Есть вопрос?
Профессиональное юридическое
сопровождение IT-проектов

SSL-сертификаты и шифрование

Регистрация доменов, хостинг, лицензирование и прочие правовые вопросы связи

SSL-сертификаты и шифрование

Сообщение Selivanov » 22 сен 2009, 21:00

Anonymous


Привет. Ура, опять можно писать в форуме.

О лицензировании. Но не совсем о связи, про связь мы знаем много. В тематику связи, интернет и инфокоммуникаций почти укладывается. Так и тематика форума расширится.

Наверняка, Вы в курсе возможности секьюрного обмена данными в Интернет между серверами с использованием SSL-протокола. Любой нормальный браузер поддерживает встроенными средствами.

Можно ли генерить и предоставлять пользователям SSL-сертификаты в РФ без лицензии на шифрование-криптование-зашиту информации?

Есть такой бизнес-проект, например, http:\\ssl.ru/ru/

Смущает ст. 17 ФЗ "О лицензировании отдельных видов деятельности".
Там есть подпункты 4...11 пункта 1 .

Еще смущает Положением о лицензировании деятельности по распространению шифровальных (криптографических) средств (утв. постановлением Правительства РФ от 23 сентября 2002 г. N 691)

Особенно - п.2.

К шифровальным (криптографическим) средствам относятся:

е) ключевые документы (независимо от вида носителя ключевой информации).

Это SSL-сертификат тоже? Генерация SSL-сертификата - это что-то вроде "производства" шифровальных (криптографических) средств, даже не "распространение" программ для ЭВМ со встроенными крипто алгоритмами?

Можете подсказать: нужна ли лицензия от ФСБ для того, чтоб генерить и предоставлять пользователям в РФ SSL - сертификаты? А распространять SSL-сертификаты от зарубежных компаний?


Виталий Селиванов


Не приходилось сталкиваться, но давайте разберемся вместе.
Думаю, Вы не будете возражать, что программное обеспечение, отвечающее за генерирование открытого и закрытого SSL-ключа, а также обеспечение процесса кодирования и декодирования информации с их помощью относится к средствам шифрования по смыслу закрепленному Положениями о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, утвержденными Постановлением Правительства РФ от 23 сентября 2002 г. N 691.
В названных положениях под средствами шифрования понимаются аппаратные, программные и аппаратно - программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Т.о. вопрос о лицензировании ставится в зависимость от наличия или отсутствия в деятельности признаков, исключающих обязанность лицензирования в соответствии с п.3 / п.4 названных Положений.
Например, в п.3 Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств указано, что оно не распространяется на деятельность по распространению:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
ж) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.
Соответственно, если Ваша деятельность связана с распространением программного обеспечения, удовлетворяющих признакам, указанным в пп. "а", "ж" п.3, то обязанность лицензирования данной деятельности отсутствует. И наоборот.


Anonymous


А можно использовать "обратную" агентскую схему, когда пользователь поручает агенту-провайдеру от имени агента-провайдера за счет пользователя добыть SSL-сертификат у зарубежного генератора сертификата за агентское посредническое вознаграждение?

Тогда в конечном итоге пользователь вступает в отношения с зарубежным генератором сертификата, хотя на каком-то этапе агент-провайдер в рамках своего реселлерского договора с зарубежным генератором сертификата получил этот сертификат со скидкой,оплатил услуги зарубежного генератора сертификата, действуя от своего (агента)имени.

Потом агент передаст пользователю все исполненное по сделке. Так вот и далее с каждым пользователем.

Это ведь не является "распространением" и "производством" средств шифрования? Так можно все уладить чрез посредничество?


Виталий Селиванов


Вы понимаете под "распространением" только реализацию? В ФЗ нет такого ограничения. Думаю, целью закона является общий запрет на осуществление деятельности по выпуску в обращение средств шифрования без получения соответствующей лицензии.

Кроме того, возможно, такие действия можно отнести к обеспечению пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации (пп. "г" п.3 Положения О лицензировании предоставления услуг в области шифрования.

Так что, Вы думаете указанные выше исключения не подходят для Вас? Почему?



Anonymous


Исключение пп. а) п.3 Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств, если речь идет о нем (остальное не подходит), - насколько я его понимаю, - это речь о том, что можно распространять программы для ЭВМ (операционные системы), в которых есть возможности шифрования/криптования.

Windows тот же, например. Ну, продают типовые операционные системы и продают. В них SSL-протокол - встроенный компонет.

Но распространять отдельно SSL-сертификаты к этому SSL-протоколу с аутентификатором пользователя и его домена, с ключом длинным - это тоже распространять компонент операционной системы разрешенным без лицензии образом? Это тоже входит в этот подпункт?


Виталий Селиванов


Является ли ПО по генерации и обслуживанию SSL-сертификатов компонентом программной операционной системы, думаю, лучше уточнить у технических специалистов. Без SSL-сертификата реализовать возможности ОС по шифрованию ведь, насколько я понимаю, не представляется возможным. Почему тогда не считать его компонентом?

Anonymous

С компонентом не очень. Сертификат живет не в операционной системе, а сам по себе.

Самое странное, что все, с кем я общался, как молитву повторяют, что лицензирование деятельности по шифрованию якобы относится только к деятельности по работе с "настоящей" ЭЦП (ЭЦП, удостоверяющие центры и все эти официальные игры в цифровую продпись), которая имеет юридическую силу по закону, а не договору.

А вот то что там кто-то свой трафик шифрует, что-то подписывает, как-то стороны между собой отношения налаживают на свой страх и риск, в т.ч. через зарубежные SSL-сертификаты, кто-то им это все предоставляет-распространяет - это не регулируется как лицензируемая деятельность.

Где они такое прочитали, ума не приложу? По-моему, это заблуждение.


Виталий Селиванов


По-моему это тоже заблуждение. В Положениях о лицензировании ЭЦП даже выделены отдельным пунктом в перечне исключений. Что явно говорит о том, что законодатель различает ЭЦП и средства шифрования
Selivanov
Администратор
 
Сообщений: 608
Зарегистрирован: 17 сен 2009, 23:22
Откуда: Новосибирск

Вернуться в Правовые вопросы связи

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

cron
О компанииКомандаНовостиКонтакты
Международные контрактыСоглашения для сайтовДоговоры на разработку ПОЛицензионные договорыДоговоры поставки ПОДоговоры техподдержки и SEOДля разработчиковДистрибьюторамИнтернет-сервисамВеб-студиямСтартапамБаза документов
Информация
Новости праваПубликацииФорумFAQTutorialsКарта сайта

© ООО «АйТи-Лекс», 2008–2024
Правовая информация

При цитировании материалов гиперссылка на данный сайт обязательна