В документе по ссылке http://www.cisco.com/web/RU/downloads/Crypto_FAQ.pdf
есть следующее.
"В24. Если я предоставляю доступ к своей корпоративной сети своим клиентам
или партнерам с помощью VPN-решений, то должен ли я получать
лицензию на данный вид деятельности? Важно ли, что я оказываю такую
услугу на безвозмездной основе?
О24. В связи с тем, что Федеральным законом от 8 августа 2001 года № 128-ФЗ
«О лицензировании отдельных видов деятельности» оказание услуг по
шифрованию информации отнесено к лицензируемым видам деятельности, то
получение лицензии в данном случае обязательно. Форма предоставления
услуги значения не имеет."

Значит ли это, что все виды передачи шифрованных данных (навскидку: TOR, SSL, SSH, VPN и множество других) не подвергшиеся лицензированию являются противозаконными?

Последствия положительного ответа боюсь себе представить :(

То есть, выходит достаточно определить наличие шифрованных данных в трафике, чтобы наехать на ЛЮБОГО из нас по полной.

Это серъёзный вопрос и серъёзная проблема.

Комментарии
— SATtva (14/02/2008 16:56)   
Tor — серая зона, Tor-узел на самом деле можно отнести к провайдеру услуг связи и обязать его деятельность лицензировать (причём вменят не только лицензию ФСБ, но и Минсвязи на услуги связи и телематические службы); примерно это происходит сейчас в Германии в связи с хранением логов. Ситуация с VPN зависит от конкретной области применения; если это не VPN для "внутреннего применения" (когда не Вы сами являетесь потребителем услуги), то лицензия однозначно нужна. SSL — не в тему, это компонент ОС, всё, что связано с ним, не подлежит лицензированию. То же самое с SSH: мне трудно представить, что Вы станете предоставлять удалённый доступ к своему шеллу третьим лицам.

Это правовая сторона. "Реальная" сторона заключается в том, что просто так никто ни на кого наезжать не станет. Но при случае (особенно если Tor-узел функционирует на площадке юр. лица) — это замечательный повод.
— unknown (14/02/2008 18:12)   
Что это за провайдер такой, к которому надо подключаться по Интернету?
— mellon (14/02/2008 18:33, исправлен 14/02/2008 18:37)   
Понятно, тогда перейдем к обще-практической части интересной многим.
1. Может ли администратор предоставить защищённый доступ в сеть сторонним консультантам? Причем договор о консультировании является устным.
2. Подлежит ли лицензированию создание защищённой сети между физическими лицами?
3. Подлежит ли лицензированию создание защищённой сети, если в такую сеть включается сеть (часть сети) предприятия?
Под защищённой сетью подразумеваются как vpn так и p2p сети.
В 1 и 3 случаях на предприятии оффициально не регламентирован режим коммерческой тайны.
— Paran0ik (14/02/2008 18:50)   
лицензию должен получать тот, кто предоставляет услугу, я же ее использую, юзая тот же тор, так что претензий ко мне не должно быть. так же?
— SATtva (14/02/2008 18:57)   
Tor — серая зона

Кстати, та же беда и с беспроводными точками доступа. Исходя из буквы закона, это услуга передачи данных, подлежащая лицензированию. То, что "милиционер Вася" пока не ходит по кофейням и ресторанам, спрашивая лицензию на точку WiFi, пока можно объяснить либо безграмотностью Васи, либо более очевидными и простыми способами (и более соответствующими политической конъюнктуре — стремлению страны в ВТО) повышения раскрываемости с помощью пресечения "перацтва".

Также неоднозначна ситуация с WiFi-точками, открываемыми физ. лицами, и это, кстати, ближе к специфике Tor'а. Хотя в России это не так распространено, как на Западе (в силу малого числа "плоских" тарифов с широкими каналами), и зачастую явно запрещено клиентским договором с провайдером. Физ. лицо не может выступать лицензиатом услуг связи.

Что это за провайдер такой, к которому надо подключаться по Интернету?

Это нерелевантно. Хостинг-провайдер тоже обязан получать лицензию Минсвязи, хотя и к нему по определению подключаются через интернет.

mellon, Вы не совсем корректно формулируете свои вопросы. Задавая вопрос юристу, никогда не спрашивайте "законно ли это?"; спрашивайте "что мне будет, если сделать так или так?". Вот ответы в контексте "что за это будет":

  1. Может.
  2. Нет, физ. лицо не может получить лицензию.
  3. Нет, это использование в личных целях.

В 1 и 3 случаях на предприятии официально не регламентирован режим коммерческой тайны.

Это не принципиально.

лицензию должен получать тот, кто предоставляет услугу, я же ее использую, юзая тот же тор, так что претензий ко мне не должно быть. так же?

Всё так. Скользкий момент в том, можно ли запустить Tor-узел в РФ без риска правового преследования.
— Paran0ik (14/02/2008 19:09)   
SATtva, насчет точек WiFi вы путаете, уже давно не надо получать лицензию на него, если его зона покрытия не выходит за пределы жилого помещения или офиса..для размещения WiFi на улицах уже нужна лицензия...
— mellon (14/02/2008 19:21)   
unknown, причем здесь internet-провайдер?

Просто хотелось бы знать, чем грозит параноикам строительство и обьединение защищенных сетей по личной инициативе, как со стороны предприятия, так и физических лиц.

Допустим, некто решил обьеденить защищенной сетью нескольких своих друзей и несколько предприятий причастных к ним.

И я не понял насчет SSL. SATtva, openSSL позволяет создавать защищенные туннели, это во первых, и он является таким же компонентом ОС как и openVPN, ssh, tor... Да, и что подразумевается под ОС в этом случае: видовз, линукс, солярис, ОС имени Пупкмна?

Здесь не только Tor, но и ssh-серверы, и туннелирование, p2p сети такие как freenet, где каждый предоставляет услуги. и jabber-сервера предоставляющие возможность зашифрованного общения, почтовые серверы... *nix предоставляет самые легкие и доступные средства превращения в самодостаточного хостера, вот и интересно, чем такое грозит.

SATtva, спасибо за ответы, они более чем доходчивы, благодарю :)
— SATtva (14/02/2008 19:41)   
SATtva, насчет точек WiFi вы путаете, уже давно не надо получать лицензию на него, если его зона покрытия не выходит за пределы жилого помещения или офиса..для размещения WiFi на улицах уже нужна лицензия...

Не путаю, я не говорю об обычной WiFi-точке, которой Вы пользуетесь в офисе или дома, это самоочевидный вопрос (ну, мне так казалось). Я конкретно о точках общего доступа; неспроста упомянул там про кафе и рестораны.

SATtva, openSSL позволяет создавать защищенные туннели, это во первых

Т.е. virtual private networks; на это я ответил: "Ситуация с VPN зависит от конкретной области применения". Какой для VPN применяется протокол — вопрос второстепенный. Отвечая про SSL выше, я думал, что Вы имеете в виду веб-сайты с SSL-защитой.

Да, и что подразумевается под ОС в этом случае: видовз, линукс, солярис, ОС имени Пупкмна?

Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств[link1], п. 1.б:

Настоящее Положение не распространяется на деятельность по
распространению ... шифровальных (криптографических) средств, являющихся компонентами ... программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;

Думайте сами, решайте сами...
Гость (14/02/2008 19:48)   
Вот тоже возникли вопросы:

Каков критерий отличия криптографического преобразования информации от некриптографического.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Скачивание по сети считается ли "ввозом"?

Предоставление возможности скачать считается ли "распространением"? А простановка ссылки? А упоминание?

Консультации в области шифрования информации считаются ли предоставлением услуг в этой области?

Изменивший криптографические возможности ОС Linux продолжает считаться пользователем? А Windows?

Является ли техническая документация на криптографические возможности ОС Windows доступной, в том числе и для проверки?

Можно ли без лицензирования в ФСБ установить на смартфон Skype, обладающий функциями сквозного шифрования? А на компьютер?

Если я скачал файл по просьбе друга – я лицензиат услуг связи?
— Paran0ik (14/02/2008 19:53)   
SATtva, ну эти точки WiFi же принадлежат конкретному провайдеру у которого есть лицензия, в чем тогда проблема я не понимаю...

ЦП и РЧ ГУ ГСН РФ выдает "Разрешение на использование радиочастот", которое утверждает частотно-территориальный план объекта связи и его основные технические характеристики и является основанием для выдачи "Разрешения ГУ ГСН РФ на приобретение РЭС" для конечного пользователя.
После получения разрешения на приобретение РЭС в органах местного Госсвязьнадзора и закупки РЭС проводится монтаж, а затем экспертиза объекта связи. В соответствии с результатами экспертизы объекта связи выдается разрешение на использование РЭС.
http://lans.kirov.ru/index.php? Mod=faq#9a[link2]


т.е. все эти точки в кафе и ресторанах с властями согласованы..может и по-левому, т.к. что там проверять хз, но все же...
— SATtva (14/02/2008 20:21, исправлен 14/02/2008 20:28)   
SATtva, ну эти точки WiFi же принадлежат конкретному провайдеру у которого есть лицензия, в чем тогда проблема я не понимаю...

Если таков договор (кафе просто предоставляет помещение для размещения провайдерской точки доступа), то проблем нет. Проблема возникает тогда, когда кафе (или обычное физ. лицо) заключает договор с провайдером, а потом подключает к провайдерскому проводу свою точку и открывает её для свободного доступа, само по факту становясь нелицензированным провайдером.

Каков критерий отличия криптографического преобразования информации от некриптографического.

Детерминированный алгоритм плюс ключ преобразования.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Если это юр. лицо, стать сотрудником (входить в официальный штат, на мой взгляд, не обязательно). Если физ. лицо, стать этим физ. лицом. :-)

Скачивание по сети считается ли "ввозом"?

Ну да, продукт ведь попадает на таможенную территорию РФ. Лучше не задумывайтесь над таким вопросом, а то резко поплохеет. :-)

Предоставление возможности скачать считается ли "распространением"? А простановка ссылки? А упоминание?

Отвечу на примере (это скорее моё личное мнение, оно может не совпадать с мнением законодателя, тем более, что данный вопрос едва урегулирован на законодательном уровне). Если разместить на этом сайте копию программы и повесить здесь же ссылку на неё — это распространение. Если на другом сайте поставить ссылку на файл, размещённый на этом сайте, — это не распространение.

Консультации в области шифрования информации считаются ли предоставлением услуг в этой области?

К счастью для меня, не является. ;-)

Изменивший криптографические возможности ОС Linux продолжает считаться пользователем? А Windows?

Очень хороший вопрос. :-) К сожалению, независимо от моего ответа на него, конечную точку в нём сможет поставить только наш "самый гуманный", но жутко безграмотный в технических вопросах суд. Так что от ответа я просто воздержусь.

Является ли техническая документация на криптографические возможности ОС Windows доступной, в том числе и для проверки?

ФСБ, по крайней мере, её читало. Наверное, текст Положений следовало переформулировать так: "...документация на которые является доступной, в том числе для проверки ФСБ". :-)

Можно ли без лицензирования в ФСБ установить на смартфон Skype, обладающий функциями сквозного шифрования? А на компьютер?

На компьютер точно можно. На смартфон — тоже. А продавать смартфон с предустановленным Скайпом — скорее всего нет.

Если я скачал файл по просьбе друга – я лицензиат услуг связи?

Лицензиат — лицо, получающее лицензию; лицензиар — сторона, выдающая лицензию. Уточните вопрос, что Вы имели в виду? Если Вы хотели спросить, являетесь ли в таком случае пользователем услуг связи, то да, разумеется, являетесь.
— Paran0ik (14/02/2008 20:36, исправлен 14/02/2008 20:37)   
ФСБ, по крайней мере, её читало

причем вот их выводы по Windiws в общем:
http://pics.livejournal.com/v_alksnis2/pic/000cpw6c
источник, http://v-alksnis2.livejournal.com/88557.html (те кто с траффиком – осторожней :) )
Гость (15/02/2008 16:13)   
SATtva (14/02/2008 18:57)
Физ. лицо не может выступать лицензиатом услуг связи.
Вероятно, вы хотели сказать "лицензиаром"?

Уточните вопрос, что Вы имели в виду?

Я хотел спросить, что такое предоставление услуг связи. Если я просто скачал файл? А если после дал скопировать его товарищу? А если сделал это по его просьбе? А если просьба была до того, как я скачал? А если просьба была в письменной форме (текстовый файл)? А если я напишу скрипт, обрабатывающий эту письменную форму? ... Короче, где тут проходит граница?


Каков критерий отличия криптографического преобразования информации от некриптографического.

Детерминированный алгоритм плюс ключ преобразования.

Тогда встаёт вопрос, что такое ключ? Ключом можно объявить некоторую часть входных данных (например, некоторые параметры функции) и тогда любой алгоритм с непустым входом надо будет считать криптографическим. Вероятно, законодатель имел ввиду что-то другое.

Что нужно сделать, чтобы стать "своим" среди тех, кто использует шифровальные средства "для собственных нужд"?

Если это юр. лицо, стать сотрудником (входить в официальный штат, на мой взгляд, не обязательно)

Вероятно есть какая-нибудь максимально упрощённая форма временного договора. Например "нажимая на кнопку Скачать вы тем самым подтверждаете своё согласие стать нашим сотрудником на время скачивания файла" :)

Скачивание по сети считается ли "ввозом"?

Ну да, продукт ведь попадает на таможенную территорию РФ. Лучше не задумывайтесь над таким вопросом, а то резко поплохеет. :-)
Продукт можно ввозить без лицензии, если он становиться криптографическим только после доработки напильником. То есть исходники качать можно и без лицензии.

Ещё вопрос: если в криптографическом продукте ключ ограничен 39 битами, то лицензировать его не надо. А если шифровать последовательно 5 раз, каждый раз с разными ключами по 39 бит, то для этого нужна лицензия? При этом взять продукт, не оставляющий сигнатур на выходе.
— SATtva (15/02/2008 16:49, исправлен 15/02/2008 16:51)   
Физ. лицо не может выступать лицензиатом услуг связи.

Вероятно, вы хотели сказать "лицензиаром"?

Лицензиат — это лицензеполучатель. Таковым может выступать только юридическое лицо или индивидуальный предприниматель.

Вообще всё, что Вы пишите — это просто жонглирование терминологией. Юридическая практика исходит из того, что если нечто выглядит, как утка, и крякает, как утка, — то это утка, даже если на ярлычке Вы напишите "пингвин".

Я хотел спросить, что такое предоставление услуг связи.

ФЗ "О связи"[link3]:
услуга связи – деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений;
оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии;

Вероятно есть какая-нибудь максимально упрощённая форма временного договора. Например "нажимая на кнопку Скачать вы тем самым подтверждаете своё согласие стать нашим сотрудником на время скачивания файла" :)

Это Вы потом налоговой сказки рассказывать будете. Трудовой договор не может быть заключён в форме оферты.

если в криптографическом продукте ключ ограничен 39 битами, то лицензировать его не надо. А если шифровать последовательно 5 раз, каждый раз с разными ключами по 39 бит, то для этого нужна лицензия? При этом взять продукт, не оставляющий сигнатур на выходе.

40 битами. Вы что с этим продуктом собираетесь делать? Использовать сами? Так используйте на здоровье, лицензия на это не нужна. Продавать? Кто у Вас такую поделку купит? Относительно таких кульбитов с целью обойти лицензионный режим, я не уверен, как на это ФСБ посмотрит. Учитывая, что эти пять "независимых" ключей будут скорее всего храниться в одном ключевом файле или формироваться из одного пароля, они будут расценены как единый ключевой материал... со всеми вытекающими. В 3DES ведь тоже три 56-битовых ключа и сам алгоритм шифрования — простой DES, только никто почему-то не относит 3DES в число "экспортно-свободных" шифров.
Гость (15/02/2008 18:08)   
Проблема возникает тогда, когда кафе (или обычное физ. лицо) заключает договор с провайдером, а потом подключает к провайдерскому проводу свою точку и открывает её для свободного доступа, само по факту становясь нелицензированным провайдером.
Вот я и спрашиваю, где тут граница?
Если я просто скачал файл? А если после дал скопировать его товарищу? А если сделал это по его просьбе? А если просьба была до того, как я скачал? А если просьба была в письменной форме (текстовый файл)? А если я напишу скрипт, обрабатывающий эту письменную форму?


Юридическая практика исходит из того, что если нечто выглядит, как утка, и крякает, как утка, — то это утка, даже если на ярлычке Вы напишите "пингвин".

Про морфинг слышали – берёте изображения утки и пингвина и делаете ряд промежуточных изображений. Так вот эксперимент показывает, что люди, начинающие с разных концов, _одно и то же изображение в середине ряда называют по разному__!

как на это ФСБ посмотрит
Вообще, это лицензирование не перетекло бы плавно от "защиты" к "контролю". Зачем, например, сквозное шифрование лицензировать, а не сквозное не лицензировать? Забота о благе потребителя?
"Реальная" сторона заключается в том, что просто так никто ни на кого наезжать не станет.
Это пока. А вот как начнут вводить "правовое государство"...

Вообще всё, что Вы пишите — это просто жонглирование терминологией.
По моему современная юриспуденция всё больше напоминает корпорацию жонглёров. А в условиях неопределённости базовых понятий это всё попахивает нехилым произволом. Если вопрос о лицензировании шифровального средства зависит от того, будут ли его повторно использовать, а особенно если любое преобразование информации можно посчитать криптографическим...

40 бит
В документе по ссылке написано "менее 40 бит" :)
Гость (15/02/2008 18:50)   
40 битами. Вы что с этим продуктом собираетесь делать?
А если это разделение секрета между несколькими людьми? Например, можно последовательно зашифровать номер счёта, на который будет положена зарплата для всей бригады после исполнения заказа. При этом отсутствие одного человека почти не помешает в результате остальным. И такую фичу вполне можно продавать! А вот надо ли её будет лицензировать?
— SATtva (15/02/2008 19:21)   
А если это разделение секрета между несколькими людьми?

Тогда, полагаю, приложение каждого из пользователей будет использовать самостоятельный 40-битовый ключ, и противоречий с правовой нормой не возникает.

Флэймовые вопросы/реплики оставляю без внимания.
— unknown (15/02/2008 21:54)   
Всё уже давно придумано и опубликовано, а если будет актуально, то ещё придумают.
У Рона Райвиста была пара протоколов, заменяющих шифрование, чтобы обойти законы.

Вот например Chaffing and Winnowing: Confidentiality without Encryption[link4] – подмена шифрования аутентификацией с побитовым перемешиванием данных:


Novel techniques for confidentiality are interesting in part because
of the current debate about cryptographic policy as to whether law
enforcement should be given when authorized surreptitious access to
the plaintext of encrypted messages. The usual technique proposed for
such access is ``key recovery, where law enforcement has a ``back
door
that enables them to recover the decryption key.

Winnowing does not employ encryption, and so does not have a
``decryption key. Thus, the usual arguments in favor of ``key
recovery
don't apply very well for winnowing. As usual, the policy
debate about regulating technology ends up being obsoleted by
technological innovations. Trying to regulate confidentiality by
regulating encryption closes one door and leaves two open
(steganography and winnowing).

Другое его изобретение: архивирование, при котором нельзя извлечь информацию из архива, если изменён хотя бы один бит. Тогда вместо ключа используются коды коррекции ошибок при передаче данных в линиях связи. (Ссылку не найти, так как не помню точно как эта экзотика называется).
— unknown (15/02/2008 22:04)   

Charles' computer, for whatever reason, then adds ``chaff'' packets to
the packet sequence from Alice to Bob. All of sudden, Charles'
activities provide a very high degree of confidentiality for the
communications between Alice and Bob! Alice's and Bob's software have
not been modified in the least to achive this confidentiality!
Charles does not know the secret authentication key used between Alice
and Bob! Alice and Bob did not even want or care to have confidential
communications! Charles is not using encryption and does not know
any encryption key! Amazing!

Clearly, the cause of the confidentiality is Charles's activities, but
Charles has no encryption key or decryption key that he could give to
law enforcement. Alice and Bob share an authentication key, but do
not perform any encryption, and have no encryption or decryption keys.


Откуда берётся красный цвет в цитатах? Я же вроде двойных восклицатльных знаков не использую.
Кстати почитайте Райвиста, очень интересный протокол.
— SATtva (15/02/2008 22:10, исправлен 15/02/2008 22:15)   
По-моему, winnowing — это такая же попытка представить утку пингвином (просто схема создавалась под иную модель угрозы — правовое принуждение к выдаче ключей, а не "принуждению к лицензированию крипто"). Зато идея с отказывающим "архивированием" ближе к делу. Внешне никаких секретов, в качестве ключа можно использовать позиции изменённых битов. Своего рода стеганография.
— mellon (16/02/2008 01:18)   
Возвращаясь к начальному вопросу и не вдаваясь во флейм хотелось бы возвратиться к сути.
Я вот о чем.
Возьмем для примера физическое лицо и либо юридическое лицо либо индивидуального предпринимателя.
Допустим, большая часть трафика является шифрованной и скорее всего передается через vpn а может и tor.
Также допустим, что есть свидетельства, что жертва имеет запущенные сервера ряда сервисов от тора и freenet до почтового и вебе-сервера.
Пример возможен? Да, более чем. У многих организаций есть свои сервера для личных нужд. и многие администраторы дома держат домашние серваки.

Ток вот в чем вопрос. Чем мы защищены от произвольных проверок со стороны кого бы то ни было?
Чем мы защищены от произвольных проверок "по плану", проверок по заинтерисованности и т.д.
Ведь бывает достаточно недоброжелателю дать на лапу соответствующим лицам, или по аналогии с советской эпохой написать кляузу, чтобы эти самые лица зашевелились

Суть в том, чтоб не нагрянули в гости, просто так, "проверить". и унести для "проверки" твоё имущество.
— ntldr (16/02/2008 02:12)   
Защититься от произвола вы можете только имея большие деньги и хорошие связи среди власти. В противном случае вам можно совершенно законно доставить целую кучу неприятностей, и вы с этим ничего не сможете поделать. Таковы реалии нашей страны.
Гость (16/02/2008 17:52)   
Откуда берётся красный цвет в цитатах?

Отпечаток свой видите? Цвет его какой? Вот то-то и оно.
— unknown (16/02/2008 19:33)   
:-)
— SATtva (16/02/2008 21:14)   
Чем мы защищены от произвольных проверок со стороны кого бы то ни было?
Чем мы защищены от произвольных проверок "по плану", проверок по заинтерисованности и т.д.

Пока защищены только бумажной волокитой. А так, в общем-то, ничто не мешает, как отметил ntldr. Ещё раз подчеркну, что наезжать по таким основаниям на частных лиц или на организации (не оказывающие услуг шифрования на коммерческой основе) едва ли станут, если только это не позарез надо (в таких случаях любой повод сгодится, как мы знаем); всё правовое поле в данной сфере слишком нечётко разграничено, без надобности "они" не захотят увязать в этой трясине...

Не совсем по теме, но полезно для общего просвящения: http://www.duralex.org/2008/01.....-za-avtorskie-prava/[link5]

Ссылки
[link1] https://www.pgpru.com/biblioteka/pravo/files?get=licensing-crypto-957.txt

[link2] http://lans.kirov.ru/index.php?mod=faq#9a

[link3] https://www.pgpru.com/biblioteka/pravo/osvjazi/glava1

[link4] http://people.csail.mit.edu/rivest/Chaffing.txt

[link5] http://www.duralex.org/2008/01/24/ocherednaya-svodka-s-poley-bitvyi-za-avtorskie-prava/