Насколько законно создание приложения с шифрованием заметок пользователей?
Здравствуйте.
Написал приложение, что-то типа ежедневника с заметками. Заметки шифруются на стороне клиента внутри приложения, для этого клиент сам создает ключ и им шифрует данные. Зашифрованные заметки хранятся на устройстве и, если необходимо, передаются на сервер для синхронизации с другими устройствами. Например, я начал редактировать заметку на смартфоне, а продолжить могу на планшете. Ключи на сервер не передаются, только уже зашифрованный текст. Шифруется все стандартными библиотеками на Java, AES, длину ключа пользователь выбирает сам, ничего своего здесь не выдумывал.
Писал приложение для личного использования, но в какой-то момент решил попробовать опубликовать и столкнулся с юридическим вопросом. Законно ли в России распространение подобного софта?
Гугля эту тему, я столкнулся с понятием СКЗИ, и что нужно получать лицензию от ФСБ и вообще использовать только сертифицированный софт. Ничего из этого у меня, конечно, нет. Но я и не совсем понимаю, распространяется ли эта необходимость на меня. Если что, хранить личные данные пользователя (телефоны, адреса, документы) я не собираюсь, объекты гос.тайны тоже. Только зашифрованные заметки, ну и хэш пароля, логин, максимум почту.
Я читал текст этого закона, читал различные статьи с разъяснениями, но так и не смог ничего понять. Как будто под него подпадает вообще любой софт, который шифрует данные. Но я захожу в магазины приложений, даже в отечественный РуСтор и вижу там приложения шифраторы, и что-то мне подсказывает, что их авторы не обладают никакой лицензией. Да и вряд ли я что-то нарушаю, когда тот же OpenSSL использую.
Так же совершенно неясен вопрос с ключами. По задумке приложения пользователь сам создает и хранит ключ, у меня доступа к ключам нет. Обязан ли я его иметь? Как я понимаю, по закону Яровой, я обязан предоставлять записи пользователей, если владею мессенджером или соц.сетью. Но у меня ни то и ни другое. С другой стороны, ну чисто технически мое приложение можно использовать, как мессенджер. С третьей стороны, что угодно, что имеет обратную связь между двумя клиентами можно использовать, как мессенджер.
Предположим, ко мне приходит ФСБ и заявляют, что им нужен доступ к записям пользователя. Доступ я дать могу, а ключа нет. Про паяльник я понимаю, но насколько это вообще все правомерно?
Я где-то читал, что длина ключа не должна превышать 56 бит, но тоже как будто есть нюансы, и в конечном итоге хотелось бы иметь ключ длиннее.
Если резюмировать, вопрос звучит так:
Насколько вообще законно то, что я запланировал?
1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
2) Обязан ли я хранить ключи пользователей?
3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?
Понимаю, что с высокой долей вероятности я со своим приложением и парой пользователей никому неинтересен, но все же хотелось бы понять возможные последствия.
56 битов было ограничение на некоторую криптографию в США при царе Горохе. Это давно неактуально, любой ssh-сервер сейчас имеет rsa-ключ как минимум 1024 бита.
1. лицензия нужна только если этим софтом будут пользоваться госструктуры
2. нет
3. нет
что-то может измениться когда у тебя активных пользователей за десятки миллионов перевалит
Насколько вообще законно то, что я запланировал?
Вполне законно
1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
Не обязательна, но в лицензионном соглашении приложения лучше прописать все моменты касательно безопасности, что приложение использует не сертифицированные алгоритмы шифрования и за хранение в нем по собственной инициативе пользователя различных ПД, КТ, ДСП, ГТ и тому подобного разработчик никакой ответственности не несет.
2) Обязан ли я хранить ключи пользователей?
Тогда ни о какой безопасности речи быть не может
3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?
Немного интересный вопрос. Как ключи передаются между устройствами если не грузятся на сервер? Если опираться на самый распространенный принцип HTTPS, то там уже ключи от 128 используются и никаких проблем не наблюдается.
В самом приложении передача реализована через qr-коды (на устройстве, где ключ уже установлен, создается qr-код, который считывается другим устройством), либо через ввод вручную. На текущем этапе предполагается, что передачу ключа на расстояния превышающие длину руки пользователь осуществляет своими средствами.
Про 56 бит, насколько я понял, это длина ключа, который спец.службы могут своими силами за приемлемый срок расковырять, ну иных причин я не вижу. Находил в разных источниках про такое ограничение, но нигде не увидел понятного для себя разъяснения.
Про HTTPS, ведь дело в том, что чтобы почитать пакеты можно просто доступ к серверу запросить. А тут надо искать конкретного пользователя, и уже экстракцию ключа проводить из него.
По 3-ему пункту лучше уточните у знающих людей, потому что когда мы покупали касперского и хотели взять "Строгое шифрование" нам отказали, потому что согласно требованиям фсб шифрование должно быть легкое, т.е. 56, все что выше под запретом. Поэтому пришлось устанавливать на тачки клиента каспера с легким шифрованием.
Но возможно это только для какой то конкретной области требование, а всем остальным людям можно и 128 и выше.
Пример телеграма в этом плане скорее отрицательный, потому что к нему-то как раз были вопросы со стороны ФСБ насчет данных пользователей, и непонятно, к чему они там пришли в итоге, раз его разблокировали у нас
кот_кят_кот, к нему много вопросов со стороны многих служб АНБ, например, поэтому до Пашки и докопались.
Все остальные сервисы запада, которые цветут и пахнут уже под зонтиком...
В том-то и дело, что пока официального названия нет, по-рабочему просто "MyNotes". Писал изначально для своих нужд, проект разросся до полноценного приложения-сервиса, решил попробовать зарелизить, начал готовить к выпуску и вот первым делом сел за юр.часть.
Согласен. Но они, как я понял, не в нашей юрисдикции. Ну и тут больше вопрос кейса конкретного, сложно сказать, что они не нарушают ничего. Может быть приложение не соответствует требованиям закона, просто всем пока что все равно