ключ преобразования.

Тогда встаёт вопрос, что такое ключ? Ключом можно объявить некоторую часть входных данных (например, некоторые параметры функции) и тогда любой алгоритм с непустым входом надо будет считать криптографическим. Вероятно, законодатель имел ввиду что-то другое.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Если это юр. лицо, стать сотрудником (входить в официальный штат, на мой взгляд, не обязательно)

Вероятно есть какая-нибудь максимально упрощённая форма временного договора. Например "нажимая на кнопку Скачать вы тем самым подтверждаете своё согласие стать нашим сотрудником на время скачивания файла" :)

Скачивание по сети считается ли "ввозом"?

Ну да, продукт ведь попадает на таможенную территорию РФ. Лучше не задумывайтесь над таким вопросом, а то резко поплохеет. :-)
Продукт можно ввозить без лицензии, если он становиться криптографическим только после доработки напильником. То есть исходники качать можно и без лицензии.

Ещё вопрос: если в криптографическом продукте ключ ограничен 39 битами, то лицензировать его не надо. А если шифровать последовательно 5 раз, каждый раз с разными ключами по 39 бит, то для этого нужна лицензия? При этом взять продукт, не оставляющий сигнатур на выходе.
— SATtva (15/02/2008 16:49, исправлен 15/02/2008 16:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Физ. лицо не может выступать лицензиатом услуг связи.

Вероятно, вы хотели сказать "лицензиаром"?

Лицензиат — это лицензеполучатель. Таковым может выступать только юридическое лицо или индивидуальный предприниматель.

Вообще всё, что Вы пишите — это просто жонглирование терминологией. Юридическая практика исходит из того, что если нечто выглядит, как утка, и крякает, как утка, — то это утка, даже если на ярлычке Вы напишите "пингвин".

Я хотел спросить, что такое предоставление услуг связи.

ФЗ "О связи":
услуга связи – деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений;
оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии;

Вероятно есть какая-нибудь максимально упрощённая форма временного договора. Например "нажимая на кнопку Скачать вы тем самым подтверждаете своё согласие стать нашим сотрудником на время скачивания файла" :)

Это Вы потом налоговой сказки рассказывать будете. Трудовой договор не может быть заключён в форме оферты.

если в криптографическом продукте ключ ограничен 39 битами, то лицензировать его не надо. А если шифровать последовательно 5 раз, каждый раз с разными ключами по 39 бит, то для этого нужна лицензия? При этом взять продукт, не оставляющий сигнатур на выходе.

40 битами. Вы что с этим продуктом собираетесь делать? Использовать сами? Так используйте на здоровье, лицензия на это не нужна. Продавать? Кто у Вас такую поделку купит? Относительно таких кульбитов с целью обойти лицензионный режим, я не уверен, как на это ФСБ посмотрит. Учитывая, что эти пять "независимых" ключей будут скорее всего храниться в одном ключевом файле или формироваться из одного пароля, они будут расценены как единый ключевой материал... со всеми вытекающими. В 3DES ведь тоже три 56-битовых ключа и сам алгоритм шифрования — простой DES, только никто почему-то не относит 3DES в число "экспортно-свободных" шифров.
— Гость (15/02/2008 18:08)   <#>
Проблема возникает тогда, когда кафе (или обычное физ. лицо) заключает договор с провайдером, а потом подключает к провайдерскому проводу свою точку и открывает её для свободного доступа, само по факту становясь нелицензированным провайдером.
Вот я и спрашиваю, где тут граница?
Если я просто скачал файл? А если после дал скопировать его товарищу? А если сделал это по его просьбе? А если просьба была до того, как я скачал? А если просьба была в письменной форме (текстовый файл)? А если я напишу скрипт, обрабатывающий эту письменную форму?


Юридическая практика исходит из того, что если нечто выглядит, как утка, и крякает, как утка, — то это утка, даже если на ярлычке Вы напишите "пингвин".

Про морфинг слышали – берёте изображения утки и пингвина и делаете ряд промежуточных изображений. Так вот эксперимент показывает, что люди, начинающие с разных концов, _одно и то же изображение в середине ряда называют по разному__!

как на это ФСБ посмотрит
Вообще, это лицензирование не перетекло бы плавно от "защиты" к "контролю". Зачем, например, сквозное шифрование лицензировать, а не сквозное не лицензировать? Забота о благе потребителя?
"Реальная" сторона заключается в том, что просто так никто ни на кого наезжать не станет.
Это пока. А вот как начнут вводить "правовое государство"...

Вообще всё, что Вы пишите — это просто жонглирование терминологией.
По моему современная юриспуденция всё больше напоминает корпорацию жонглёров. А в условиях неопределённости базовых понятий это всё попахивает нехилым произволом. Если вопрос о лицензировании шифровального средства зависит от того, будут ли его повторно использовать, а особенно если любое преобразование информации можно посчитать криптографическим...

40 бит
В документе по ссылке написано "менее 40 бит" :)
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3