Насколько законно создание приложения с шифрованием заметок пользователей?

Здравствуйте.

Написал приложение, что-то типа ежедневника с заметками. Заметки шифруются на стороне клиента внутри приложения, для этого клиент сам создает ключ и им шифрует данные. Зашифрованные заметки хранятся на устройстве и, если необходимо, передаются на сервер для синхронизации с другими устройствами. Например, я начал редактировать заметку на смартфоне, а продолжить могу на планшете. Ключи на сервер не передаются, только уже зашифрованный текст. Шифруется все стандартными библиотеками на Java, AES, длину ключа пользователь выбирает сам, ничего своего здесь не выдумывал.

Писал приложение для личного использования, но в какой-то момент решил попробовать опубликовать и столкнулся с юридическим вопросом. Законно ли в России распространение подобного софта?

Гугля эту тему, я столкнулся с понятием СКЗИ, и что нужно получать лицензию от ФСБ и вообще использовать только сертифицированный софт. Ничего из этого у меня, конечно, нет. Но я и не совсем понимаю, распространяется ли эта необходимость на меня. Если что, хранить личные данные пользователя (телефоны, адреса, документы) я не собираюсь, объекты гос.тайны тоже. Только зашифрованные заметки, ну и хэш пароля, логин, максимум почту.

Я читал текст этого закона, читал различные статьи с разъяснениями, но так и не смог ничего понять. Как будто под него подпадает вообще любой софт, который шифрует данные. Но я захожу в магазины приложений, даже в отечественный РуСтор и вижу там приложения шифраторы, и что-то мне подсказывает, что их авторы не обладают никакой лицензией. Да и вряд ли я что-то нарушаю, когда тот же OpenSSL использую.

Так же совершенно неясен вопрос с ключами. По задумке приложения пользователь сам создает и хранит ключ, у меня доступа к ключам нет. Обязан ли я его иметь? Как я понимаю, по закону Яровой, я обязан предоставлять записи пользователей, если владею мессенджером или соц.сетью. Но у меня ни то и ни другое. С другой стороны, ну чисто технически мое приложение можно использовать, как мессенджер. С третьей стороны, что угодно, что имеет обратную связь между двумя клиентами можно использовать, как мессенджер.

Предположим, ко мне приходит ФСБ и заявляют, что им нужен доступ к записям пользователя. Доступ я дать могу, а ключа нет. Про паяльник я понимаю, но насколько это вообще все правомерно?
Я где-то читал, что длина ключа не должна превышать 56 бит, но тоже как будто есть нюансы, и в конечном итоге хотелось бы иметь ключ длиннее.

Если резюмировать, вопрос звучит так:
Насколько вообще законно то, что я запланировал?
1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
2) Обязан ли я хранить ключи пользователей?
3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?

Понимаю, что с высокой долей вероятности я со своим приложением и парой пользователей никому неинтересен, но все же хотелось бы понять возможные последствия.
  • Вопрос задан
  • 11830 просмотров
Пригласить эксперта
Ответы на вопрос 7
@Everything_is_bad
1. лицензия нужна только если этим софтом будут пользоваться госструктуры
2. нет
3. нет
что-то может измениться когда у тебя активных пользователей за десятки миллионов перевалит
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
Насколько вообще законно то, что я запланировал?
Вполне законно

1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
Не обязательна, но в лицензионном соглашении приложения лучше прописать все моменты касательно безопасности, что приложение использует не сертифицированные алгоритмы шифрования и за хранение в нем по собственной инициативе пользователя различных ПД, КТ, ДСП, ГТ и тому подобного разработчик никакой ответственности не несет.

2) Обязан ли я хранить ключи пользователей?
Тогда ни о какой безопасности речи быть не может

3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?
Немного интересный вопрос. Как ключи передаются между устройствами если не грузятся на сервер? Если опираться на самый распространенный принцип HTTPS, то там уже ключи от 128 используются и никаких проблем не наблюдается.
Ответ написан
@Desert-Eagle
Новичок во всем
По 3-ему пункту лучше уточните у знающих людей, потому что когда мы покупали касперского и хотели взять "Строгое шифрование" нам отказали, потому что согласно требованиям фсб шифрование должно быть легкое, т.е. 56, все что выше под запретом. Поэтому пришлось устанавливать на тачки клиента каспера с легким шифрованием.
Но возможно это только для какой то конкретной области требование, а всем остальным людям можно и 128 и выше.
Ответ написан
Комментировать
@LexX80
Дык, по моему так телеграмм работает,
Ответ написан
@xanullx
null
А как называется ваше приложение ?
Ответ написан
ck80
@ck80
Компьютерщик
Приложение для заметок AnyType так работает. Шифрование. Локальное хранение
Ответ написан
@vadimr
Вы вообще не с той стороны рассуждаете. Пока вы своим приложением шифруете кулинарные рецепты – вы никому не интересны. Как только окажется, что им пользовались террористы – вы пойдёте как сообщник, и всем будет пофиг на длину ключа, потому что звёздочки на погоны даются за численность разоблачённой ОПГ. Выпуская в обращение такое приложение без лицензии, вы тем самым принимаете на себя риски второго варианта. Они незначительны, но не равны нулю.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы