[Прохожий]

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -

Меня всегда интересовало: а заплатив 500 рублей, я могу этим пользоваться? ;)

[thodin]

Прошу обратить внимание на если они подлежат обязательной сертификации!

А что технология VPN подлежит обязательной сертификации?

 

А это неизвестно. Поэтому статья и не применяется :)

[Kein]

Меня всегда интересовало: а заплатив 500 рублей, я могу этим пользоваться? ;)

Что за 500 рублей можно получить сертификат?

 

А это неизвестно. Поэтому статья и не применяется :)

А если статя не применяется, то можно смело использовать VPN. В интернете полно сервисов предоставляющих VPN. Есть как бесплатные, так и платные, плата за VPN ненамного дороже платы за интернет.

Изменено 21 октября, 2013 пользователем Kein

[thodin]

Меня всегда интересовало: а заплатив 500 рублей, я могу этим пользоваться? ;)

 

"Этим" - не факт, т.к. его могут и изъять. Но ничто не мешает сразу же обзавестись новым средством и продолжить слать шифровки по прежнему адресу :)

 

А если статя не применяется, то можно смело использовать VPN. В интернете полно сервисов предоставляющих VPN. Есть как бесплатные, так и платные, плата за VPN ненамного дороже платы за интернет.

Но мы же с Вами сознательные граждане, уважающие законодательство РФ.

Поэтому прежде чем использовать VPN - необходимо написать письмо в ФСБ с запросом, обязательна ли сертификация используемого Вами средства шифрования.

[Прохожий]

Чего тереть по пустякам. У нас сейчас классическая коллизия реального мира и традиционных подходов. Когда-то шифрование было - просто рокет-сайенс и узко специфическая область деятельности. Развитие технологий привело к тому, что оно стало доступно широким массам населения, да вдобавок встроилось куда попало и буквально везде. Открытые алгоритмы помноженные на открытые коды и на публичные интересы дали крайне интересные всходы.

 

То есть по уму надо бы признать реальность и все ограничения на использование шифросредств любыми негосударственными субъектами в целах, отличных от защиты гостайны просто снять. Ибо они и так не работают, это раз, а про то, что 80% вопросов безопасности при всем этом шифровании - это оргмеры, казуалы все равно не знают и пользоваться этим всем правильно - не умеют. За редким исключением.

 

Но сделать так - как-то страшновато! Поэтому сперва финтили с длиной ключа. Типа, с коротким ключем - это не шифрование, а скремблирование. Но теперь-то вообще беда - в LTE принят SNOW с ключом до 256 бит, а вообще казуалу доступен тааакой выбор с таакими ключами... В итоге - клинч. Регулятор делает вид, что шифрование в мобилах - оно как бы и не шифрование. С остальным - совершенно искренне не знает, что делать.

 

ИМХО.

 

 

 

"Этим" - не факт, т.к. его могут и изъять.

О! Кстати отличный вопрос! Как изъять софт? Если он еще и под копилефтом?

 

Слишком многие застряли в мире материальных сущностей (((( И чем дальше - тем острее это противоречие.

 

Анекдот вспомнился. "А вот за велосипед я уже отсидел!" (с)

[Sergey Gilfanov]

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -

Осталось понять, почему сайт госуслуг (персональные данные) до сих пор по ГОСТ-у не шифрует. Или тот AES_256_CBC в исполнении openssl, что моим браузером используется - он сертифицирован?

[thodin]

О! Кстати отличный вопрос! Как изъять софт? Если он еще и под копилефтом?

 

Ну так любое слово - программно-аппаратный комплекс!

Еще и упс забрать вместе с ковриком для мыши, как неотъемлимую часть :)

[thodin]

Осталось понять, почему сайт госуслуг (персональные данные) до сих пор по ГОСТ-у не шифрует. Или тот AES_256_CBC в исполнении openssl, что моим браузером используется - он сертифицирован?

 

А ничто не мешает сертифицировать железяку/услугу с любым алгоритмом.

[Прохожий]

Осталось понять, почему сайт госуслуг (персональные данные) до сих пор по ГОСТ-у не шифрует. Или тот AES_256_CBC в исполнении openssl, что моим браузером используется - он сертифицирован?

Не, но хватило здравомыслия тупо проигнорировать :)

 

Видишь ли, как говорил один сантехник, "тут не просто кран, тут всю систему менять надо!" (с) Отстают госорганы ментально, всегда отстают. А менять ВСЕ - очень страшно :)

[Kein]

с Вами сознательные граждане, уважающие законодательство РФ.

Поэтому прежде чем использовать VPN - необходимо написать письмо в ФСБ с запросом, обязательна ли сертификация используемого Вами средства шифрования.

Интересно что они ответят, и обязаны ли они вообще отвечать на подобные письма?

[Macil]

Чего тереть по пустякам.

Действительно! Чего? Никого не "коробит" от того что, например, на разработку огнестрельного оружия требуется лицензия, или лекарств... На то что на оказание, например, медицинских услуг или нотариальных, или на адвокатскую практику тоже требуется лицензия... Вот тут все то же самое. С той же самой мотивацией. И с теми же самыми последствиями для хомячков.

 

Все заинтересованные стороны соответствующие лицензии давным-давно получили. Те же банки, после внезапной проверки ЦБ+ФСБ несколько лет назад их заимели. По идее, всякие порталы, предоставляющие доступ по HTTPS тоже должны. Операторы, в принципе, тоже.

[Kein]

По идее, всякие порталы, предоставляющие доступ по HTTPS тоже должны.

Кстати хотел сказать про https. Если шифрование таки запрещено, получсается что https вне закона?

[atdp03]

Но мы же с Вами сознательные граждане, уважающие законодательство РФ.

Поэтому прежде чем использовать VPN - необходимо написать письмо в ФСБ с запросом, обязательна ли сертификация используемого Вами средства шифрования.

 

Несколько лет назад знакомые, имеющие L2 до материнской компании за бугром, озаботились "а не нарушают ли они чего, шифруя там трафик"?

Связались с ФСБ, написали писем, получили ответ: гостайны нет, k9 на кошаке используется в собственных целях - свободны.

[thodin]

Интересно что они ответят, и обязаны ли они вообще отвечать на подобные письма?

Обязаны, конечно!

Ничего страшного не напишут, не переживайте :)

Зато Вы проявите гражданскую сознательность и сможете спокойно жить дальше.

[Macil]

Если шифрование таки запрещено, получсается что https вне закона?

Шифрование не запрещено. А с HTTPS ситуация непонятная.

[Sergey Gilfanov]

Не, но хватило здравомыслия тупо проигнорировать :)

И это вместо того, чтобы побыстрее ГОСТ в тот же openssl по нормальному протащить. Чтобы распространенные браузеры с ним из коробки работали.

 

Несколько лет назад знакомые, имеющие L2 до материнской компании за бугром, озаботились "а не нарушают ли они чего, шифруя там трафик"?

Связались с ФСБ, написали писем, получили ответ: гостайны нет, k9 на кошаке используется в собственных целях - свободны.

Это они забыли персональные данные упомянуть. фио-телефон-место жительство клиента (что именно считают ПД - это нормальному человеку понять не дано) при этом в сервера материнской компании передаются же?

[thodin]

Несколько лет назад знакомые, имеющие L2 до материнской компании за бугром, озаботились "а не нарушают ли они чего, шифруя там трафик"?

Связались с ФСБ, написали писем, получили ответ: гостайны нет, k9 на кошаке используется в собственных целях - свободны.

А надо натравить на знакомых проверку - не передаются ли персональные данные сотрудников за границу?

Если передаются - то соблюдены ли предусмотренные законом процедуры?

И штраф впаять, как сильно умным :)

[atdp03]

Добрые все, блин. =)

Там нет никаких ПД. Чистый МСФО, насколько я понял.

[Прохожий]

 

Ссылок на документы почти нигде нет. На хабре вот на это ссылаются. Возможно, не то, Но там в шапке "Приказ" стоит.

О! А кстати, этот приказ сам по себе не требует изменения никаких ФЗ, поскольку по сути только устанавливает требования к оборудованию СОРМ и определяет интерфес к пункту управления. Требование в нем по 12-ти часовому хранению по сути вообще ничего не меняет, поскольку означает ТОЛЬКО возможность "поставить на прослушку" то, что делал пользователь в течение последних 12 часов, а не только "с этого момента и далее". В остальном не меняется ровным счетом ничего.

 

В документе есть важная оговорка - что это все для нешифрованных сессий, прямо написано. При этом все почтовики уже переехали на HTTPS. Список сервисов, которые надо поддержать - более, чем странен. В общем, этот СОРМ какой-то не очень СОРМ. Прямо скажем - далеко не Призма! ;)

 

А вот последствия принятия этого приказа могут быть вообще-то совсем-совсем иными. Ведь здесь четко сформулированы требования к оборудованию СОРМ, протоколу и т.д. Т.е. теперь кто угодно может сделать оборудование СОРМ и предъявить его на сертификацию. Да еще и поскандалить, если ответ будет отрицательным ;)

 

Так что журналисты как всегда, жгут. По сути - это документ не для операторов, вот новость! Это документ для разработчиков решений СОРМ ;)

 

Если шифрование таки запрещено, получсается что https вне закона?

Он в "серой зоне". Теоретически - как бы нельзя, практически как бы все понимают, что по другому-то никак :)

[Sergey Gilfanov]

Требование в нем по 12-ти часовому хранению по сути вообще ничего не меняет, поскольку означает ТОЛЬКО возможность "поставить на прослушку" то, что делал пользователь в течение последних 12 часов, а не только "с этого момента и далее". В остальном не меняется ровным счетом ничего.

Поскольку 'пользователь' может быть любым и заранее неизвестным, то это реализуется как раз только полной записью трафика за 12 часов. Что-то у меня это c 'ровным счетом ничего' никак не стыкуется.

[Macil]

Список сервисов, которые надо поддержать - более, чем странен.

Странностей в нем навалом. Собственно говоря, именно этот приказ я и имел в виду в своих предыдущих комментах.

[Kein]

Он в "серой зоне". Теоретически - как бы нельзя, практически как бы все понимают, что по другому-то никак :)

А где написано, что это как бы нельзя?

https что подлежит обязательной сертификации?

[Прохожий]

https что подлежит обязательной сертификации?

Сертификации подлежат средства шифрования. В данном случае им является броузер, и если AES с ключом 265 - это не шифрование, тогда я и не знаю, что же такое оно :) Похоже, наши доблестные органы решили постраусить методом признания средствами шифрования только того, что шифрует по ГОСТу. Так оно проще и заморачиваться не надо.

[Kein]

Сертификации подлежат средства шифрования. В данном случае им является броузер, и если AES с ключом 265 - это не шифрование, тогда я и не знаю, что же такое оно :)

Может все таки ключ 256?)))

 

Похоже, наши доблестные органы решили постраусить методом признания средствами шифрования только того, что шифрует по ГОСТу.

А так оно и есть

[Прохожий]

 

Может все таки ключ 256?)))

 

Канэшна!

 

 

 

А так оно и есть

Ну так и слава Богу :) Вот это бы еще как-то официально закрепить - и можно успокоиться :)