13.07.2016

История гонений на криптографию в России

В контексте "закона Яровой" мне хотелось бы вспомнить о тех попытках "нагнуть" криптографию в России, которые предпринимались в новейшей отечественной истории. Исторически криптография была уделом спецслужб и они не горели желанием выпускать ее из своих рук. Мало кто уже помнит (да и трудно себе такое представить), но раньше даже книжки про криптографию относились к информации ограниченного доступа. Когда я занимался разработкой СКЗИ в одном московском "ящике" в начале 90-х годов, то мне приходилось ходить в закрытую библиотеку, чтобы получить доступ к определенным материалам. Да что говорить, сам ГОСТ 28147-89 долгое время был с грифом и только спустя годы этот гриф был снят и текст криптографического стандарта стал доступен всем желающим.

Однако перестройка расставила все по своим местам и в коммерцию ринулись сотни выходцев из КГБ, которые стали делиться своим немалым опытом, в том числе и по части криптографии. Стали выходить книжки, в журналах стали публиковаться тексты программ для шифрования по ГОСТу, отдельные счастливчики были обладателями книжки Шнайера "Прикладная криптография". Но несмотря на перемены в политической и экономической жизни страны, спецслужбы по-прежнему не горели желанием выпускать криптографию в свободное плаванье. Надо признать, кстати, что это удел не только российских спецслужб - они одинаковые во всех странах. Достаточно вспомнить известное уголовное дело против автора PGP - Фила Циммерамана, который обвинялся в США в распространении своей криптографической программы в нарушении американского законодательства. Фил тогда поступил очень неожиданно и опубликовал исходники PGP в книжке, которая и распространялась по миру, не являясь нарушением американского законодательства (так что причисление литературы про криптографию к шифровальным средствам было вполне логичным шагом для тех, кто хотел ограничить их распространение).

В 1995-м году вышел пресловутый Указ Президента Ельцина №334, который по сути блокировал распространение гражданской криптографии, вводя ее под жесткий контроль отпочковавшегося от КГБ ФАПСИ, которое спустя некоторое время вновь влилось в основную спецслужбу страны, именуемую нынче ФСБ. Данный указ включал несколько основных положений:
  • Запрет госорганам и предприятиям применять несертифицированные средства шифрования.
  • Запрет банкам применять несертифицированные средства шифрования и заставить Банк России следить за этим запретом.
  • Запрет деятельности юрлиц и физлиц в области разработки, производства, реализации и эксплуатации шифровальных средств без соответствующей лицензии.
  • Запретить ввоз шифровальных средств без соответствующей лицензии на ввоз.
  • Поиск нарушителей данного указа.
  • Усиление прокурорского надзора за соблюдением данного указа.
Надо сказать, что данный Указ не только был реализован, но и до сих пор действующее законодательство опирается на положения данного нормативного акта (пусть и немного в иных формулировках). Единственное, что всегда оставалось под большим вопросом - эксплуатация СКЗИ без лицензии. Если внимательно посмотреть на историю развития законодательства по лицензированию отдельных видов деятельности, то данная тема всегда вызывала, вызывает и, думаю, будет и дальше вызывать вопросы - ФСБ достаточно недвусмысленно дает всегда понять, что по их мнению, применение СКЗИ должно сопровождаться наличием соответствующей лицензии ФСБ. В судах они эту позицию отстаивают не так часто, но с завидной регулярностью озвучивают на различных мероприятиях и в различных официальных ответах.

Но пойдем дальше. 334-й Указ всегда вызывал определенные вопросы, но их острота и градус накала постепенно снижались, особенно после прекращения существования ФАПСИ. Однако желание спецслужб контролировать криптографию на территории России жило и цвело. В 2010-м году в России, учитывая создание Таможенного Союза, были введены новые правила по ввозу средств шифрования. Вообще тема ввоза средств шифрования очень непроста и те, кто с ней незнаком регулярно попадают впросак, в т.ч. и под статьи действующего КоАП. И изменений в этой части не предвидится - даже поручение Президента по либерализации ввоза СКЗИ ФСБ посчитала нецелесообразным. С вывозом шифровальных средств (а любой мобильник или ноутбук к ним относится) ситуация тоже далека от желаемой.

В 2011-м году руководитель 8-го Центра ФСБ заявил о том, что такие сервисы как Skype, Gmail и т.п. представляют угрозу национальной безопасности и организованная преступность, террористы и экстремисты (334-й Указ упоминал только оргпреступность, которая позже уже не упоминалась в качестве мотива ограничений СКЗИ) могут использовать западные сервисы для своих черных дел. Тогда запретить ничего не удалось, но "осадочек остался". Да и проект аналога 334-го указа, но посвежее, тоже успел просочиться в Интернет (но принят не был, столкнувшись с отпором ИТ-отрасли).

В 2014-м году ФСБ выпускает свой 378-й приказ по защите персональных данных, в котором фигурирует требование применения сертифицированных СКЗИ при защите ПДн. А учитывая, что у нас ПДн есть везде и создать изолированную и не имеющую ПДн среду невозможно, то ситуация вновь стала непростой. Регулятор опять дал понять, что он не откажется от идеи перевести всех на сертифицированные рельсы в части СКЗИ.

С 14-го года еще больше усиливается риторика представителей законодательной и исполнительной власти о необходимости более пристального контроля за Интернет, о необходимости бороться с экстремизмом (чтобы ни вкладывалось в этот термин) и терроризмом, о необходимости борьбы с пиратством, о необходимости отказа от анонимности в сети и т.п. И везде криптография является препятствием; имеется ввиду неконтролируемая криптография. Неслучайно в февральском списке поручений Президента тема регулирования криптографии в отечественных сетях связи была выделена особо. Поэтому закономерным стало появление закона Яровой, который с точки зрения криптографии задал новую планку в части запрета применения любых средств/алгоритмов/решений, не имеющих сертификата ФСБ. Обратите внимание - не прошедшими оценку соответствия в установленном порядке, а просто не имеющими сертификата. С сертификацией, как единственной формой оценки соответствия, у нас носится только ФСБ.

Надежды на отмену "закона Яровой" у меня нет (хотя высказать свою позицию все-таки стоит), как и на либерализацию вопросов применения шифровальных средств в России. Учитывая ужесточение подходов к сертификации СКЗИ и отмену сертификации криптобиблиотек картина вырисовывается не очень позитивная. А тут еще накладывается и полная техническая недееспособность депутатов, которые хоть и отказались от идеи запретить UDP в Интернет, но зато утвердили требование отдавать все сеансовые ключи в мессенджерах и иных средствах коммуникаций.


Похоже история наших регуляторов ничему не учит и они хотят наступить на те же грабли, что наступили в США в свое время (и даже не один раз). С терроризмом бороться это сильно не помогло. А вот компетенция людей, которые стали все чаще искать пути обхода ограничений, только выросла. В данном случае предположу, что те, кому есть что скрывать вернутся к старой доброй стеганографии, которая была незаслуженно забыта, но видимо скорь восстанет из пепла.

В 2011-м году я предположил, что ветер переменился и теперь все будет делаться под соусом "национальной безопасности", в том числе и выдавливание западных технологий/продуктов/алгоритмов. Как показали прошедшие 5 лет прогноз оказался верным :-( Остается только надеяться, что ресурсов на всесторонний контроль принятого закона у регуляторов не будет. Но как Дамоклов меч висеть он будет, а уж как рычаг давления на неугодных тем более.

7 коммент.:

Saches комментирует...
Этот комментарий был удален автором.
Saches комментирует...

Алексей,
а не могли бы Вы подсказать, кто цифровую подпись в 63-ФЗ назвал электронной?
И что в ней, собственно, электронного?

Алексей Лукацкий комментирует...

Так electronic signature - общепринятый термин

Saches комментирует...

Это конечно, но смысл как мне кажется разный. Например -
Food and Drug Administration 21 CFR Sec. 11.3 (US federal regulations)
(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.

и таких определений достаточно много
https://en.wikipedia.org/wiki/Electronic_signature

Saches комментирует...

Т.е. biometric signature это electronic signature но не digital signature.

Алексей Лукацкий комментирует...

Ну первично у нас переводили как ЭЦП. Потом сократили до ЭП. Вводить еще один термин "цифровая подпись" врядли будут. Итак полная неразбериха с этим законодательством

Saches комментирует...

К сожалению и не только с этим...