GD Star Rating
loading...

Нихрена непонятно с законностью шифрования каналов связи в РФ. Начальство хочет ipsec-туннели между офисами. Поставщик заявил, что хрен нам, а не циски с HSEC-K9. Админ бегает по серверной, заламывая руки, и голосит, что ipsec между freebsd’шными серверами и OpenVPN тоже надо убрать, так как это незаконно. Кто-нибудь может кратко и по сути прояснить ситуацию?

Tagged with →  

21 Responses to шифрование каналов связи в РФ

  1. AmZero:

    Схуяли?

    То, что вы передаёте по каналам связи – ваши личные проблемы. То, что эти байты получены путём шифрования каких-то осмысленных данных – ну вы так захотели, какая кому разница?

  2. IrNeo:

    если бы было все так просто
    ФАК
    по сути – хочешь использовать шифрование – получи лицензию на это. поэтому и с ввозом траблы есть. ибо сама циска отдает HSEC-K9 не просто так, а по анкете – кому и для чего. и наша принимающая граница -“кому везете? а на использование лицензия есть? перепродавать? а кому? а у них с лицензией как дела?”

    я уж молчу про 152-ФЗ и про то, что при некоторых категориях при передачи данных требуется шифровать ГОСТ.

  3. Enoev:

    Читал. Понял только то, что без разрешения ФСБ я не могу купить циску с шифрованием. Вот только у меня уже есть циски с шифрованием. И фряшные сервера с шифрованием тоже есть. Я могу их использовать?

  4. AmZero:

    а если шифровать не по госту, а каким-нибудь открытым алгоритмом?

  5. IrNeo:

    использование шифрования предполагает лицензию на шифрование. это на случай если регулировщики тобой заинтересуются. но это маловероятно, если ты не оператор связи или каких-то услуг. но если по закону – должен выключить щифрование и пользоваться голым GRE, если нужна инкапсуляция. и идти получать лицензию.
    но – есть вариант. если средства внедрены не вами, а в ходе работ по защите сети от компании, которая меет набор лицензий – то вы купили услушу по шифрованию по сути и своей лицухи вроде не надо.

    так же есть 152-ФЗ, который хоть и относится ко всем, но вероятно, что ваша организация попадает в минимальную категорию, которая не предполагает ничего экстраординарного. но в идеале стоит нарисовать какую-то бумажку, которая определяет вашу категорию и что ваша защита подходит под нормы.

  6. Enoev:

    Вот тут вот есть один неприятный момент… Знакомый, работающий у ISP’а, рассказал, что недавно выразительные люди в невыразительных костюмах интересовались количеством клиентского трафика, шифрованного ipsec’ом. Он, конечно, говорит, что у них часто всякой хренью интересуются, но ведь интересуются.

    Средства внедрялись нами. Не вариант.

    У нас региональная торговая компания. Какая это категория? От чего это зависит?

  7. Enoev:

    Да-да, хороший вопрос. Есть ли разница чем шифровать, циской, линухом, каким-нибудь dlink’ом?

  8. AmZero:

    я так понимаю, что единственное ограничение – в пропускной способности такой системы. Ведь открытые алгоритмы реализованы, скорее всего, только программно.

    А вообще, я встречал туннелирование ssh через http-протокол, причём передаваемые пакеты для синтаксических анализаторов ничем не отличались от запроса и передачи обычных текстовых http-страниц – каких-нибудь мануалов, например. Просто текст был необычный, что-то типа UUE-закодированного ssh-трафика. Естественно, накладные расходы на трафик были около 100% + процессорное время кодирующей машины.

  9. IrNeo:

    табличка – сам посмотри.

    а интересовались, интересуются и будут интересоваться.
    контролирующие органы упорно руки потирают и нагревают на них. ибо для услуг шифрования передаваемых данных нужно стопка лицензий и проверок…

  10. IrNeo:

    да пофиг чем шифровать. просто в некоторых случаях требуется гост по закону. но криптование даже DESом тоже считается шифрование и дальше по тексту.

    или волнует по вопросу производительности?

  11. AmZero:

    ого. То есть контролирующие органы должны иметь явную возможность видеть те же осмысленные данные, которыми пользуется организация?

  12. IrNeo:

    хотят, по крайней мере. не забываем в стране с каким наследием в силовых структурах живем )
    это так же относится к СОРМ железкам у провайдеров и т.п.

    а если серьезно – никто не запрещает шифровать – просто получить разрешение надо. ибо это работа со средствами криптографии, а всю работу со средствами криптографии курирует ФСБ. ссылка на фак с раъяснением выше.
    там есть тонкое место в ВО 9 – последний пункт про технологические каналы. но канал связи между офисами на технологический может быть не похож…

    ВО18 точно отвечает:
    В18. Требуется ли получать лицензию ФСБ, если в организации используются
    средства шифрования, не имеющие сертификатов ФСБ России?
    О18. Да, даже при использовании средств шифрования, не имеющих сертификатов
    ФСБ России, техническое обслуживание этих средств должно осуществляться
    организацией, имеющей лицензию ФСБ на техническое обслуживание средств
    шифрования. Существуют два варианта, опробованных на практике: либо организация,
    эксплуатирующая несертифицированные средства шифрования, получает лицензию
    ФСБ на техническое обслуживание средств шифрования, либо эта организация
    заключает договор на обслуживание средств шифрования с подрядчиком, имеющим
    такую лицензию. Например, все основные партнеры Cisco располагают лицензией ФСБ
    на техническое обслуживание средств шифрования.

    В22. Если я предоставляю доступ к своей корпоративной сети своим клиентам
    или партнерам с помощью VPN-решений, то должен ли я получать лицензию на
    данный вид деятельности? Важно ли, что я оказываю такую услугу на
    безвозмездной основе?
    О22. В связи с тем, что Федеральным законом от 8 августа 2001 года No 128-ФЗ
    «О лицензировании отдельных видов деятельности» оказание услуг по шифрованию
    информации отнесено к лицензируемым видам деятельности, то получение лицензии в
    данном случае обязательно. Форма предоставления услуги значения не имеет.

    ну и дальше по документу. все канешн про циску. но закону пофиг – чей айписек.
    и да. дес попадает, т.к. там ключ как раз 56 байт. т.е. если у вас нет подрядчика на обслуживание средств криптографии – получайте сами лицензию на тех обслуживание средств криптографии.

  13. AmZero:

    вот это жесть. Как-то никогда не задумывался об этой стороне передачи данных. Спасибо за инфу!

    А ещё один вопрос: если я не предоставляю доступ, но сам пользуюсь ssh-протоколом для доступа из челябинского офиса к своему хостинговому серверу, расположенному в Москве – можно ли меня привлечь к штрафу за отсутствие лицензии на использование шифрования?

  14. AmZero:

    зависит ли ответ от того, являюсь я юридическим или физическим лицом?

    Уточняю: сервер мой, доступ к нему нужен для меня самого.

    Влияет ли на ответ то, что сервер является площадкой, где я размещаю сайты своих клиентов? То есть, по сути, я пользуюсь ssh-протоколом в коммерческих целях.

  15. IrNeo:

    ну. с однйо стороны – это по сути технологический доступ. и не регулируется.
    во вторых – какой ключ к тебя для ssh сессии?
    в третьих – при ссх 2 с ключом в 1024 по идее – это использование средств шифрования. но если у тебя из них только ссх – всем пофиг. просто если это циска – ссх ты включишь только на к9 прошивке и выше по тексту )

  16. IrNeo:

    для закона вроде пофиг – физик или юрик. но вот получение лицензии… на физика будет забавлять всех )

  17. AmZero:

    чорт, я использую обычно ssh2 и ключ 2048!
    Но слова про “технологический доступ” успокоили меня 🙂

  18. Enoev:

    Напряг нашу юристку. Вот её ответ:
    Нашла. Лицензия не требуется в соответствии со ст. 12 ФЗ о лицензировании отдельных видов деятельности
    Статья 12. Перечень видов деятельности, на которые требуются лицензии

    1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
    1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

  19. Goen:

    Шифрование любое абсолютно законно сейчас.

    Другое дело если вам нужно будет сертифицировать вашу сеть как закрытую например для целей обработки персональных данных. Тут уж только ГОСТ, только сертифицированные решения.

    То есть если у вас не сертифицированное шифрование с точки зрения госорганов его как бы и нет.

    3.5 года в информационной безопасности в телекоме.

  20. Enoev:

    Хороший ответ. Спасибо.

  21. Kiharware:

    А https на сайте?

Добавить комментарий