Как стать автором
Обновить

Комментарии 82

у вас в начале поста такой тон, что создаётся впечатление «да тот чувак просто сам всё неправильно сделал, а на самом деле всё замечательно и у нас нет никакой проблемы купить новый телефон из-за бугра» — и только после прочтения становится понятно, что никаких секретов пост не открывает, а в отношении описанного инцидента только подтверждает факт: если вам не повезло нарваться на совсем новую модель — запросто станете жертвой судебного преследования.
Процессор, имеющий в наборе команд инструкции для AES и SHA1 ограничен к ввозу?
Если вы про новые Intel'овские, то там есть договорённость чуть ли не на уровне Путина.

Другие процессоры — да, могут залететь на таможню с лёгкостью.
Прекрасная страна: оборудование, использующееся во всем мире, подпадает под запрет к ввозу. И чтобы его ввозить не меняют законы, а договариваются!
С вайфаем по паспорту тоже самое — закон надо соблюдать всем, кроме властей Мордора Москвы.
В ответ на это надо всем дружно открывать точки доступа, в том числе чужие.
Какое-то у вас странное восприятие. Вы не читали статью? Написано же, что не запрещают, а ввозят по сложной схеме при отсутствии нотификации. И если Intel не подсуетился и попал под эту нотификацию, то это называется «договорились»?
Если сюда запрещен ввоз паленой водки из Сомали, надо ли менять свои законы или производителю надо получать необходимые лицензии?
Мое восприятие как раз нормальное: в процессорах общего назначения НЕТ ничего такого, что нужно запрещать для свободного ввоза. Даже быстрые криптоалгоритмы — не повод. Странное восприятие как раз у тех, кто считает нормальным запрет свободного ввоза «криптооборудования», которое на самом деле — устройства общего назначения.
Здесь никто не назвал это нормальным. Я просто написал, что в нашей стране есть виды деятельности, которые должны подлежать лицензии по законодательству. Вас смущает, что все виды строительства и строительных материалов подлежат также жесткому лицензированию, и то, что какой-нибудь экскаватор, который, определенно, тоже является «предметом общего пользования», должен попадать под какую-нибудь конкретную категорию транспортного и спецсредства?
Кроме того, если вы не будете кричать «караул, как все плохо», а почитаете статью с про разрешение ввоза процессоров, поймете, что позволили как-раз таки в целях R&D.
Еще раз, вдумчиво и обстоятельно ответьте себе на вопрос: почему криптография должна быть лицензирована, почему оборудование ввозится с ограничениями. Потому что закон — не ответ. А теперь подумайте о том, что использование openSSL (который добывается как 2 пальца об асфальт) позволяет добиться всего того, что позволяет подконтрольное оборудование. И еще раз ответьте на тот же вопрос: почему и с какой целью стоит запрет на де-факто доступные всем технологии, которые к тому же используются всеми. И почему нет запрета на жирные FPGA, которые по производительности в области криптографии уделают ФСБ.
Мы с вами говорим про разные вещи. Я вам про то, что есть, вы мне про то, что хотите.
запрет на де-факто доступные всем технологии
ничего не запрещено, получайте лицензии или обосновывайте ввоз.
И почему нет запрета на жирные FPGA
Потому что это не является криптосредством, нет? Если на листке бумаги можно зашифровать текст, это же не значит что их надо запрещать?
использование openSSL позволяет добиться всего того, что позволяет подконтрольное оборудование
Вы сами понимаете, что openssl не продается, ему не надо проходить никаких таможенных пунктов и пошлин, его нет в принципе для контролирующего органа? Вы не поставите его на военный объект, в государственную компанию или орган там, где это необходимо? При использовании его вы не найдете крайнего за нарушение какого-нибудь закона о защите персональной информации.

И я спрошу еще раз: почему же так есть? И почему вы считаете такое положение вещей нормальным?
Вообще-то, контроль ввозимой криптографии — это норма почти для любой крупной страны. Вопросы национальной безопасности. У нас есть перегибы, это безусловно. Но скорее в части использования, а не ввоза. Ввозить-то как раз не запрещено — скорее власти хотят контролировать этот ввоз.
Это бессмысленно: криптография доступна в софте и нет смысла на ограничения по ввозу железа. У меня каждый день перед глазами десятки примеров использования криптографии по зло и контроль ввоза никак не защитил простых людей. Потому что любой может слить openSSL и поиметь криптографию.
Да, я согласен. Но таковы уж правила игры :-(
Погодите, то есть FPGA не нужно сертифицировать в ФСБ?
Специализированные или generic? Первые надо, вторые нет
Так это же стандартная проблема: рефакторить или hotfix написать. Чаще всего выбирают hotfix
А подскажите пожалуйста, если я еду на машине в другую страну (ЕС) и там покупаю Moto 360. На месте выкидываю коробку и провожу через границу как свои часы. Я получается тоже нарушаю законодательство?
Ведь в этом случае так же можно сказать про любой не РСТ девайс, который я могу купить в России и с ним уехать.
Или это все касается только новых устройств, которые ввозят/вывозят для продажи?
Если ты купишь за границей imac и по дурости покажешь чек с коробкой нашим таможенникам, придется заплатить пошлину. Ситуация аналогичная.
На самом деле тут все от суммы зависит.
Не зависит. Точнее в случае ввоза средств шифрования не важна их стоимость — работают другие инструкции
Формально, вы нарушаете :-) У таможни есть инструкция по контролю ввоза/вывоза шифровальных средств ФИЗЛИЦАМИ. Но они ее, к счастью, не применяют на практике. Но могут :-(
Какую цель преследуют эти законы?
Кормление дармоедов и указание на «кто здесь главный», не иначе. Средства изготовления криптографических ключей — игральные кости что ли?! А ведь с их помощью можно… И этих «законодателей» х… вых не интересует, что с момента написания прошло лет 50 и все те функции, что они контролируют, легко реализуются на обычных процессорах общего назначения.
Борьбу с укро-педо-фашисто-террористами, естественно. Или вы хотите разрешить им пользоваться для своих грязных делишек криптографическими технологиями, которые недоступны для контроля и анализа ребятам из КГБФСБ?
Главное — ни слова о GPG и OpenSSL! Тсс! ;-)
С openssl есть такая маленькая проблемка для государства, которая делается очевидной, как только мы прочтем список организаций изначальных спонсоров проекта.
С любой криптографией для государства есть та же проблема: зашифровать данные — бесплатно, а расшифровать — никаких денег не хватит. Что AES, что RSA, что ГОСТ — все одно.
Вы просто не разбирались с вопросом. Вот Вам пример — cisco DX650. Телефон, с активным шифрованием AES. Но ввозится по нотификации, без проблем, как и будут новые EX ввозиться. Вопрос — почему существует такая вещь и так ли бездумно ФСБ возится с криптографией. То есть конечно разумность не всегда прослеживается, но в данном случае она вполне очевидна.
Криптография в унифицированных коммуникациях может использоваться для двух задач — шифрования управляющего трафика и для шифрования пользовательских данных (видео/голоса). Во многих ввозимых в Россию средствах унифицированных коммуникаций разрешено первое, но не второе
То есть вы утверждаете, что есть некий «секретный» способ вскрытия произвольных данных, зашифрованных AES? Или, может, дело в том что службы знают слабости в конкретно этом оборудовании и слабости к AES не имеют никакого отношения?
Не секретный. Основание выдачи — так как криптография основывается на библиотеках с открытым исходным кодом. Как впрочем и ОС (Android 4.1) внутри DX650. В данном случае ИМХО разрешение выдано на основании того что там вероятнее всего нет закладок от заклятых друзей ФСБ. А что касается вскрытия AES — даже если протокол сейчас стойкий ко взлому его стойкость никак не мешает скажем MitM (тут машем рукой СОРМ) или компрометации входного/выходного узла (привет админам и программистам). Ну и все же мне не совсем понятна такая агрессия с Вашей стороны.
Как поможет СОРМ без валидных сертификатов?
А у Вас есть гарантия что такие сертификаты не могут быть туда загружены? Технически любая вменяемая DLP система совершает MitM атаку на сотрудников фирмы. Причем даже если сертификат самоподписанный далеко не всегда будет сообщение о том что соединение недоверенное.
В РФ практически любой крупный провайдер продает сертификаты SSL подписанные в странах «вероятного противника», например Thawte или Comodo Wildcard. Продают совершенно свободно и за рубли. Интерено, они их «ввозят» или «изготавливают»?
Сертификат не является средством шифрования.
Сертификат содержит публичный ключ.
В самом посте написано:
На самом деле с точки зрения таможенных органов контролю подлежат не только средства шифрования определенные абзацем выше, но также:

сами криптографические ключи


Сертификат не попадает под данное определение? Он же содержит в себе публичный ключ.
Интересно было бы посмотреть процесс контроля ввоза приватных ключей.

«Внимание, граждане ввозящие! На входе предъявляйте криптоконтейнеры в открытом виде к осмотру таможенным офицером.»
Не хватает сравнения с другими странами. Насколько я знаю, в США тоже существуют какие-то ограничения на криптографические средства. В Java приходится обновлять настройки security, например, т.к. изначально установлены ограничения на длину ключа.
В США все строго наоборот — нельзя вывозить сильную криптографию. Ввозить — можно что угодно.
Однако и с вывозом — есть backdoor-ы в законе, под названием «свобода слова». Когда нужно было вывезти первую реализацию PGP, разработчики распечатали ее исходники в виде книги и свободно провезли через границу, задекларировав что везут, т.к. свобода слова — никто не может запрещать, гарантированное конституцией право.
А если бы Сноуден распечатал всю добытую информацию в виде книги, он бы тоже смог в такой форме её провезти?
Технически — да. Однако его бы за то, что он ее распечатал — посадили бы :) А за то, что распечатал в виде книге то, что принадлежит тебе — ты ничего не нарушаешь.
НЛО прилетело и опубликовало эту надпись здесь
IMHO, но статься должна была закончится фразой «В России установлены бредовые законы в области ввоза и использования криптосредств.»
Я вот думаю надо ли будет оформлять ASIC, который будет идти по почте. Основная задача которого как раз считать SHA хэши. :)
Уважаемые комментирующие коллеги, а вам не кажется, что комментарии явно скатываются в политическую плоскость вместо технической?
Автор разъяснил ряд нюансов, лично я для себя узнал немало нового — за это автору спасибо.

А вопросы «почему у нас в стране такие @#$ законы» — они, кмк, выходят за рамки не только статьи, но и хабра в целом.
Выходят за рамки статьи и правил Хабра. Но речь идёт о правилах, по которым мы живём (обязаны жить).

С учётом последних законов, ограничивающих вещи (которые, наоборот, стоило бы развивать) — вполне понятны ощущения комментирующих, читающих про ещё одно ограничение IT-жизни России.

А так много их потому, что автор подаёт материал в ключе: «вот правила жизни» — а не «вот такая лажа».
Так этому «ограничению» уже много лет. Большинство компаний с ними живут и вполне успешно ввозят в РФ криптографию. Но немало компаний не в курсе этой законодательной казуистики и поэтому часто натыкаются на якобы запреты ввоза, которых нет. Статья направлена на раскрытие этих особенностей ввоза. Спорить о том, нужны эти ограничения или нет, я не вижу смысла. Изменить их мы не в состоянии. Надо научиться с ними жить.
За раскрытие спасибо.
Мне думается, в совершенно правильном ключе подаёт. Правила жизни в РФ — да, на данный момент таковы. Обсуждать их, выдавать оценку, искать способы их изменения — это и называется политика и тема эта ну вот совсем не для хабра.
По поводу ответственности покупателей на eBay.
Обязан ли покупатель устройства с явным прикладным применением выяснять наличие в нём средств шифрования? Как это вообще можно сделать? Кто несёт ответственность за предоставление данной информации?

К примеру, некто хочет купить себе на eBay некий девайс (допустим, новый мобильник).
Списался с продавцом, просил подтвердить, что аппарат не содержит средств шифрования и получил подтверждение.
А в реальности — пришел аппарат, подпадающий под данные ограничения и таможня его задержала.
Кто виноват в данном случае?

Или немного по другому — заказал устройство XXX, не содержащее средств шифрования.
А в действительности приходит устройство XXX-Secure, полностью идентичное устройству XXX, но содержащее средства шифрования и извинения от продавца «извини, друг. XXX кончились, шлю тебе за те же деньги чуть более дорогую версию»,… таможня девайс задержала.
Чья вина?

И можно ли в случае получения повестки отмазаться с формулировкой «да я вообще этого не заказывал, отправитель наверное ошибся адресом»?
Что будет в этом случае с посылкой? Получит ли отправитель её назад? Или посылка будет задержана, а отправитель получит страховку (при её наличии), т.к. посылка не доставлена и «потерялась где-то на просторах необъятной России»?
Слышал, что часто устройство, которое нельзя просто так ввозить, провозят как другое устройство, которое можно ввозить. Можно попутно ещё и на отчислениях сэкономить, если дорогое устройство провозить как дешевое. Не знаю, кто в таком случае отвечает, если схема вскрывается: покупатель может сказать, что он заказывал дешевое разрешенное устройство, а по ошибке пришло дорогое запрещенное, а продавец в таких случаях имеет юридическую защиту и вообще находится в далёкой стране. Сдается мне, в таких случаях на карту ставится только судьба самого устройства, которое могут конфисковать.
Покупатель сейчас не несет ответственности за незаконный ввоз, если не он был импортером. А случаи ввоза ИТ-продукции под видом «зеленого горошка» бывали. И между продавцом и покупателем всегда есть импортер. Всегда. Он и отвечает за незаконный ввоз.
Кто является импортером, если устройство переправляют по почте?
Нет такого понятия «почта» :-) Есть вполне конкретные компании — «Почта России», DHL, FedEX, UPS, EMS-Гарант и т.п.
Эти компании и будут отвечать? То есть покупатель и продавец ничем не рискуют при такой схеме?
Продавец в принципе ничем не рискует — он является иностранным юридическим лицом и не обязан соблюдать российское законодательство. Покупатель не рискует только в случае покупки продукта на территории России. Если же он приобретает продукт заграницей, то для него наступает ответственность за недостоверное декларирование. Ну и импортер тоже может пострадать. А кто из двух (или оба) — это уже зависит от множества факторов
И можно ли в случае получения повестки отмазаться с формулировкой «да я вообще этого не заказывал, отправитель наверное ошибся адресом»?

Нельзя, получатель все равно несет ответственность. Смотрит решения судов по 138.1 УК РФ. Был еще случай, когда человек заказал с Aliexpress некоторый БАД, который, как оказалось, содержит вещество, внесенное в перечень. И человека посадили, если мне не изменяет память, на 5 лет. Хотя прямых доказательств, что человек делал заказ сам не было.
Вот это номер!!!
Получается, самый лучший способ сделать кому-то подлянку — заказать нечто запрещенное на его имя, а потом (для гарантии) «сдать» его с этой посылкой ??
В общем да. Я правда не знаю можно ли «сдать» получателя, но таможня и сама неплохо ловит, как показывает практика. Главное заказать EMS или DHL, тогда гарантия почти 100%.
В статье смутила одна формулировка: «поставьте себя на место таможенника...» Когда речь идет о правилах и законах, подобные вещи говорить некрасиво, потому что место таможенника никакой роли играть не должно. Если в законодательстве закреплена, фактически, презумпция виновности, то об этом не надо стесняться говорить прямо, и не надо подменять ее существование душевными муками сотрудников таможни.
Согласно гражданско-правовым отношениям она по сути и есть. По ГПК/КоАП именно вы должны доказывать свою невиновность, в то время как в уголовном судопроизводстве вам ничего доказывать не надо. Именно там и существует презумпция невиновности. Вот если бы речь шла об отмененной в УК статье за контрабанду, тогда вы были бы правы — именно таможня/прокурор должны были доказать вашу виновность. По ГПК они усмотрели нарушение и теперь ваша задача доказать свою правоту. Как при нарушении правил ПДД — именно вы, а не ГИБДД, доказываете свою невиновность.

Но в данном случае не идет речь о презумпции виновности или невиновности. Есть так называемые Васенаарские соглашения, которые Россия подписала (наряду с еще 32-мя странами) в 1996-м году. Согласно ним технологии двойного назначения (а криптография — одна из них) контролируются достаточно жестко. Описанные в статье правила направлены на реализацию этих самых соглашений.
Вы невнимательно прочли мой комментарий или неверно его интерпретировали.
Я как раз и утверждал, что имеет место презумпция виновности. И говорить в статье стоило, в том числе, о ней. Я не утверждал, что должна действовать презумпция невиновности — это уже второй вопрос, которого я в комментарии не касался.

Мое замечание касалось того, что объяснять причину происходящего личными переживаниями таможенников (именно на это и указывает выражение «поставьте себя на место...», которое как-бы отрицает наличие формальной законодательной базы и говорит о том, что это что-то вроде личного решения таможенников) — по меньшей мере, странно.
В том то и дело, что в данной ситуации вообще нельзя говорить о какой-то презумпции. Есть правило, которое таможенник должен соблюсти. Ситуация «поставьте себя на место» была описана в ответ на висящий в воздухе вопрос: «А если я не буду использовать функционал шифрования?»
Суть презумпции, в том числе, в том, что всегда предполагается, что возможность или средство (в юридическом смысле) будут использованы. И именно декларацией презумпции является существование правила, требующего трактовать ситуацию именно так.
Так что ответом на упомянутый выше вопрос правомерно считать само правило. И снова, место сотрудника таможни тут не при чем, перед ним в рамках закона никакой дилеммы не стоит. (Вне рамок — стоит, но, повторюсь, это другая история.)
… в Англии случилась революция, королеву казнили, во Франции начались волнения, парламент был вынужден самораспуститься и отменить свои решения, а в России народ начал занимать очередь в пятницу вечером, что-бы быстрее освободиться в субботу.
А в России расстреляли императора. Раз уж вы вспомнили Анну Болейн, которая была казнена мужем, потому что она его достала. Если же вы имели ввиду Марию Стюарт, которая так и не стала королевой Англии, то её казнь — явно не воля народа, а результат интриг королевского двора.
Я имел в виду известный боянистый анекдот. Данная статья как раз похожа на занимание очереди с вечера.
В России расстреляли гражданское лицо, которое ранее было императором. Или вы про Александра II? В него кинули бомбу.
Отношение бизнеса к административным барьерам напрямую зависит от положения данного бизнеса относительно барьера. До — неизбежное зло, после — бонус относительно отставших конкурентов.
Помнится несколько лет назад купил несколько VPN-маршрутизаторов Dlink. У троих был доступен 3DES, а одного нет, только DES. Долго вертел в руках, пока не разглядел _RU_ в имени фирмварки. Перезалил — и все сразу появилось. Видимо готовили для российского рынка, а попал к нам.

Видимо так и обходятся суровые таможенные правила РФ.

В свое время в РФ был запрещен стандарт IEEE 802.11n. В случае с роутерами это решалось прошивкой на DD-WRT, а вот со встроенными в ноутбуки адаптерами были проблемы. Некоторые разлачивались установкой пропатченного драйвера, а вот на некоторых производители постарались и требовалась перепрошивка самого модуля. Которая еще и не всегда была возможна. Так что ограничения эти обходятся не всегда так просто.
А можно подробнее про «при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования»?

Это касается любых юрлиц или только юрлиц с лицензией на разработку/использование СКЗИ и Ко?
Лицензии на использование СКЗИ не существует. Речь идет о ввозе для себя.
Алексей,

получается, что любое юрлицо может ввести шифровальные средства не связываясь с нотификациями, лицензированием, и пр.? Или при этом надо доказывать, что это необходимо для обеспечения собственных нужд организации? Не могли бы Вы пояснить.
Как вы думаете, почему абсолютное большинство компаний не обладает собственным автопарком для развоза сотрудников по клиентам и партнерам, а предпочитает услуги такси? Или почему мы отдаем детей в школы, а не занимаемся их образованием самостоятельно? Или почему ходим к врачам, а не лечимся сами? У каждой компании своя сфера компетенций, а каждая сфера деятельности может иметь свои ограничения и требования, на которые компания пойдет только при наличии серьезных выгод. Вот также и с внешнеэкономической деятельностью — у вас должны быть заключены прямые договора с иностранным поставщиком, вы должны знать, как работает таможня и Минпромторг и кучу других нюансов. Именно ради них и поручают доставку товаров посредникам. Это выгоднее. Ради ввоза одной-двух партий шифровальных средств компания врядли будет входить в этот бизнес.
Алексей,

Ирония, это, конечно, хорошо. Спасибо.

Если серьезно. Клиент собирался нам (РФ, юрлицо, спец-лицензий нет) послать (через границу) несколько специальных SIM-карт. Компания-экспедитор нам сказала, что это не возможно, поскольку это не возможно никогда и мы не сможем их получить. Права ли она, или нам стоит поменять экспедитора?
Ну с ходу я не могу сказать — надо понимать, к какому коду ТН ВЭД относится отправляемая карта. Но вообще явных запретов на ввоз нет. Есть ограничения и, возможно, нежелание у экспедитора связываться с этой поставкой. У нас некоторые партнеры тоже так говорят, не желая связываться с письмами в ФСБ. Если это SIM-карты, может просто физлицом перевезти с оказией?
На заметку тем кто хочет ввезти «брендовое» оборудование.
Для торговых марок зарегистрированных в таможенном реестре объектов интеллектуальной собственности, таможенники могут обратиться к владельцу марки для заключения о контрафакте.
А контрафактом будет считаться любое оборудование ввезенное не по официальным каналам.
Так что не только нотификация потребуется но и подтверждение от владельца марки.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.