Comments 73
Я так лишился старенькой моторолы-раскладушки. Попал по незнанию на курьерскую доставку СПСР-ом. И ее не пропустили, хотя такие официально продавались в этой стране.
С другой стороны, почему отправитель не может переслать устройство под видом другого?
https://en.wikipedia.org/wiki/Restrictions_on_the_import_of_cryptography (старая, правда, статья)
http://scholarlycommons.law.northwestern.edu/cgi/viewcontent.cgi?article=1205&context=njtip
Если же технология вырвется за пределы одиночек, придумают ещё один способ как предотвратить массовое распространение — обяжут производителей сделать невозможность несанкционированного применения алгоритмов шифрования — как это уже реализовано с GSM-модулями, которые закрыты по самую макушку.
Это уже все так. В смысле, что на Абсолютно любом потребительском ПК и смартфоне есть поддержка HTTPS. И свои сертификаты в 95% случаев добавить можно. Однако все претензии именно к аппаратному шифрованию.
Претензии к аппаратному видимо потому что нельзя посмотреть что внутри реализовано и при необходимости сломать. В том числе и за счёт ресурсоёмкости задачи — аппаратный шифровальщик можно сделать более стойкий к взлому при фиксированной скорости потока за счёт ресурсоёмкости алгоритмов.
Более того, какой-нибудь tor может установить любая домохозяйка (поможет ли он ей — другой вопрос). Но претензии к нему только из-за того, что он позволяет обходить блокировки. На сам факт наличия стойкого шифрования всем плевать.
В Казахстане, кроме закручивания гаек, серьезно стоит вопрос пополнения бюджета. И это один из методов. Туда же — платную временную регистрацию по месту пребывания, отдельный налог и взнос в фонд обязательного медицинского страхования (до 7% в перспективе), и еще пара-тройка инициатив.
Конечно же оператор серийный номер радиомодуля видит, это является частью процедуры низкоуровневой сетевой идентификации ещё до протокола GSM, если не ошибаюсь.
Вообще по этим кодам теоретически оператор может отслеживать смену IMEI и перепрошивку телефона, и можно его найти даже если «перебьют номера», но судя по тому что даже элементарную фильтрацию IMEI осваивают с огромным скрипом никому это особо и не надо. Но не удивлюсь что это отслеживается и где-то оседает.
"закрытая (часть GSM-модуля) с криптографией и серийным номером радиомодуля / оператор серийный номер радиомодуля видит"
Технология GSM и 3G очень подробно описана в стандартах GSM / TS / EN / 3GPP, никаких дополнительных серийных номеров радиомодуля кроме IMEI (IMEISV — это он же плюс два байта) не упоминается, как и команд для получения подобных номеров.
Стандарт 3GPP TS 22.016 http://www.qtc.jp/3GPP/Specs/22016-a00.pdf определяет именно IMEI как основной идентификатор мобильной станции и способ поиска похищенных телефонов. В этом же стандарте заявлено требование уникальности IMEI и невозможности его изменения (практика показывает что IMEI меняется легче, чем было запланировано):
International Mobile Station Equipment Identity (IMEI): An «International Mobile Station Equipment Identity» is a unique number which shall be allocated to each individual mobile station equipment in the PLMN and shall be unconditionally implemented by the MS manufacturer. … implementation of IMEI is found necessary in order to obtain knowledge about the presence of specific mobile station equipment in the network, disregarding whatever subscribers are making use of these equipments. The main objective is to be able to take measures against the use of stolen equipment or against equipment of which the use in the PLMN can not or no longer be tolerated for technical reasons. The IMEI is incorporated in an UE module which is contained within the UE. The IMEI shall be unique and shall not be changed after the ME’s final production process. It shall resist tampering, i.e. manipulation and change, by any means (e.g. physical, electrical and software).
Базовая станция запрашивает IMEI через IDENTITY REQUEST / MAP_OBTAIN_IMEI. Именно на IMEI строятся реестры EIR/CEIR (http://en.wikipedia.org/wiki/Central_Equipment_Identity_Register) и иные, перечисленные в http://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity.
"в радиомодуле находится так же и закрытый ключ"
Ключ "Authentication Key (Ki)" находится в SIM-карте (и у оператора) и не покидает её (в теории, на практике его нужно извлечь для клонирования карты, некоторые карты c COMP128v1 позволяли это сделать — https://blog.kaspersky.com/sim-card-history-clone-wars/11091/). Ключ Kc вычисляется картой и загружается в радиомодуль; в osmocombb Kc прекрасно вычитывается (motorola c123: compal_e88 — https://youtu.be/TOl4Q4lyJTI?t=87).
"низкоуровневой сетевой идентификации ещё до протокола GSM"
GSM это набор стандартов, определяющих все уровни, и высокие и низкие, см. http://en.wikipedia.org/wiki/Um_interface "Physical Layer (L1) GMSK / 8PSK, multiplexing, SCH and FCCH; Data Link Layer (L2) LAPDm; Network Layer (L3)". Никакой более низкоуровневой идентификации нет, а в GSM запрашивается IMEI.
"можно слушать соседей"
Соседей слушать нельзя (https://habrahabr.ru/post/200914/), т.к. почти все общение телефона и базы зашифровано на "Kc" соседа, и даже его IMSI в сети показывается очень редко. Кроме того, телефонный трансивер настраивает приемник на частоту Downlink, а передатчик — на частоту Uplink, поэтому не принимает ничего, отправляемого с телефона соседа. Да, взломанная прошивка может принять зашифрованные пакеты, направленные соседу, но это может сделать и 20$-200$ SDR-приемник.
"целевое глушение всегда гораздо эффективнее глушилки"
Поэтому глушить лучше специализированным агрегатом, который бы вещал на фиксированных вызывных каналах частоты Downlink (от Базы к Абонентам, см. http://en.wikipedia.org/wiki/GSM_frequency_bands и https://habrahabr.ru/post/268127/), чем "перепрошитым" радиомодулем телефона, который только и может что слушать downlink и вещать свои стандартные доли ватта на единичных uplink каналах (начиная с RACH), и все равно не сможет полностью заглушить даже RACH, как из-за мощности, так и из-за случайности интервалов повтора пакетов на нем.
Любое государство всегда прослушивало или, по крайней мере, всегда хотело и хочет иметь возможность прослушивать все, о чем говорят граждане. В России есть закон, принятый лет 20 назад, согласно которому, для того, чтобы делать средства шифрования, нужна лицензия. Что входит в условия лицензии, я не знаю, но думаю, что без бэкдоров там не обходится.
Конечно, грамотный админ сумеет все настроить и без покупки специального железа. Думаю, в ФСБ сидят не только полные идиоты и там есть люди, которые это понимают, но если любой урка пойдет на рынок и купит телефон, переговоры по которому не получится расшифровать, то это никому не понравится.
Поэтому стараются сделать так, чтобы, как уже писал Alexeyslav, не было надежного шифрования «в массах». С отдельными грамотными специалистами и организациями справляются пока другими средствами.
так что, если честно, ничего удивительного, «просто бизнес»
До сих пор многие помнят, как принтер или ксерокс нужно было регистрировать в МВДА чуть раньше — и пишущие машинки тоже.
О том, как получить устройство, пока не разрешенное в России, мы расскажем чуть позже.Нагнетаете интригу? Когда «позже»?
Зато все при деле.
Нотификация требуется для всех электронных устройств, которые каким-либо образом поддерживают криптографические возможности или шифрование.
Нет. Требуется только для товаров из списка 2.19 и только, если они попадают под нотификацию (если входят в 2.19 и не попадают, требуется лицензия)
Для получения нотификации в эти органы обращается сам производитель устройств или их продавец в этих странах.
Производитель или уполномоченный представитель. Т.е. и обычный гражданин теоретически может, если у него есть доверенность от производителя
Они должны прийти с заявлением, лицензией, предоставить техническую документацию, образцы своих девайсов и другие справки и документы
Нет. Только с самой нотификацией (и доверенностью). Никаких справок, лицензий и образцов.
Естественно, нотификация стоит денег.
Естественно, нет. Даже никакой госпошлины.
Закон допускает несколько случаев ввоза устройств без нотификации обычными людьми. О том, как получить устройство, пока не разрешенное в России, мы расскажем чуть позже
Ну это просто
Нет. Требуется только для товаров из списка 2.19
В котором как раз перечислено всё, что хоть как-то связанно с шифрованием. Включая даже документацию.
Нет. Только с самой нотификацией (и доверенностью). Никаких справок, лицензий и образцов.
Эм. Не понял. Для получения нотификации нужна нотификация?
Да я и сам брал пару планшетов с 3G по 60$
Все приходит без проблем.
Значит эти телефоны имеют разрешение?
Или за Почтой РФ не так сильно следят пока, но лавочку прикроют рано или поздно?
А так я купил BB не из-за шифрования, а просто потому что люблю кнопочки и мне нужна по сути звонилка.
2. Перемещение через таможенную границу товаров для личного пользования, ограниченных к ввозу и (или) вывозу, за исключением указанных в пункте 3 настоящей статьи, допускается при представлении таможенному органу документов, подтверждающих соблюдение ограничений, выдаваемых уполномоченными органами государства — члена таможенного союза в соответствии с таможенным законодательством таможенного союза.
и перечень II Приложения 2:
II. Перечень товаров для личного пользования, ограниченных к ввозу на таможенную территорию таможенного союза и (или) вывозу с этой территории
…
1.
При перемещении через таможенную границу любым способом:
шифровальные (криптографические) средства, ввоз которых на таможенную территорию таможенного союза и вывоз с таможенной территории таможенного союза ограничен
А вот что это за «документы, подтверждающих соблюдение ограничений» — большой вопрос. На практике таким документом нотификация точно является; есть ли что еще, что официально может получить обычный человек, сказать сложно.
Купить ноутбук, которого нет в специальном реестре, очень легко, можно даже оформить его доставку, но вероятность получить такую технику на руки стремится к нулю. На таможне такое отправление скорее всего завернут назад. В худшем случае к покупателю наведаются мужчины из органов и предложат заплатить штраф, например, через суд — прецеденты уже были.
Я правильно понимаю, что в связи с этим в Россию нельзя ввезти любую технику с кикстартера, которая имеет на борту wifi/bluetooth/3G и тд и тп (ибо вряд ли миллипизерный стартап будет заморачиваться получением нотификации, ради отправки гаджета паре беккеров из России)?
И при этом если я собственными рученьками привезу тот же самый девайс, то, надо полагать, что нотификацию никто проверять не будет...:-/
Высокие (и не очень) технологии в России слишком сложно развивать. На внешнем рынке мало того что конкуренция с китайцами, так ещё ограничения от органов. Так что выхода два — заказчик в лице государства с откатами и т.д. Или производство и продажи в Китае.
Какие устройства подлежат нотификацииЧто на счёт SSD и HDD?
Как раз недавно взял ноутбук, запарился сравнивать список моделей со списком нотификаций. И не смог взять мышку к нему, так как пересылка через посредника товар без нотификации гарантированно режет. Мышка, кстати, представлена во всех крупных сетях электроники, какими лесными тропами она обошла бдительных таможенников — загадка.
Крупные компании получают нотификации заранее, еще до вывода на рынок очередного гаджета. Этим, например, заблаговременно озаботилась Apple, получив разрешение на продажу iPhone 7 еще за пару недель до презентации смартфона.
Если бы за несколько недель — можно и на годы вперед! Как сделала компания DJI, которая не стала сильно заморачиваться и включила в свою заявку полтора десятка моделей Phantom — аж до версии номер «6» включительно.
Разумеется, при таком подходе едва ли DJI предоставляла какие-либо образцы продукции, поэтому у меня есть довольно сильное подозрение, что сама деятельность по выдаче нотификаций является жуткой профанацией.
@Banderolka а я правильно понимаю, что наличие FCC, CE, GITEKI сертификатов у девайса ни о чем не говорят для таможни, и однофигительно заворачиваются продавцу, есть нету FSS notification?
А как тогда таможня пропускает бесчисленные китайские планшеты и прочие чайнафоны с алиэкспрес?
Таможенники Югры на днях конфисковали «Sony Playstation-4» модели «CUH – 2016A», которая пришла жителю Сургута из Германии по почте.
По техническим характеристикам приставка относится к шифровальным (криптографическим) средствам. А это значит, что её ввоз на территорию России без уведомления изготовителя товаров о технических и криптографических характеристиках (нотификации) запрещен.
В Едином реестре нотификаций о характеристиках шифровальных средств и товаров информации о модели «CUH – 2016A» нет.
В итоге, заказчик не только не получил приставку, но и стал фигурантом дела об административном правонарушении по ст. 16.3 КоАП России. Санкция по этой статье предполагает штраф от одной до двух с половиной тысяч рублей.
Ханты-Мансийская таможня напоминает, что, если товар может реализовать алгоритмы криптографического преобразования информации, он в любом случае считается шифровальным средством. Даже если шифрование является неосновной или неиспользуемой функцией продукта.
Что такое нотификация, или «Легализуй это!»