В контексте "закона Яровой" мне хотелось бы вспомнить о тех попытках "нагнуть" криптографию в России, которые предпринимались в новейшей отечественной истории. Исторически криптография была уделом спецслужб и они не горели желанием выпускать ее из своих рук. Мало кто уже помнит (да и трудно себе такое представить), но раньше даже книжки про криптографию относились к информации ограниченного доступа. Когда я занимался разработкой СКЗИ в одном московском "ящике" в начале 90-х годов, то мне приходилось ходить в закрытую библиотеку, чтобы получить доступ к определенным материалам. Да что говорить, сам ГОСТ 28147-89 долгое время был с грифом и только спустя годы этот гриф был снят и текст криптографического стандарта стал доступен всем желающим.
Однако перестройка расставила все по своим местам и в коммерцию ринулись сотни выходцев из КГБ, которые стали делиться своим немалым опытом, в том числе и по части криптографии. Стали выходить книжки, в журналах стали публиковаться тексты программ для шифрования по ГОСТу, отдельные счастливчики были обладателями книжки Шнайера "Прикладная криптография". Но несмотря на перемены в политической и экономической жизни страны, спецслужбы по-прежнему не горели желанием выпускать криптографию в свободное плаванье. Надо признать, кстати, что это удел не только российских спецслужб - они одинаковые во всех странах. Достаточно вспомнить известное уголовное дело против автора PGP - Фила Циммерамана, который обвинялся в США в распространении своей криптографической программы в нарушении американского законодательства. Фил тогда поступил очень неожиданно и опубликовал исходники PGP в книжке, которая и распространялась по миру, не являясь нарушением американского законодательства (так что причисление литературы про криптографию к шифровальным средствам было вполне логичным шагом для тех, кто хотел ограничить их распространение).
В 1995-м году вышел пресловутый Указ Президента Ельцина №334, который по сути блокировал распространение гражданской криптографии, вводя ее под жесткий контроль отпочковавшегося от КГБ ФАПСИ, которое спустя некоторое время вновь влилось в основную спецслужбу страны, именуемую нынче ФСБ. Данный указ включал несколько основных положений:
Но пойдем дальше. 334-й Указ всегда вызывал определенные вопросы, но их острота и градус накала постепенно снижались, особенно после прекращения существования ФАПСИ. Однако желание спецслужб контролировать криптографию на территории России жило и цвело. В 2010-м году в России, учитывая создание Таможенного Союза, были введены новые правила по ввозу средств шифрования. Вообще тема ввоза средств шифрования очень непроста и те, кто с ней незнаком регулярно попадают впросак, в т.ч. и под статьи действующего КоАП. И изменений в этой части не предвидится - даже поручение Президента по либерализации ввоза СКЗИ ФСБ посчитала нецелесообразным. С вывозом шифровальных средств (а любой мобильник или ноутбук к ним относится) ситуация тоже далека от желаемой.
В 2011-м году руководитель 8-го Центра ФСБ заявил о том, что такие сервисы как Skype, Gmail и т.п. представляют угрозу национальной безопасности и организованная преступность, террористы и экстремисты (334-й Указ упоминал только оргпреступность, которая позже уже не упоминалась в качестве мотива ограничений СКЗИ) могут использовать западные сервисы для своих черных дел. Тогда запретить ничего не удалось, но "осадочек остался". Да и проект аналога 334-го указа, но посвежее, тоже успел просочиться в Интернет (но принят не был, столкнувшись с отпором ИТ-отрасли).
В 2014-м году ФСБ выпускает свой 378-й приказ по защите персональных данных, в котором фигурирует требование применения сертифицированных СКЗИ при защите ПДн. А учитывая, что у нас ПДн есть везде и создать изолированную и не имеющую ПДн среду невозможно, то ситуация вновь стала непростой. Регулятор опять дал понять, что он не откажется от идеи перевести всех на сертифицированные рельсы в части СКЗИ.
С 14-го года еще больше усиливается риторика представителей законодательной и исполнительной власти о необходимости более пристального контроля за Интернет, о необходимости бороться с экстремизмом (чтобы ни вкладывалось в этот термин) и терроризмом, о необходимости борьбы с пиратством, о необходимости отказа от анонимности в сети и т.п. И везде криптография является препятствием; имеется ввиду неконтролируемая криптография. Неслучайно в февральском списке поручений Президента тема регулирования криптографии в отечественных сетях связи была выделена особо. Поэтому закономерным стало появление закона Яровой, который с точки зрения криптографии задал новую планку в части запрета применения любых средств/алгоритмов/решений, не имеющих сертификата ФСБ. Обратите внимание - не прошедшими оценку соответствия в установленном порядке, а просто не имеющими сертификата. С сертификацией, как единственной формой оценки соответствия, у нас носится только ФСБ.
Надежды на отмену "закона Яровой" у меня нет (хотя высказать свою позицию все-таки стоит), как и на либерализацию вопросов применения шифровальных средств в России. Учитывая ужесточение подходов к сертификации СКЗИ и отмену сертификации криптобиблиотек картина вырисовывается не очень позитивная. А тут еще накладывается и полная техническая недееспособность депутатов, которые хоть и отказались от идеи запретить UDP в Интернет, но зато утвердили требование отдавать все сеансовые ключи в мессенджерах и иных средствах коммуникаций.
Похоже история наших регуляторов ничему не учит и они хотят наступить на те же грабли, что наступили в США в свое время (и даже не один раз). С терроризмом бороться это сильно не помогло. А вот компетенция людей, которые стали все чаще искать пути обхода ограничений, только выросла. В данном случае предположу, что те, кому есть что скрывать вернутся к старой доброй стеганографии, которая была незаслуженно забыта, но видимо скорь восстанет из пепла.
В 2011-м году я предположил, что ветер переменился и теперь все будет делаться под соусом "национальной безопасности", в том числе и выдавливание западных технологий/продуктов/алгоритмов. Как показали прошедшие 5 лет прогноз оказался верным :-( Остается только надеяться, что ресурсов на всесторонний контроль принятого закона у регуляторов не будет. Но как Дамоклов меч висеть он будет, а уж как рычаг давления на неугодных тем более.
Однако перестройка расставила все по своим местам и в коммерцию ринулись сотни выходцев из КГБ, которые стали делиться своим немалым опытом, в том числе и по части криптографии. Стали выходить книжки, в журналах стали публиковаться тексты программ для шифрования по ГОСТу, отдельные счастливчики были обладателями книжки Шнайера "Прикладная криптография". Но несмотря на перемены в политической и экономической жизни страны, спецслужбы по-прежнему не горели желанием выпускать криптографию в свободное плаванье. Надо признать, кстати, что это удел не только российских спецслужб - они одинаковые во всех странах. Достаточно вспомнить известное уголовное дело против автора PGP - Фила Циммерамана, который обвинялся в США в распространении своей криптографической программы в нарушении американского законодательства. Фил тогда поступил очень неожиданно и опубликовал исходники PGP в книжке, которая и распространялась по миру, не являясь нарушением американского законодательства (так что причисление литературы про криптографию к шифровальным средствам было вполне логичным шагом для тех, кто хотел ограничить их распространение).
В 1995-м году вышел пресловутый Указ Президента Ельцина №334, который по сути блокировал распространение гражданской криптографии, вводя ее под жесткий контроль отпочковавшегося от КГБ ФАПСИ, которое спустя некоторое время вновь влилось в основную спецслужбу страны, именуемую нынче ФСБ. Данный указ включал несколько основных положений:
- Запрет госорганам и предприятиям применять несертифицированные средства шифрования.
- Запрет банкам применять несертифицированные средства шифрования и заставить Банк России следить за этим запретом.
- Запрет деятельности юрлиц и физлиц в области разработки, производства, реализации и эксплуатации шифровальных средств без соответствующей лицензии.
- Запретить ввоз шифровальных средств без соответствующей лицензии на ввоз.
- Поиск нарушителей данного указа.
- Усиление прокурорского надзора за соблюдением данного указа.
Но пойдем дальше. 334-й Указ всегда вызывал определенные вопросы, но их острота и градус накала постепенно снижались, особенно после прекращения существования ФАПСИ. Однако желание спецслужб контролировать криптографию на территории России жило и цвело. В 2010-м году в России, учитывая создание Таможенного Союза, были введены новые правила по ввозу средств шифрования. Вообще тема ввоза средств шифрования очень непроста и те, кто с ней незнаком регулярно попадают впросак, в т.ч. и под статьи действующего КоАП. И изменений в этой части не предвидится - даже поручение Президента по либерализации ввоза СКЗИ ФСБ посчитала нецелесообразным. С вывозом шифровальных средств (а любой мобильник или ноутбук к ним относится) ситуация тоже далека от желаемой.
В 2011-м году руководитель 8-го Центра ФСБ заявил о том, что такие сервисы как Skype, Gmail и т.п. представляют угрозу национальной безопасности и организованная преступность, террористы и экстремисты (334-й Указ упоминал только оргпреступность, которая позже уже не упоминалась в качестве мотива ограничений СКЗИ) могут использовать западные сервисы для своих черных дел. Тогда запретить ничего не удалось, но "осадочек остался". Да и проект аналога 334-го указа, но посвежее, тоже успел просочиться в Интернет (но принят не был, столкнувшись с отпором ИТ-отрасли).
В 2014-м году ФСБ выпускает свой 378-й приказ по защите персональных данных, в котором фигурирует требование применения сертифицированных СКЗИ при защите ПДн. А учитывая, что у нас ПДн есть везде и создать изолированную и не имеющую ПДн среду невозможно, то ситуация вновь стала непростой. Регулятор опять дал понять, что он не откажется от идеи перевести всех на сертифицированные рельсы в части СКЗИ.
С 14-го года еще больше усиливается риторика представителей законодательной и исполнительной власти о необходимости более пристального контроля за Интернет, о необходимости бороться с экстремизмом (чтобы ни вкладывалось в этот термин) и терроризмом, о необходимости борьбы с пиратством, о необходимости отказа от анонимности в сети и т.п. И везде криптография является препятствием; имеется ввиду неконтролируемая криптография. Неслучайно в февральском списке поручений Президента тема регулирования криптографии в отечественных сетях связи была выделена особо. Поэтому закономерным стало появление закона Яровой, который с точки зрения криптографии задал новую планку в части запрета применения любых средств/алгоритмов/решений, не имеющих сертификата ФСБ. Обратите внимание - не прошедшими оценку соответствия в установленном порядке, а просто не имеющими сертификата. С сертификацией, как единственной формой оценки соответствия, у нас носится только ФСБ.
Надежды на отмену "закона Яровой" у меня нет (хотя высказать свою позицию все-таки стоит), как и на либерализацию вопросов применения шифровальных средств в России. Учитывая ужесточение подходов к сертификации СКЗИ и отмену сертификации криптобиблиотек картина вырисовывается не очень позитивная. А тут еще накладывается и полная техническая недееспособность депутатов, которые хоть и отказались от идеи запретить UDP в Интернет, но зато утвердили требование отдавать все сеансовые ключи в мессенджерах и иных средствах коммуникаций.
Похоже история наших регуляторов ничему не учит и они хотят наступить на те же грабли, что наступили в США в свое время (и даже не один раз). С терроризмом бороться это сильно не помогло. А вот компетенция людей, которые стали все чаще искать пути обхода ограничений, только выросла. В данном случае предположу, что те, кому есть что скрывать вернутся к старой доброй стеганографии, которая была незаслуженно забыта, но видимо скорь восстанет из пепла.
В 2011-м году я предположил, что ветер переменился и теперь все будет делаться под соусом "национальной безопасности", в том числе и выдавливание западных технологий/продуктов/алгоритмов. Как показали прошедшие 5 лет прогноз оказался верным :-( Остается только надеяться, что ресурсов на всесторонний контроль принятого закона у регуляторов не будет. Но как Дамоклов меч висеть он будет, а уж как рычаг давления на неугодных тем более.
7 коммент.:
Алексей,
а не могли бы Вы подсказать, кто цифровую подпись в 63-ФЗ назвал электронной?
И что в ней, собственно, электронного?
Так electronic signature - общепринятый термин
Это конечно, но смысл как мне кажется разный. Например -
Food and Drug Administration 21 CFR Sec. 11.3 (US federal regulations)
(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.
и таких определений достаточно много
https://en.wikipedia.org/wiki/Electronic_signature
Т.е. biometric signature это electronic signature но не digital signature.
Ну первично у нас переводили как ЭЦП. Потом сократили до ЭП. Вводить еще один термин "цифровая подпись" врядли будут. Итак полная неразбериха с этим законодательством
К сожалению и не только с этим...
Отправить комментарий