Необходимо ли лицензирование ПО / устройств в ФСБ при использовании общеизвестных алгоритмов шифрования?

Question

[konfuze]

Есть несколько устройств, которые общаются по WiFi (без шифрования) или Bluetooth и передают данные, подписанные RSA (в принципе, не конечное решение, но хочется использовать что-то готовое).
Данные сугубо технические, не содержащие никаких персональных данных.

Планируется коммерческая продажа устройств и ПО.
Необходимо ли получение лицензии ФСБ на шифрование? Есть ли варианты обойти лицензирование, но не передавать данные в открытом виде?

Answer 1

[bnytiki]

Во первых:

Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств НЕ РАСПРОСТРАНЯЕТСЯ на деятельность с использованием:

• шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
  
• шифровальных (криптографических) средств, а также товаров, содержащих шифровальные (криптографические) средства, реализующих либо симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит, либо ассиметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления дискретных логарифмов в иной группе размера, не превышающего 112 бит;
  
• товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
  
• шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
  
• персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании или системах, указанных в подпунктах «е» — «и» настоящего пункта, или персональных смарт-карт (интеллектуальных карт) для широкого общедоступного применения, криптографические возможности которых недоступны пользователю и которые в результате специальной разработки имеют ограниченные возможности защиты хранящейся на них персональной информации;
  
• приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания;
  
• оборудования, криптографические возможности которого недоступны пользователю, специально разработанного и ограниченного для осуществления следующих функций:
  
• — исполнение программного обеспечения в защищенном от копирования виде;
  
• — обеспечение доступа к защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации, либо доступа к информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах;
  
• — контроль копирования аудио- и видеоинформации, защищенной авторскими правами;
  
• шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями;
  
• портативных или мобильных радиоэлектронных средств гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к абоненту);
  
• беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);
  
• шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;
  
• товаров, у которых криптографическая функция гарантированно заблокирована производителем.
  

Во вторых - кроме ФСБ еще и ФСТЭК

Comments

[Макс]

если это не средство защиты - причем здесь ФСТЭК?

Answer 2

[Макс]

Постановление № 313 о лицензировании шифрования...
3. Настоящее Положение не распространяется на деятельность с использованием:
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

я конечно не юрист, но как я понимаю - если Вы будете использовать встроенную в ОС крипту, то лицензия не нужна.
алтренативная отмазка - ключ менее 56 бит, слабая крипта.