Однако перестройка расставила все по своим местам и в коммерцию ринулись сотни выходцев из КГБ, которые стали делиться своим немалым опытом, в том числе и по части криптографии. Стали выходить книжки, в журналах стали публиковаться тексты программ для шифрования по ГОСТу, отдельные счастливчики были обладателями книжки Шнайера «Прикладная криптография». Но несмотря на перемены в политической и экономической жизни страны, спецслужбы по-прежнему не горели желанием выпускать криптографию в свободное плаванье. Надо признать, кстати, что это удел не только российских спецслужб — они одинаковые во всех странах. Достаточно вспомнить известное уголовное дело против автора PGP — Фила Циммерамана, который обвинялся в США в распространении своей криптографической программы в нарушении американского законодательства. Фил тогда поступил очень неожиданно и опубликовал исходники PGP в книжке, которая и распространялась по миру, не являясь нарушением американского законодательства (так что причисление литературы про криптографию к шифровальным средствам было вполне логичным шагом для тех, кто хотел ограничить их распространение).
В 1995-м году вышел пресловутый Указ Президента Ельцина №334, который по сути блокировал распространение гражданской криптографии, вводя ее под жесткий контроль отпочковавшегося от КГБ ФАПСИ, которое спустя некоторое время вновь влилось в основную спецслужбу страны, именуемую нынче ФСБ. Данный указ включал несколько основных положений:
- Запрет госорганам и предприятиям применять несертифицированные средства шифрования.
- Запрет банкам применять несертифицированные средства шифрования и заставить Банк России следить за этим запретом.
- Запрет деятельности юрлиц и физлиц в области разработки, производства, реализации и эксплуатации шифровальных средств без соответствующей лицензии.
- Запретить ввоз шифровальных средств без соответствующей лицензии на ввоз.
- Поиск нарушителей данного указа.
- Усиление прокурорского надзора за соблюдением данного указа.
Надо сказать, что данный Указ не только был реализован, но и до сих пор действующее законодательство опирается на положения данного нормативного акта (пусть и немного в иных формулировках). Единственное, что всегда оставалось под большим вопросом — эксплуатация СКЗИ без лицензии. Если внимательно посмотреть на историю развития законодательства по лицензированию отдельных видов деятельности, то данная тема всегда вызывала, вызывает и, думаю, будет и дальше вызывать вопросы — ФСБ достаточно недвусмысленно дает всегда понять, что по их мнению, применение СКЗИ должно сопровождаться наличием соответствующей лицензии ФСБ. В судах они эту позицию отстаивают не так часто, но с завидной регулярностью озвучивают на различных мероприятиях и в различных официальных ответах.
Но пойдем дальше. 334-й Указ всегда вызывал определенные вопросы, но их острота и градус накала постепенно снижались, особенно после прекращения существования ФАПСИ. Однако желание спецслужб контролировать криптографию на территории России жило и цвело. В 2010-м году в России, учитывая создание Таможенного Союза, были введены новые правила по ввозу средств шифрования. Вообще тема ввоза средств шифрования очень непроста и те, кто с ней незнаком регулярно попадают впросак, в т.ч. и под статьи действующего КоАП. И изменений в этой части не предвидится — даже поручение Президента по либерализации ввоза СКЗИ ФСБ посчитала нецелесообразным. С вывозом шифровальных средств (а любой мобильник или ноутбук к ним относится) ситуация тоже далека от желаемой.
В 2011-м году руководитель 8-го Центра ФСБ заявил о том, что такие сервисы как Skype, Gmail и т.п. представляют угрозу национальной безопасности и организованная преступность, террористы и экстремисты (334-й Указ упоминал только оргпреступность, которая позже уже не упоминалась в качестве мотива ограничений СКЗИ) могут использовать западные сервисы для своих черных дел. Тогда запретить ничего не удалось, но «осадочек остался». Да и проект аналога 334-го указа, но посвежее, тоже успел просочиться в Интернет (но принят не был, столкнувшись с отпором ИТ-отрасли).
В 2014-м году ФСБ выпускает свой 378-й приказ по защите персональных данных, в котором фигурирует требование применения сертифицированных СКЗИ при защите ПДн. А учитывая, что у нас ПДн есть везде и создать изолированную и не имеющую ПДн среду невозможно, то ситуация вновь стала непростой. Регулятор опять дал понять, что он не откажется от идеи перевести всех на сертифицированные рельсы в части СКЗИ.
С 14-го года еще больше усиливается риторика представителей законодательной и исполнительной власти о необходимости более пристального контроля за Интернет, о необходимости бороться с экстремизмом (чтобы ни вкладывалось в этот термин) и терроризмом, о необходимости борьбы с пиратством, о необходимости отказа от анонимности в сети и т.п. И везде криптография является препятствием; имеется ввиду неконтролируемая криптография. Неслучайно в февральском списке поручений Президента тема регулирования криптографии в отечественных сетях связи была выделена особо. Поэтому закономерным стало появление закона Яровой, который с точки зрения криптографии задал новую планку в части запрета применения любых средств/алгоритмов/решений, не имеющих сертификата ФСБ. Обратите внимание — не прошедшими оценку соответствия в установленном порядке, а просто не имеющими сертификата. С сертификацией, как единственной формой оценки соответствия, у нас носится только ФСБ.
Надежды на отмену «закона Яровой» у меня нет (хотя высказать свою позицию все-таки стоит), как и на либерализацию вопросов применения шифровальных средств в России. Учитывая ужесточение подходов к сертификации СКЗИ и отмену сертификации криптобиблиотек картина вырисовывается не очень позитивная. А тут еще накладывается и полная техническая недееспособность депутатов, которые хоть и отказались от идеи запретить UDP в Интернет, но зато утвердили требование отдавать все сеансовые ключи в мессенджерах и иных средствах коммуникаций.
Похоже история наших регуляторов ничему не учит и они хотят наступить на те же грабли, что наступили в США в свое время (и даже не один раз). С терроризмом бороться это сильно не помогло. А вот компетенция людей, которые стали все чаще искать пути обхода ограничений, только выросла. В данном случае предположу, что те, кому есть что скрывать вернутся к старой доброй стеганографии, которая была незаслуженно забыта, но видимо скорь восстанет из пепла.
В 2011-м году я предположил, что ветер переменился и теперь все будет делаться под соусом «национальной безопасности», в том числе и выдавливание западных технологий/продуктов/алгоритмов. Как показали прошедшие 5 лет прогноз оказался верным 🙁 Остается только надеяться, что ресурсов на всесторонний контроль принятого закона у регуляторов не будет. Но как Дамоклов меч висеть он будет, а уж как рычаг давления на неугодных тем более.
Этот комментарий был удален автором.
Алексей,
а не могли бы Вы подсказать, кто цифровую подпись в 63-ФЗ назвал электронной?
И что в ней, собственно, электронного?
Так electronic signature — общепринятый термин
Это конечно, но смысл как мне кажется разный. Например —
Food and Drug Administration 21 CFR Sec. 11.3 (US federal regulations)
(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.
и таких определений достаточно много
https://en.wikipedia.org/wiki/Electronic_signature
Т.е. biometric signature это electronic signature но не digital signature.
Ну первично у нас переводили как ЭЦП. Потом сократили до ЭП. Вводить еще один термин "цифровая подпись" врядли будут. Итак полная неразбериха с этим законодательством
К сожалению и не только с этим…