Ввоз средств шифрования в Россию: разоблачая мифы

Помните недавнюю историю с иском к россиянину, заказавшему в зарубежном Интернет-магазине новый смартфон Motorola? Тогда было немало заметок на эту тему и почти все они могли бы быть сформулированы коротко: “Российские власти закручивают гайки и обычному россиянину уже даже через Интернет нельзя заказать ничего нужного — везде фискалы и правоохранительные органы вставляют палки в колеса”. Надо заметить, что такие высказывания типичны для почти любого человека, который столкнувшись с нестандартной для себя ситуацией, в которой происходит якобы ущемление прав, начинает, не разобравшись, винить во всем всех кроме себя. С ввозом смартфона ситуация была как раз из этой области. Однако случай этот был далеко не первый. Еще несколько лет назад один из россиян, купив на eBay маршрутизатор Cisco, столкнулся с аналогичной ситуацией на российской таможне. А до и после было и еще несколько аналогичных случаев. Попробуем разобраться.

Дело в том, что в России, а точнее на территории Таможенного Союза, в который входят Россия, Беларусь и Казахстан, уже несколько лет действуют правила ввоза криптографических средств, под которые попадают многие гаджеты и иные предметы, о которых мы даже не задумываемся, что они подпадают под понятие средств щифрования. До сих пор в отношении этой темы больше слухов и мифов, чем достоверной информации. Основным заблуждением является две позиции и их производные “В Россию нельзя ввозить средства шифрования Cisco” и “Я могу заказать в зарубежном Интернет-магазине или аукционе все, что угодно, и без проблем получить это в России”. Это неверно и в данной статье нам бы хотелось ответить на самые распространенные вопросы в отношении импорта ИТ-продукции, и в частности, средств шифрования.

А причем тут вообще шифровальные средства?


Документы, регламентирующие вопросы ввоза-вывоза шифровальных средств, определяют, что средства шифрования – это “аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении”. С одной стороны это очень емкое, а с другой – совсем неконкретное определение, которое может трактоваться по разному в разных ситуациях. Кодирование – это шифрование? А электронная подпись? А криптографическая аутентификация?

На самом деле с точки зрения таможенных органов контролю подлежат не только средства шифрования определенные абзацем выше, но также:

  • средства имитозащиты
  • средства электронной цифровой подписи
  • средства кодирования
  • средства изготовления криптографических ключей
  • сами криптографические ключи
  • системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций
  • системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты
  • системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.


Список получается достаточно большой, но для целей ввоза не так уж и важно само определение. Важнее то, что именно контролируется таможней. В Перечне 2.19 нет отдельно определенной группы шифровальных средств и соответствующих им кодов так называемой единой Товарной номенклатуры внешнеэкономической деятельности (ЕТН ВЭД). В Перечне 2.19 указаны наименования товаров и их коды ЕТН ВЭД, по принадлежности к которым, таможенные органы могут определить ввозимый продукт как шифровальный (и не важно, есть ли там шифрование на самом деле или нет). Применительно к продукции компании Cisco выдержка из Перечня 2.19 выглядит, например, следующим образом:



Не стоит сильно вникать в то, что написано в таблице :-) Гораздо важнее понимать, что таможенные органы контролируют все, что так или иначе мы используем в своей обычной жизни или в служебных целях — компьютеры, смартфоны, лэптопы, GPS-приемники, маршрутизаторы, точки беспроводного доступа, программное обеспечение, телевизоры и телевизионные приставки и т.п. Именно поэтому смартфон Motorola в нашумевшем недавно случае попал “под раздачу” — он считается шифровальным средством с точки зрения таможни. Хотя надо признать, что он таковым считается и не только с точки зрения таможни, но и здравый смысл подсказывает нам, что в любом современном смартфоне шифрование есть. Оно есть в чипе, реализующем любой стандарт мобильной связи (например, A5 в GSM). Оно есть в операционной системе Android или iOS или Blackberry. Оно есть в бразуере Safari или ином мобильном варианте распространенных браузеров. Оно есть в почтовом клиенте на смартфоне. Оно есть… Да мало ли приложений или микросхем на смартфоне, где есть шифрование. Если посмотреть на многие другие приведенные в таблице устройства, то мы поймем, что шифрование там действительно есть. Как минимум, для защиты информации на самом устройстве, для хранения ключей или аутентификационной информации, или для защищенного управления (SSH — это тоже шифрование).

Если в продукте шифровальный функционал не является основным или его не предполагается использовать в качестве шифровального средства, он будет считается шифровальным средством или нет?



Поставьте себя на место рядового таможенника… Как он узнает, для чего вы будете использовать провозимый через границу продукт? Может быть вы приобретенный на eBay смартфон повесите в рамочку на стену, а может быть будете им гвозди заколачивать. А может вы скрытый террорист или экстремист, который планирует использовать импортное средство связи для взаимодействия со своими подельниками? Но если отбросить шутки в сторону, то позиция властей проста — если продукт может реализовать алгоритмы криптографического преобразования информации, он в любом случае считается шифровальным средством, даже если шифрование является неосновной или неиспользуемой функцией продукта.

Иными словами получается, что почти любой ИТ-товар, пересекающий границу Российской Федерации, становится предметом таможенного регулирования и на него распространяются все правила ввоза шифровальных средств. И совершенно неважно, кто является заказчиком такого средства — физическое или юридическое лицо.

Единая ли процедура ввоза для разных средств шифровальных средств?


Все шифровальные средства (читай почти любые ИТ-продукты) по процедуре ввоза разделены на две группы:

  • Упрощенная процедура ввоза. Означает ввоз по так называемой зарегистрированной нотификации, которая оформляется для шифровальных средств, которые могут быть включены в “Перечень категорий товаров (продукции), являющихся шифровальными (криптографическими) средствами или содержащих в своем составе шифровальные (криптографические) средства, технические и криптографические характеристики которых подлежат нотификации” (приложение к ранее упомянутому Положению о ввозе, далее — Перечень НТФ).
  • Ввоз по лицензии. Шифровальные средства, непопавшие в Перечень НТВ, ввозятся на основании разовой лицензии Минпромторга России, выданной на основании заключения Центра лицензирования, сертификации и защите государственной тайны ФСБ России (далее — ЦЛСЗ) о возможности ввоза шифровального средства. Лицензия и заключение выдаются импортеру на конкретную поставку в сторону конкретного заказчика (потребителя).


Что ввозится по упрощенной схеме?


Идеально, если продукт попадает под “упрощенку”. В этом случае его ввоз ничем не отличается от ввоза любой иной, неограниченной никакими запретами продукции. На сегодняшний день в этот список попадают:

  • Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:

    • симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит (это обычный и мало где сейчас применяемый DES); или
    • асимметричный криптографический алгоритм, основанный на любом из следующих методов (тот же RSA в современной реализации в это исключение тоже не попадает):

      • на разложении на множители целых чисел, размер которых не превышает 512 бит;
      • на вычислении дискретных логарифмов в мультипликативной группе конечного поля
        размера, не превышающего 512 бит; или
      • на дискретном логарифме в группе, отличного от поименованного в вышеприведенном
        подпункте “b” размера, не превышающего 112 бит.
  • Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:

    • аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;
    • электронная цифровая подпись.
  • Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной. Именно под это исключение подпадают широко распространенные ОС — Windows, Linux и т.п.
  • Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций. Это банкоматы, оборудование для SWIFT и т.п. Cisco специально для данных целей выпускает маршрутизаторы 800-й серии с кодом PCI в коде продукта.
  • Персональные смарт-карты (интеллектуальные карты).
  • Приемная аппаратура для радиовещания, коммерческого телевидения или аналогичной коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования цифрового сигнала, кроме случаев использования шифрования исключительно для управления видео- или аудиоканалами и отправки счетов или возврата информации, связанной с программой, провайдерам вещания.
  • Оборудование, криптографические возможности которого недоступны пользователю, специально разработанное и ограниченное для применения любым из следующего

    • программное обеспечение исполнено в защищенном от копирования виде
    • доступом к любому из следующего:

      • защищенному от копирования содержимому, хранящемуся только на доступном для чтения носителе информации;
      • информации, хранящейся в зашифрованной форме на носителях, когда эти носители информации предлагаются на продажу населению в идентичных наборах
    • контролем копирования аудио- и видеоинформации, защищенной авторскими правами.
  • Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (т.е. от абонента до абонента). Именно под это исключение попадают обычные мобильные телефоны и многие модели смартфонов.
  • Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя. Домашние точки доступа вполне подпадают под это исключение.
  • Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.
  • Товары, у которых криптографическая функция заблокирована производителем. Например, Cisco для многих своих продуктовых линеек выпускает специальные версии оборудования с установленным программным обеспечением NO PAYLOAD ENCRYPTION — “NPE”. Такое ПО есть для маршрутизаторов Cisco 800, ISR 1900, ISR 2900, ISR 3900, 2100 CGR, ASR1000, ASR 903, коммутаторов Cisco Catalyst 3560-X, Catalyst 3750-X, 2500 CGS, Nexus 7000, оборудования систем видеоконференцсвязи, систем унифицированных коммуникаций. Этот список модифицированных продуктов постоянно расширяется.


Что ввозится по “сложной” схеме?


Если на пересекающий границу товар отсутствует нотификация, то ввозится он по “сложной” схеме. Даже если формально он мог бы быть оформлен по упрощенному варианту. Такая ситуация часто возникает для совсем новых продуктов, на которые производитель еще не успел (или и вовсе не планирует) оформить нотификацию.

А других вариантов нет?



В Положении указан ряд исключений, когда шифровальное средство может быть ввезено без нотификации, но и без лицензии Минпромторга. Это происходит в следующих случаях:

  • при ввозе и вывозе шифровальных средств для осуществления ремонта или замены в соответствии с обязательствами по договору (контракту, соглашению);
  • при временном ввозе и временном вывозе шифровальных средств в целях:

    • проведения научно-технической экспертизы
    • научных исследований;
    • экспонирования на выставках;
  • при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования;
  • при транзитных перевозках шифровальных средств через территорию государств – участников таможенного союза.


Правда, в этом случае все равно необходимо получение соответствующего заключения ЦЛСЗ.

Кто должен заниматься оформлением документов на ввоз средств шифрования?


В случае с ввозом по нотификации, ее оформлением занимается производитель ввозимой продукции. Например, Cisco заполняет нотификации на свою продукцию в двух экземплярах, после чего соответствующая информация попадает в Перечень НТФ, а Cisco передает сами нотификации для регистрации в ЦЛСЗ. После регистрации один экземпляр нотификации возвращается в Cisco. ЦЛСЗ также направляет информацию о зарегистрированной нотификации в ЕЭК для опубликования на сайте www.tsouz.ru/db/entr/notif/Pages/default.aspx (кстати, вы можете и сами проверить законность ввоза используемой вами продукции). В среднем, процедура регистрации нотификации занимает не менее 2-3 недель. Ввоз шифровальных средств, попадающих в Перечень НТФ, осуществляется на основании информации о зарегистрированной нотификации без оформления иных разрешительных документов.

В случае с ввозом по “сложной” схеме все работы с уполномоченными государственными органами (ЦЛСЗ и Минпромторг) осуществляет импортер (а не потребитель). Процедура получения лицензии и вся необходимая информация подробно представлена на сайте Минпромторга — www.minpromtorg.gov.ru/services/permission/export-import. При этом Положение о ввозе не делает различия между юридическими или физическими лицами, но на практике обычный гражданин врядли будет в состоянии пройти все процедуры общения с регулирующими органами.

Общий срок получения лицензии Минпромторга с учетом проведения экспертизы и получения заключения ЦЛСЗ не должен превышать 90 дней со дня регистрации обращения импортера в ЦЛСЗ. Сложившаяся практика показывает, что при условии правильно подготовленных документов, получение разрешительных документов занимает около 7 — 9 недель (ЦЛСЗ – от 4 до 6 недель, Минпромторг – не более 3 недель). При этом заказывать продукцию можно сразу после получения заключения ЦЛСЗ. Процедуру получения лицензии Минпромторга можно совместить с процессом изготовления и транспортировки продукции в Россию.

В вышеприведенном случае с ввозом смартфона он должен был попасть под упрощенную схему; но только после того, как российское юридическое лицо, представляющее интересы Motorola, зарегистрировало бы нотификацию на данный смартфон. Так как модель эта было новая и в Россию на момент заказа не поставлялась, то к смартфону была применена “сложная” схема. При этом оформлением документов на ввоз смартфона должен был заниматься не покупатель, а импортер — курьерская или логистическая компания, доставляющая товар через границу. У нее, разумеется, никаких специальных разрешительных документов на ввоз шифровального средства не было, а таможня в базе зарегистрированных нотификаций провозимой модели смартфона тоже не нашла. В результате и возникло нарушение таможенного законодательства.

Что грозит за нарушение правил ввоза средств шифрования?


Как было написано в повестке, приведенной пострадавшим любителем смартфонов Motorola, ему инкриминировали нарушение части 1 статьи 16.3 Кодекса об административных правонарушениях (“”Несоблюдение ограничений на ввоз товаров). На самом деле таможня не совсем верно классифицировала правонарушение — зесь следовало бы применить часть 2 данной статьи. Помимо статьи 16.3 возможно применение (но уже к импортеру) статей 16.2 “Недекларирование или недостоверное декларирование” и 16.7 “Представление недействительных документов при таможенном декларировании”. Все эти статьи могут быть применены как к юридическому лицу, ввозящему шифровальные средства через таможенную границу РФ, так и физическому лицу, что и было уже не раз продемонстрировано за прошедшие несколько лет.

Но вот если шифровальное средство пересекло границу и продается уже на территории России, то покупателю ничего не грозит. Дело в том, что покупка шифровальных средств на территории Российской Федерации в настоящее время никак не регламентируется. Действующее законодательство не обязывает покупателя на территории России проверять условия ввоза приобретаемых им продуктов. Только в случае заказа шифровальных средств за пределами РФ и ввоза их через границу Таможенного Союза вступают в силу все правила, описанные выше.

А разве конечный пользователь не участвует в процессе оформления своего заказа?


Как это ни странно, нет. В Положении не определены процедуры, которые должен осуществлять потребитель. Но в соответствии со сложившейся практикой, потребитель оказывает импортеру поддержку, предоставляя в ЦЛСЗ информационное письмо по применению ввозимого оборудования (для “сложной” схемы), т.к. импортер обязан указать для кого осуществляется ввоз шифровального средства. В письме указывается минимально необходимая следующая информация:

  • каталожные номера (P/N), наименования, количество ввозимых шифровальных средств
  • цель ввоза
  • краткая характеристика среды функционирования – локализация, пользователи, обрабатываемая информация
  • назначение ввозимых шифровальных средств, их размещение (адрес).


Информационное письмо должно совпадать по содержанию с заявлением в ЦЛСЗ от импортера. Отсутствие информационного письма может трактоваться как недобросовестность импортера и, как правило, означает стопроцентный отказ в выдаче заключения на ввоз шифровального средства.

С практикой оформления таких писем от потребителей — рядовых граждан нам сталкиваться не приходилось.

А вот другой вендор уверяет, что у него нет проблем с ввозом. Такое может быть?


Для перемещения любого шифровального средства через таможенную границу независимо от страны происхождения и названия производителя обязательными документами являются зарегистрированная нотификация или заключение ЦЛСЗ (при необходимости требуется также лицензия Минпромторга России). Обойти эту процедуру можно единственным способом — ввозить оборудование незаконным путем.

Если при приобретении продукции с функцией шифрования покупатель не может получит у продавца информацию о зарегистрированной нотификации или копию лицензии Минпромторга России – существует высокая вероятность, что данная продукция ввезена на территорию России с нарушением законодательства.

А если я ввез оборудование без шифрования, а потом обновил его через Интернет и получилось средство шифрования?


В действующем российском законодательстве действия по изменению криптографических характеристик устройств, уже находящихся и приобретенных на территории России не регламентированы и предсказать последствия скачивания из Интернет апгрейда с включенной криптографической функциональностью никто не возьмется. Вместе с тем, в настоящее время существует практика получения разрешения ЦЛСЗ на ввоз продуктов, позволяющих изменить криптографических характеристики имеющегося оборудования, например программного обеспечения на физическом носителе (CD/DVD) или скачиваемого по сети Интернет. Правда, действует эта практика преимущественно для юридических лиц, использующих средства шифрования. Они должны понимать, что у регулирующих и проверяющих органов могут быть вопросы к организации, которая никогда не приобретала криптографические продукты, ввезенные для нее по заключению ЦЛСЗ, но использует их в своей деятельности.

В отношении рядовых граждан, скачивающих из Интернет программные шифровальные средства, правоприменительной практики пока не сложилось.

Кто регламентирует вопросы ввоза и вывоза шифровальных средств?


Вопреки бытующему мнению, что регулирование ввоза средств шифрования у нас занимается таможня или ФСБ, это не совсем верно, а точнее совсем неверно. Эти органы по сути только выполняют распоряжения вышестоящей организации — Евразийской экономической комиссии (далее — ЕЭК), созданной решением Президентов Российской Федерации, Республики Беларусь и Республики Казахстан в конце 2011 года.

ЕЭК была создана как единый постоянно действующий регулирующий орган Таможенного союза и Единого экономического пространства. Комиссия имеет статус наднационального органа управления, не подчинена какому-либо правительству и решения Комиссии обязательны для исполнения на территории трех стран, включая и Россиию. Основной задачей ЕЭК является обеспечение условий функционирования и развития Таможенного союза и Единого экономического пространства, а также выработка предложений по дальнейшему развитию интеграции. ЕЭК передаются полномочия упраздняемой Комиссии Таможенного союза.

В соответствии с решением Межгосударственного Совета Евразийского экономического сообщества от 27 ноября 2009 года «О едином нетарифном регулировании таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации» нынешнее Положение о ввозе, с изменениями и дополнениями, действует с 01 января 2010 года. Вступление России в ВТО 22 августа 2012 года ничего не поменяло в области нетарифного регулирования внешней торговли.

После подписания договора о создании Евразийского экономического союза ситуация врядли изменится и ЕЭК пока остается основным органом, определяющим правила ввоза средства шифрования, а таможня только реализует на практике эти правила. ФСБ же, а точнее ее ЦЛСЗ, определяет, что будет ввозиться по упрощенной схеме, а что потребует бОльших телодвижений.

В качестве заключения хотелось бы ответить еще на 2 вопроса, которые могут возникнуть по ходу прочтения материала.

А мне нужна лицензия ФСБ на ввоз средств шифрования?


Нет. Несмотря на схожие названия, лицензии Минпромторга на ввоз шифровальных средств и лицензии ФСБ на деятельность с шифровальными средствами это совершенно разные ветви законодательства.

Какими документами регулируется ввоз шифровальных средств на территорию Российской Федерации?


Решением Решение Коллегии Евразийской экономической комиссии от 16 августа 2012г. №134 «О нормативных правовых актах в области нетарифного регулирования» утверждены:

  • «Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами — членами таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами», включающий в себя перечень шифровальных (криптографических) средств, ввоз которых на таможенную территорию Таможенного союза и вывоз с таможенной территории Таможенного союза ограничен (далее — Перечень 2.19).
  • Положения о применении ограничений, включающие в себя Положение о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств (далее — Положение о ввозе).


Все документы ЕЭК опубликованы на официальном сайте www.tsouz.ru.
Cisco
90.55
Cisco – мировой лидер в области сетевых технологий
Share post

Comments 82

    +42
    у вас в начале поста такой тон, что создаётся впечатление «да тот чувак просто сам всё неправильно сделал, а на самом деле всё замечательно и у нас нет никакой проблемы купить новый телефон из-за бугра» — и только после прочтения становится понятно, что никаких секретов пост не открывает, а в отношении описанного инцидента только подтверждает факт: если вам не повезло нарваться на совсем новую модель — запросто станете жертвой судебного преследования.
      +2
      Процессор, имеющий в наборе команд инструкции для AES и SHA1 ограничен к ввозу?
        0
        Если вы про новые Intel'овские, то там есть договорённость чуть ли не на уровне Путина.

        Другие процессоры — да, могут залететь на таможню с лёгкостью.
          +24
          Прекрасная страна: оборудование, использующееся во всем мире, подпадает под запрет к ввозу. И чтобы его ввозить не меняют законы, а договариваются!
            0
            С вайфаем по паспорту тоже самое — закон надо соблюдать всем, кроме властей Мордора Москвы.
              0
              В ответ на это надо всем дружно открывать точки доступа, в том числе чужие.
              –6
              Какое-то у вас странное восприятие. Вы не читали статью? Написано же, что не запрещают, а ввозят по сложной схеме при отсутствии нотификации. И если Intel не подсуетился и попал под эту нотификацию, то это называется «договорились»?
              Если сюда запрещен ввоз паленой водки из Сомали, надо ли менять свои законы или производителю надо получать необходимые лицензии?
                +12
                Мое восприятие как раз нормальное: в процессорах общего назначения НЕТ ничего такого, что нужно запрещать для свободного ввоза. Даже быстрые криптоалгоритмы — не повод. Странное восприятие как раз у тех, кто считает нормальным запрет свободного ввоза «криптооборудования», которое на самом деле — устройства общего назначения.
                  –8
                  Здесь никто не назвал это нормальным. Я просто написал, что в нашей стране есть виды деятельности, которые должны подлежать лицензии по законодательству. Вас смущает, что все виды строительства и строительных материалов подлежат также жесткому лицензированию, и то, что какой-нибудь экскаватор, который, определенно, тоже является «предметом общего пользования», должен попадать под какую-нибудь конкретную категорию транспортного и спецсредства?
                  Кроме того, если вы не будете кричать «караул, как все плохо», а почитаете статью с про разрешение ввоза процессоров, поймете, что позволили как-раз таки в целях R&D.
                    +11
                    Еще раз, вдумчиво и обстоятельно ответьте себе на вопрос: почему криптография должна быть лицензирована, почему оборудование ввозится с ограничениями. Потому что закон — не ответ. А теперь подумайте о том, что использование openSSL (который добывается как 2 пальца об асфальт) позволяет добиться всего того, что позволяет подконтрольное оборудование. И еще раз ответьте на тот же вопрос: почему и с какой целью стоит запрет на де-факто доступные всем технологии, которые к тому же используются всеми. И почему нет запрета на жирные FPGA, которые по производительности в области криптографии уделают ФСБ.
                      +1
                      Мы с вами говорим про разные вещи. Я вам про то, что есть, вы мне про то, что хотите.
                      запрет на де-факто доступные всем технологии
                      ничего не запрещено, получайте лицензии или обосновывайте ввоз.
                      И почему нет запрета на жирные FPGA
                      Потому что это не является криптосредством, нет? Если на листке бумаги можно зашифровать текст, это же не значит что их надо запрещать?
                      использование openSSL позволяет добиться всего того, что позволяет подконтрольное оборудование
                      Вы сами понимаете, что openssl не продается, ему не надо проходить никаких таможенных пунктов и пошлин, его нет в принципе для контролирующего органа? Вы не поставите его на военный объект, в государственную компанию или орган там, где это необходимо? При использовании его вы не найдете крайнего за нарушение какого-нибудь закона о защите персональной информации.

                        +5
                        И я спрошу еще раз: почему же так есть? И почему вы считаете такое положение вещей нормальным?
                          +2
                          Вообще-то, контроль ввозимой криптографии — это норма почти для любой крупной страны. Вопросы национальной безопасности. У нас есть перегибы, это безусловно. Но скорее в части использования, а не ввоза. Ввозить-то как раз не запрещено — скорее власти хотят контролировать этот ввоз.
                            +7
                            Это бессмысленно: криптография доступна в софте и нет смысла на ограничения по ввозу железа. У меня каждый день перед глазами десятки примеров использования криптографии по зло и контроль ввоза никак не защитил простых людей. Потому что любой может слить openSSL и поиметь криптографию.
                              +1
                              Да, я согласен. Но таковы уж правила игры :-(
                        0
                        Погодите, то есть FPGA не нужно сертифицировать в ФСБ?
                          0
                          Специализированные или generic? Первые надо, вторые нет
                  +3
                  Так это же стандартная проблема: рефакторить или hotfix написать. Чаще всего выбирают hotfix
              +4
              А подскажите пожалуйста, если я еду на машине в другую страну (ЕС) и там покупаю Moto 360. На месте выкидываю коробку и провожу через границу как свои часы. Я получается тоже нарушаю законодательство?
              Ведь в этом случае так же можно сказать про любой не РСТ девайс, который я могу купить в России и с ним уехать.
              Или это все касается только новых устройств, которые ввозят/вывозят для продажи?
                +1
                Если ты купишь за границей imac и по дурости покажешь чек с коробкой нашим таможенникам, придется заплатить пошлину. Ситуация аналогичная.
                  0
                  На самом деле тут все от суммы зависит.
                    0
                    Не зависит. Точнее в случае ввоза средств шифрования не важна их стоимость — работают другие инструкции
                  +2
                  Формально, вы нарушаете :-) У таможни есть инструкция по контролю ввоза/вывоза шифровальных средств ФИЗЛИЦАМИ. Но они ее, к счастью, не применяют на практике. Но могут :-(
                  +15
                  Какую цель преследуют эти законы?
                    +23
                    Кормление дармоедов и указание на «кто здесь главный», не иначе. Средства изготовления криптографических ключей — игральные кости что ли?! А ведь с их помощью можно… И этих «законодателей» х… вых не интересует, что с момента написания прошло лет 50 и все те функции, что они контролируют, легко реализуются на обычных процессорах общего назначения.
                      +9
                      Борьбу с укро-педо-фашисто-террористами, естественно. Или вы хотите разрешить им пользоваться для своих грязных делишек криптографическими технологиями, которые недоступны для контроля и анализа ребятам из КГБФСБ?
                        +3
                        Главное — ни слова о GPG и OpenSSL! Тсс! ;-)
                          –2
                          С openssl есть такая маленькая проблемка для государства, которая делается очевидной, как только мы прочтем список организаций изначальных спонсоров проекта.
                            +1
                            С любой криптографией для государства есть та же проблема: зашифровать данные — бесплатно, а расшифровать — никаких денег не хватит. Что AES, что RSA, что ГОСТ — все одно.
                              0
                              Вы просто не разбирались с вопросом. Вот Вам пример — cisco DX650. Телефон, с активным шифрованием AES. Но ввозится по нотификации, без проблем, как и будут новые EX ввозиться. Вопрос — почему существует такая вещь и так ли бездумно ФСБ возится с криптографией. То есть конечно разумность не всегда прослеживается, но в данном случае она вполне очевидна.
                                0
                                Криптография в унифицированных коммуникациях может использоваться для двух задач — шифрования управляющего трафика и для шифрования пользовательских данных (видео/голоса). Во многих ввозимых в Россию средствах унифицированных коммуникаций разрешено первое, но не второе
                                0
                                То есть вы утверждаете, что есть некий «секретный» способ вскрытия произвольных данных, зашифрованных AES? Или, может, дело в том что службы знают слабости в конкретно этом оборудовании и слабости к AES не имеют никакого отношения?
                                  0
                                  Не секретный. Основание выдачи — так как криптография основывается на библиотеках с открытым исходным кодом. Как впрочем и ОС (Android 4.1) внутри DX650. В данном случае ИМХО разрешение выдано на основании того что там вероятнее всего нет закладок от заклятых друзей ФСБ. А что касается вскрытия AES — даже если протокол сейчас стойкий ко взлому его стойкость никак не мешает скажем MitM (тут машем рукой СОРМ) или компрометации входного/выходного узла (привет админам и программистам). Ну и все же мне не совсем понятна такая агрессия с Вашей стороны.
                                    0
                                    Как поможет СОРМ без валидных сертификатов?
                                      0
                                      А у Вас есть гарантия что такие сертификаты не могут быть туда загружены? Технически любая вменяемая DLP система совершает MitM атаку на сотрудников фирмы. Причем даже если сертификат самоподписанный далеко не всегда будет сообщение о том что соединение недоверенное.
                      +3
                      В РФ практически любой крупный провайдер продает сертификаты SSL подписанные в странах «вероятного противника», например Thawte или Comodo Wildcard. Продают совершенно свободно и за рубли. Интерено, они их «ввозят» или «изготавливают»?
                        +3
                        Сертификат не является средством шифрования.
                          0
                          Сертификат содержит публичный ключ.
                            0
                            В самом посте написано:
                            На самом деле с точки зрения таможенных органов контролю подлежат не только средства шифрования определенные абзацем выше, но также:

                            сами криптографические ключи


                            Сертификат не попадает под данное определение? Он же содержит в себе публичный ключ.
                              0
                              Интересно было бы посмотреть процесс контроля ввоза приватных ключей.

                              «Внимание, граждане ввозящие! На входе предъявляйте криптоконтейнеры в открытом виде к осмотру таможенным офицером.»
                          +5
                          Не хватает сравнения с другими странами. Насколько я знаю, в США тоже существуют какие-то ограничения на криптографические средства. В Java приходится обновлять настройки security, например, т.к. изначально установлены ограничения на длину ключа.
                            +14
                            В США все строго наоборот — нельзя вывозить сильную криптографию. Ввозить — можно что угодно.
                            Однако и с вывозом — есть backdoor-ы в законе, под названием «свобода слова». Когда нужно было вывезти первую реализацию PGP, разработчики распечатали ее исходники в виде книги и свободно провезли через границу, задекларировав что везут, т.к. свобода слова — никто не может запрещать, гарантированное конституцией право.
                              0
                              А если бы Сноуден распечатал всю добытую информацию в виде книги, он бы тоже смог в такой форме её провезти?
                                +4
                                Технически — да. Однако его бы за то, что он ее распечатал — посадили бы :) А за то, что распечатал в виде книге то, что принадлежит тебе — ты ничего не нарушаешь.
                              • UFO just landed and posted this here
                              +15
                              IMHO, но статься должна была закончится фразой «В России установлены бредовые законы в области ввоза и использования криптосредств.»
                                +1
                                Я вот думаю надо ли будет оформлять ASIC, который будет идти по почте. Основная задача которого как раз считать SHA хэши. :)
                                  0
                                  Уважаемые комментирующие коллеги, а вам не кажется, что комментарии явно скатываются в политическую плоскость вместо технической?
                                  Автор разъяснил ряд нюансов, лично я для себя узнал немало нового — за это автору спасибо.

                                  А вопросы «почему у нас в стране такие @#$ законы» — они, кмк, выходят за рамки не только статьи, но и хабра в целом.
                                    +1
                                    Выходят за рамки статьи и правил Хабра. Но речь идёт о правилах, по которым мы живём (обязаны жить).

                                    С учётом последних законов, ограничивающих вещи (которые, наоборот, стоило бы развивать) — вполне понятны ощущения комментирующих, читающих про ещё одно ограничение IT-жизни России.

                                    А так много их потому, что автор подаёт материал в ключе: «вот правила жизни» — а не «вот такая лажа».
                                      +4
                                      Так этому «ограничению» уже много лет. Большинство компаний с ними живут и вполне успешно ввозят в РФ криптографию. Но немало компаний не в курсе этой законодательной казуистики и поэтому часто натыкаются на якобы запреты ввоза, которых нет. Статья направлена на раскрытие этих особенностей ввоза. Спорить о том, нужны эти ограничения или нет, я не вижу смысла. Изменить их мы не в состоянии. Надо научиться с ними жить.
                                        0
                                        За раскрытие спасибо.
                                        +1
                                        Мне думается, в совершенно правильном ключе подаёт. Правила жизни в РФ — да, на данный момент таковы. Обсуждать их, выдавать оценку, искать способы их изменения — это и называется политика и тема эта ну вот совсем не для хабра.
                                      +1
                                      По поводу ответственности покупателей на eBay.
                                      Обязан ли покупатель устройства с явным прикладным применением выяснять наличие в нём средств шифрования? Как это вообще можно сделать? Кто несёт ответственность за предоставление данной информации?

                                      К примеру, некто хочет купить себе на eBay некий девайс (допустим, новый мобильник).
                                      Списался с продавцом, просил подтвердить, что аппарат не содержит средств шифрования и получил подтверждение.
                                      А в реальности — пришел аппарат, подпадающий под данные ограничения и таможня его задержала.
                                      Кто виноват в данном случае?

                                      Или немного по другому — заказал устройство XXX, не содержащее средств шифрования.
                                      А в действительности приходит устройство XXX-Secure, полностью идентичное устройству XXX, но содержащее средства шифрования и извинения от продавца «извини, друг. XXX кончились, шлю тебе за те же деньги чуть более дорогую версию»,… таможня девайс задержала.
                                      Чья вина?

                                      И можно ли в случае получения повестки отмазаться с формулировкой «да я вообще этого не заказывал, отправитель наверное ошибся адресом»?
                                      Что будет в этом случае с посылкой? Получит ли отправитель её назад? Или посылка будет задержана, а отправитель получит страховку (при её наличии), т.к. посылка не доставлена и «потерялась где-то на просторах необъятной России»?
                                        +3
                                        Слышал, что часто устройство, которое нельзя просто так ввозить, провозят как другое устройство, которое можно ввозить. Можно попутно ещё и на отчислениях сэкономить, если дорогое устройство провозить как дешевое. Не знаю, кто в таком случае отвечает, если схема вскрывается: покупатель может сказать, что он заказывал дешевое разрешенное устройство, а по ошибке пришло дорогое запрещенное, а продавец в таких случаях имеет юридическую защиту и вообще находится в далёкой стране. Сдается мне, в таких случаях на карту ставится только судьба самого устройства, которое могут конфисковать.
                                          +1
                                          Покупатель сейчас не несет ответственности за незаконный ввоз, если не он был импортером. А случаи ввоза ИТ-продукции под видом «зеленого горошка» бывали. И между продавцом и покупателем всегда есть импортер. Всегда. Он и отвечает за незаконный ввоз.
                                            0
                                            Кто является импортером, если устройство переправляют по почте?
                                              +1
                                              Нет такого понятия «почта» :-) Есть вполне конкретные компании — «Почта России», DHL, FedEX, UPS, EMS-Гарант и т.п.
                                                0
                                                Эти компании и будут отвечать? То есть покупатель и продавец ничем не рискуют при такой схеме?
                                                  +1
                                                  Продавец в принципе ничем не рискует — он является иностранным юридическим лицом и не обязан соблюдать российское законодательство. Покупатель не рискует только в случае покупки продукта на территории России. Если же он приобретает продукт заграницей, то для него наступает ответственность за недостоверное декларирование. Ну и импортер тоже может пострадать. А кто из двух (или оба) — это уже зависит от множества факторов
                                          0
                                          И можно ли в случае получения повестки отмазаться с формулировкой «да я вообще этого не заказывал, отправитель наверное ошибся адресом»?

                                          Нельзя, получатель все равно несет ответственность. Смотрит решения судов по 138.1 УК РФ. Был еще случай, когда человек заказал с Aliexpress некоторый БАД, который, как оказалось, содержит вещество, внесенное в перечень. И человека посадили, если мне не изменяет память, на 5 лет. Хотя прямых доказательств, что человек делал заказ сам не было.
                                            0
                                            Вот это номер!!!
                                            Получается, самый лучший способ сделать кому-то подлянку — заказать нечто запрещенное на его имя, а потом (для гарантии) «сдать» его с этой посылкой ??
                                              +1
                                              В общем да. Я правда не знаю можно ли «сдать» получателя, но таможня и сама неплохо ловит, как показывает практика. Главное заказать EMS или DHL, тогда гарантия почти 100%.
                                          +8
                                          В статье смутила одна формулировка: «поставьте себя на место таможенника...» Когда речь идет о правилах и законах, подобные вещи говорить некрасиво, потому что место таможенника никакой роли играть не должно. Если в законодательстве закреплена, фактически, презумпция виновности, то об этом не надо стесняться говорить прямо, и не надо подменять ее существование душевными муками сотрудников таможни.
                                            +1
                                            Согласно гражданско-правовым отношениям она по сути и есть. По ГПК/КоАП именно вы должны доказывать свою невиновность, в то время как в уголовном судопроизводстве вам ничего доказывать не надо. Именно там и существует презумпция невиновности. Вот если бы речь шла об отмененной в УК статье за контрабанду, тогда вы были бы правы — именно таможня/прокурор должны были доказать вашу виновность. По ГПК они усмотрели нарушение и теперь ваша задача доказать свою правоту. Как при нарушении правил ПДД — именно вы, а не ГИБДД, доказываете свою невиновность.

                                            Но в данном случае не идет речь о презумпции виновности или невиновности. Есть так называемые Васенаарские соглашения, которые Россия подписала (наряду с еще 32-мя странами) в 1996-м году. Согласно ним технологии двойного назначения (а криптография — одна из них) контролируются достаточно жестко. Описанные в статье правила направлены на реализацию этих самых соглашений.
                                              +2
                                              Вы невнимательно прочли мой комментарий или неверно его интерпретировали.
                                              Я как раз и утверждал, что имеет место презумпция виновности. И говорить в статье стоило, в том числе, о ней. Я не утверждал, что должна действовать презумпция невиновности — это уже второй вопрос, которого я в комментарии не касался.

                                              Мое замечание касалось того, что объяснять причину происходящего личными переживаниями таможенников (именно на это и указывает выражение «поставьте себя на место...», которое как-бы отрицает наличие формальной законодательной базы и говорит о том, что это что-то вроде личного решения таможенников) — по меньшей мере, странно.
                                                +1
                                                В том то и дело, что в данной ситуации вообще нельзя говорить о какой-то презумпции. Есть правило, которое таможенник должен соблюсти. Ситуация «поставьте себя на место» была описана в ответ на висящий в воздухе вопрос: «А если я не буду использовать функционал шифрования?»
                                                  0
                                                  Суть презумпции, в том числе, в том, что всегда предполагается, что возможность или средство (в юридическом смысле) будут использованы. И именно декларацией презумпции является существование правила, требующего трактовать ситуацию именно так.
                                                  Так что ответом на упомянутый выше вопрос правомерно считать само правило. И снова, место сотрудника таможни тут не при чем, перед ним в рамках закона никакой дилеммы не стоит. (Вне рамок — стоит, но, повторюсь, это другая история.)
                                            0
                                            … в Англии случилась революция, королеву казнили, во Франции начались волнения, парламент был вынужден самораспуститься и отменить свои решения, а в России народ начал занимать очередь в пятницу вечером, что-бы быстрее освободиться в субботу.
                                              +1
                                              А в России расстреляли императора. Раз уж вы вспомнили Анну Болейн, которая была казнена мужем, потому что она его достала. Если же вы имели ввиду Марию Стюарт, которая так и не стала королевой Англии, то её казнь — явно не воля народа, а результат интриг королевского двора.
                                                +2
                                                Я имел в виду известный боянистый анекдот. Данная статья как раз похожа на занимание очереди с вечера.
                                                  +1
                                                  В России расстреляли гражданское лицо, которое ранее было императором. Или вы про Александра II? В него кинули бомбу.
                                                +1
                                                Отношение бизнеса к административным барьерам напрямую зависит от положения данного бизнеса относительно барьера. До — неизбежное зло, после — бонус относительно отставших конкурентов.
                                                  0
                                                  Помнится несколько лет назад купил несколько VPN-маршрутизаторов Dlink. У троих был доступен 3DES, а одного нет, только DES. Долго вертел в руках, пока не разглядел _RU_ в имени фирмварки. Перезалил — и все сразу появилось. Видимо готовили для российского рынка, а попал к нам.

                                                  Видимо так и обходятся суровые таможенные правила РФ.

                                                    0
                                                    В свое время в РФ был запрещен стандарт IEEE 802.11n. В случае с роутерами это решалось прошивкой на DD-WRT, а вот со встроенными в ноутбуки адаптерами были проблемы. Некоторые разлачивались установкой пропатченного драйвера, а вот на некоторых производители постарались и требовалась перепрошивка самого модуля. Которая еще и не всегда была возможна. Так что ограничения эти обходятся не всегда так просто.
                                                    0
                                                    А можно подробнее про «при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования»?

                                                    Это касается любых юрлиц или только юрлиц с лицензией на разработку/использование СКЗИ и Ко?
                                                      0
                                                      Лицензии на использование СКЗИ не существует. Речь идет о ввозе для себя.
                                                        0
                                                        Алексей,

                                                        получается, что любое юрлицо может ввести шифровальные средства не связываясь с нотификациями, лицензированием, и пр.? Или при этом надо доказывать, что это необходимо для обеспечения собственных нужд организации? Не могли бы Вы пояснить.
                                                          0
                                                          Как вы думаете, почему абсолютное большинство компаний не обладает собственным автопарком для развоза сотрудников по клиентам и партнерам, а предпочитает услуги такси? Или почему мы отдаем детей в школы, а не занимаемся их образованием самостоятельно? Или почему ходим к врачам, а не лечимся сами? У каждой компании своя сфера компетенций, а каждая сфера деятельности может иметь свои ограничения и требования, на которые компания пойдет только при наличии серьезных выгод. Вот также и с внешнеэкономической деятельностью — у вас должны быть заключены прямые договора с иностранным поставщиком, вы должны знать, как работает таможня и Минпромторг и кучу других нюансов. Именно ради них и поручают доставку товаров посредникам. Это выгоднее. Ради ввоза одной-двух партий шифровальных средств компания врядли будет входить в этот бизнес.
                                                            0
                                                            Алексей,

                                                            Ирония, это, конечно, хорошо. Спасибо.

                                                            Если серьезно. Клиент собирался нам (РФ, юрлицо, спец-лицензий нет) послать (через границу) несколько специальных SIM-карт. Компания-экспедитор нам сказала, что это не возможно, поскольку это не возможно никогда и мы не сможем их получить. Права ли она, или нам стоит поменять экспедитора?
                                                              0
                                                              Ну с ходу я не могу сказать — надо понимать, к какому коду ТН ВЭД относится отправляемая карта. Но вообще явных запретов на ввоз нет. Есть ограничения и, возможно, нежелание у экспедитора связываться с этой поставкой. У нас некоторые партнеры тоже так говорят, не желая связываться с письмами в ФСБ. Если это SIM-карты, может просто физлицом перевезти с оказией?
                                                      0
                                                      На заметку тем кто хочет ввезти «брендовое» оборудование.
                                                      Для торговых марок зарегистрированных в таможенном реестре объектов интеллектуальной собственности, таможенники могут обратиться к владельцу марки для заключения о контрафакте.
                                                      А контрафактом будет считаться любое оборудование ввезенное не по официальным каналам.
                                                      Так что не только нотификация потребуется но и подтверждение от владельца марки.

                                                      Only users with full accounts can post comments. Log in, please.