Kaspersky
Question

Допустимость использования AES256 в РФ

  • 6 May 2019
  • 8 replies
  • 630 views

Userlevel 1
Badge +1
  • Junior Helper
  • 53 replies
Откуда пошло утверждение, что на территории РФ надо использовать KES c библиотеками AES-56, и запрещено AES-256 ?


1. Есть такие ограничения, но для импорта криптографических средств. В частности, длинна ключа не должна превышать 56 бит (ПОСТАНОВЛЕНИЕ от 16 апреля 2012 г. N 313).
Но мы не импортируем, а используем уже готовый продукт, произведенный на территории РФ.

2. Есть миф, что требуется использовать СКЗИ отечественного производства (ГОСТовых алгоритмов). Это обязательно только в случае работы с гостайной (Постановление Правительства от 26 июня 1995 г. №608 «О сертификации средств защиты информации» (в редакции Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808)

Других особых требований к используемому алгоритму государством не предъявляются, оставляя право выбора за владельцем/собственником информации или информационной системы. Он волен использовать любой алгоритм, который посчитает нужным и который не противоречит дополнительным ограничениям, прописанным в Приказе ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (положение ПКЗ-2005)

P.S. Были обсуждения на старом форуме:
тут
тут

8 replies

Userlevel 3
Badge +1
Вот вы ссылаетесь на умный документ "ПОСТАНОВЛЕНИЕ правительства от 16 апреля 2012 г. N 313", но при этом похоже сами его даже не открывали, т.к. там через предложение идет фраза "сертифицированных Федеральной службой безопасности Российской Федерации". Криптоалгоритмы по ГОСТ сертифицированны ФСБ РФ на территории России, а AES - нет. AES 56 на территории РФ использовать можно банально из-за того, что длина ключа короткая и предполагается что ФСБ собственными силами не имея закрытого ключа расшифруют ваши данные, а шифрование с криптоалгоритмом AES с длинной ключа более 56 они самостоятельно не смогут расшифровать в каких-то видимых им одним сроках. Если не смогут, значит использовать нельзя. Научатся быстро расшифровывать (не знаю какой срок считается быстро: может сутки, а может месяц) и правительство (или сами ФСБ если им разрешат) издадут постановление о новой предельной длине ключа (допустим 128) на алгоритмы шифрования. Также в данном постановлении указывается множество условностей: кому, зачем, при каких условиях и почему можно использовать более стойкое шифрование, а кому нельзя шифровать даже методом Цезаря.

Опять-таки при использовании криптостойкого шифрования даже по ГОСТ вам придется пройти десять кругов ада оформляя необходимые документы, покупая сертифицированное ПО и оборудование, нанять необходимый штат безопасников/секретчиков/юристов согласно тех же требований ФСБ, а ещё получить лицензию если вы собираетесь это оборудование и ПО самостоятельно для себя своими силами настраивать (тут даже нет речи кому-то на сторону оказывать услуги). Конторы которые могут вам это провернуть в каждом подвале не найдешь, а тот же НПО "МАРС" долго будет вас футболить даже после уплаты денег за работу.

В общем и целом если вы собираетесь использовать шифрование для 5 пк в среде друзей - то никому вы не нужны, поэтому хоть шифрование 50 века используйте, а если кто-то покрупнее, то хотите-не-хотите, но придется подстраиваться под требования законодательства.
Userlevel 1
Badge +1
Вот вы ссылаетесь на умную бумажку ПОСТАНОВЛЕНИЕ правительства от 16 апреля 2012 г. N 313, но при этом похоже сами её даже не открывали, т.к. там через предложение идет фраза "сертифицированных Федеральной службой безопасности Российской Федерации". .........

Вы точно правильно меня поняли ?
Этот пример касается деятельности по РАСПРОСТРАНЕНИЮ СКЗИ. Я указал на то, что в соответствии с п.3(б), Постановления 313, распространение СКЗИ с длинной ключа до 56 бит не ограничено. А меня интересует ИСПОЛЬЗОВАНИЕ.

Если не смогут, значит использовать нельзя. Научатся быстро расшифровывать (не знаю какой срок считается быстро: может сутки, а может месяц) и правительство (или сами ФСБ если им разрешат) издадут постановление о новой предельной длине ключа (допустим 128) на алгоритмы шифрования. Также в данном постановлении указывается множество условностей: кому, зачем, при каких условиях и почему можно использовать более стойкое шифрование, а кому нельзя шифровать даже методом Цезаря.


Тут у Вас целый абзац размышлений без фактов, как и в той теме. Приведите пожалуйста аргумент в виде ссылки на закон.
Мой аргумент - 66 приказ ФСБ (ПКЗ-2005). В нем нет никаких запретов использовать AES256, если это явно не оговорено федеральным законодательством. (например работа с гостайной, обработка персональных данный, и т.п.)

IMHO ЛК сделал два дистрибутива для экспортных ограничений. Если я к примеру американец, и купил себе KES, тогда из-за экспортных ограничений скачать в свою Америку имею права только kes AES56.
Userlevel 3
Badge +1
Под распространением понимается также установка на ПК организации сотрудником организации. Под использованием понимается использование уже установленного и настроенного продукта. Если вы поставили дома на свой личный пк - проблемы нет. Если сотрудник ставит на ПК организации за которым он постоянно работает - то это все равно рассматривается как распространение, настройка и пуск в работу. А так как пуск в эксплуатацию подразумевает пуско-наладочные работы (или настройка по-простому) то т.к. данная деятельность относится к лицензируемой, то даже в тестовом виде на предприятии этого делать нельзя. На личный (домашний) ПК это не распространяется, т.к. он для личного использования, кроме случаев когда на личном ПК ведется коммерческая, благотворительная или государственная деятельность.
Все это подразумевается для продуктов с модулями шифрования превышающую разрешенную законом криптостойкость требующую лицензирования, за исключением случаев оговоренных законом.

Насчет распространения - достаточно разместить сервер на территории необходимого государства или союзного ему если это позволяет законодательство страны.
Userlevel 1
Badge +1
...... Если сотрудник ставит на ПК организации за которым он постоянно работает - то это все равно рассматривается как распространение.

Это не будет являтся лицензируемой деятельностью в случае если компания будет использовать СКЗИ для обеспечения собственных нужд (например защиты корпоративной информации) это оговорено в п.1 Постановления 313.
Userlevel 3
Badge +1
Мда, я пропустил фразу.
Userlevel 1
Badge +1
@Kommunist7304 хорошо бы еще альтернативное мнение услышать... попробую Лукацкому вопрос задать, или в СА...
Userlevel 3
Badge +1
Надо делать запрос в ФСБ в случае проверки ими они будут каким образом рассматривать "для обеспечения собственных нужд" по различным сценариям и уточнять есть ли у них ДСП которыми они руководствуются, а то у ФСТЭК есть такая привычка ДСП использовать и по ним наказывать. А о существовании ДСП узнаешь в момент проверки, а получить можно по специальному запросу и в лучшем случае через несколько месяцев.
Userlevel 1
Badge +1
@Kommunist7304 хорошо бы еще альтернативное мнение услышать... попробую Лукацкому вопрос задать, или в СА...

В CA помочь не смогли (INC000010422006) и предложили узнать в ФСБ.

Reply / Ответить