Насколько законно создание приложения с шифрованием заметок пользователей?

Здравствуйте.

Написал приложение, что-то типа ежедневника с заметками. Заметки шифруются на стороне клиента внутри приложения, для этого клиент сам создает ключ и им шифрует данные. Зашифрованные заметки хранятся на устройстве и, если необходимо, передаются на сервер для синхронизации с другими устройствами. Например, я начал редактировать заметку на смартфоне, а продолжить могу на планшете. Ключи на сервер не передаются, только уже зашифрованный текст. Шифруется все стандартными библиотеками на Java, AES, длину ключа пользователь выбирает сам, ничего своего здесь не выдумывал.

Писал приложение для личного использования, но в какой-то момент решил попробовать опубликовать и столкнулся с юридическим вопросом. Законно ли в России распространение подобного софта?

Гугля эту тему, я столкнулся с понятием СКЗИ, и что нужно получать лицензию от ФСБ и вообще использовать только сертифицированный софт. Ничего из этого у меня, конечно, нет. Но я и не совсем понимаю, распространяется ли эта необходимость на меня. Если что, хранить личные данные пользователя (телефоны, адреса, документы) я не собираюсь, объекты гос.тайны тоже. Только зашифрованные заметки, ну и хэш пароля, логин, максимум почту.

Я читал текст этого закона, читал различные статьи с разъяснениями, но так и не смог ничего понять. Как будто под него подпадает вообще любой софт, который шифрует данные. Но я захожу в магазины приложений, даже в отечественный РуСтор и вижу там приложения шифраторы, и что-то мне подсказывает, что их авторы не обладают никакой лицензией. Да и вряд ли я что-то нарушаю, когда тот же OpenSSL использую.

Так же совершенно неясен вопрос с ключами. По задумке приложения пользователь сам создает и хранит ключ, у меня доступа к ключам нет. Обязан ли я его иметь? Как я понимаю, по закону Яровой, я обязан предоставлять записи пользователей, если владею мессенджером или соц.сетью. Но у меня ни то и ни другое. С другой стороны, ну чисто технически мое приложение можно использовать, как мессенджер. С третьей стороны, что угодно, что имеет обратную связь между двумя клиентами можно использовать, как мессенджер.

Предположим, ко мне приходит ФСБ и заявляют, что им нужен доступ к записям пользователя. Доступ я дать могу, а ключа нет. Про паяльник я понимаю, но насколько это вообще все правомерно?
Я где-то читал, что длина ключа не должна превышать 56 бит, но тоже как будто есть нюансы, и в конечном итоге хотелось бы иметь ключ длиннее.

Если резюмировать, вопрос звучит так:
Насколько вообще законно то, что я запланировал?
1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
2) Обязан ли я хранить ключи пользователей?
3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?

Понимаю, что с высокой долей вероятности я со своим приложением и парой пользователей никому неинтересен, но все же хотелось бы понять возможные последствия.