Wir beschäftigen uns mit russischen kryptografischen Vorschriften ... am Beispiel der Verhaftung eines Drogenherren

Der mexikanische Drogenlord Joaquin Guzman Loera (El Chapo)

Vor nicht allzu langer Zeit wurde in den Medien ein Artikel veröffentlicht, in dem der mexikanische Drogenbaron El Chapo verhaftet wurde, weil sein IT-Beauftragter dem FBI Kryptoschlüssel zugespielt hatte und diese wiederum seine Telefongespräche entschlüsseln und abhören konnten.

Stellen wir uns vor, der Drogenboss, die IT-Person und alles, alles, jeder würde in Russland leben ...

Präsentiert? Und jetzt werden wir analysieren, welche Gesetze und wie die Verwendung des kryptografischen Schutzes in diesem phantasmagorischen Fall geregelt würde.

Über die Geschichte und die Hauptfiguren im Detail

© Rahmen aus dem Film "Gangs of New York"

Drogenlord El Chapo beauftragte Christian Rodriguez, einen 21-jährigen kolumbianischen IT-Spezialisten, mit der Erstellung eines verschlüsselten Mobilkommunikationssystems, über das er mit Komplizen kommunizieren konnte, ohne befürchten zu müssen, dass die Sicherheitsdienste abhören.

Rodriguez schuf ein ähnliches System und nach der Beschreibung war es eine VoIP-Telefonie mit Verkehrsverschlüsselung. Die Clients des Systems wurden auf den Mobiltelefonen der Banditen installiert. Danach „genügte es, drei zusätzliche Ziffern zu wählen“, um ohne Angst vor Abhören zu sprechen.

Nach der Einführung des Systems begleitete Rodriguez sie und war auch an anderen IT-Projekten beteiligt (z. B. organisiertes Abhören seiner Frau El Chapo), wobei er dem Willen des Drogenherren gehorchte.

Nach einiger Zeit wurde Rodriguez vom FBI rekrutiert und laut SecurityLab.ru wurden die Verschlüsselungsschlüssel durchgesickert ... oder laut New York Times "wurden die Aufzeichnungsgeräte im verschlüsselten Netzwerk installiert, das um Mitternacht Kopien aller Verhandlungen von El Chapo an das FBI gesendet hat".

Kurz gesagt, das ist alles. Kommen wir nun zur Analyse der Gesetze.

Lizenzierung

© Screenshot aus dem Spiel „Heroes of Might and Magic“

Unsere Geschichte beginnt damit, dass El Chapo Rodriguez beauftragt, ein sicheres Kommunikationssystem zu entwickeln.

In Bezug auf Absätze. 1 S. 1 Artikel 12 des Bundesgesetzes vom 04.05.2011 N 99- "Über die Lizenzierung bestimmter Arten von Aktivitäten" Rodriguez muss zur Umsetzung des Vertrags mit El Chapo über eine Lizenz "für Kryptographie" verfügen.

Wenn Rodriguez keine solche Lizenz hat und sich an der Arbeit beteiligt hat, dann dafür gemäß Art. 13.13 Verwaltungscode droht administrativ und gemäß Artikel. 171 des Strafgesetzbuches der Russischen Föderation strafrechtliche Verantwortlichkeit.

Die Lizenz "für Kryptographie" wird korrekt genannt - eine Lizenz für die Entwicklung, Herstellung, Verteilung von Verschlüsselungsmitteln (kryptografisch), Informationssystemen und Telekommunikationssystemen, die durch Verschlüsselung (kryptografisch) geschützt sind, Arbeitsleistung, Bereitstellung von Diensten im Bereich der Informationsverschlüsselung, Aufrechterhaltung der Verschlüsselung (kryptografisch) bedeutet, durch Verschlüsselung geschützte Informationssysteme und Telekommunikationssysteme (kryptografisch) redstv (außer wenn die Aufrechterhaltung der Verschlüsselung (Verschlüsselungs) Einrichtungen, Informationssysteme und Telekommunikationssysteme sind geschützt durch Verschlüsselung (Verschlüsselungs) Mittel, erfolgt die Bedürfnisse der juristischen Person oder einzelne Unternehmer zu gewährleisten). Außerdem werden wir der Einfachheit halber den falschen, aber verständlicheren und kürzeren Namen verwenden - die Lizenz für Kryptographie.

In Übereinstimmung mit dem Dekret der Regierung der Russischen Föderation vom 21. November 2011 N 957 „Über die Organisation der Lizenzierung bestimmter Arten von Aktivitäten“ befasst sich der FSB Russlands mit der Erteilung von Lizenzen „für die Kryptographie“.

Das Verfahren zur Erlangung einer Lizenz und die Lizenzanforderungen für Rodriguez sind im Dekret der Regierung der Russischen Föderation vom 16.04.2012 N 313 (in der Fassung vom 18.05.2017) beschrieben Systeme, die durch Verschlüsselung (kryptografisch) geschützt sind, Arbeiten ausführen, Dienste im Bereich der Informationsverschlüsselung bereitstellen, Wartung der Verschlüsselung (kryptografisch), Informationssysteme und Telekommunikationssysteme, die durch Verschlüsselung (kryptografisch) geschützt sind (es sei denn, die Aufrechterhaltung von Verschlüsselungsmitteln (kryptografisch), Informationssysteme und Telekommunikationssysteme, die durch Verschlüsselung (kryptografisch) geschützt sind, werden durchgeführt, um die eigenen Bedürfnisse der juristischen Person zu befriedigen oder Einzelunternehmer) . “

Gleichzeitig reicht es für Rodriguez nicht aus, nur eine Lizenz zu erhalten, sondern die relevanten zulässigen Aktivitäten aufzulisten , deren vollständige Liste im Anhang zum Dekret der Regierung der Russischen Föderation vom 16.04.2012 Nr. 313 enthalten ist . Abhängig von der Zusammensetzung der zulässigen Aktivitäten wird Rodriguez verschiedenen Lizenzanforderungen ausgesetzt sein, die von Qualifikationen für die Ausbildung bis zum Zugang zu Staatsgeheimnissen reichen.

In diesem Sinne war Rodriguez nicht nur an der Entwicklung des Systems beteiligt, sondern auch an dessen Implementierung und Wartung. In seiner Lizenz sollten nebenbei folgende Aktivitäten vorhanden sein (Nummerierung gemäß Dekret der Regierung der Russischen Föderation vom 16.04.2012 Nr. 313):

3. Entwicklung sicherer Telekommunikationssysteme unter Verwendung von Verschlüsselungs- (kryptografischen) Mitteln.
4. Entwicklung von Werkzeugen zur Erstellung von Schlüsseldokumenten.
5. Modernisierung der Verschlüsselung (kryptografisch) bedeutet.
6. Modernisierung der Produktionswerkzeuge für Schlüsseldokumente.
7. Herstellung (Replikation) von Verschlüsselungs- (kryptografischen) Mitteln.
9. Herstellung von Telekommunikationssystemen, die durch Verschlüsselung (kryptografisch) geschützt sind.
10. Produktion von Schlüsselwerkzeugen Produktionswerkzeuge.
12. Installation, Installation (Installation), Anpassung der Verschlüsselung (kryptografisch) mit Ausnahme der Verschlüsselung (kryptografisch) zum Schutz von Steuerdaten, die für die Verwendung als Teil der vom Bundessicherheitsdienst der Russischen Föderation zertifizierten Registrierkassen entwickelt wurden.
14. Installation, Installation (Installation), Einstellung von Telekommunikationssystemen, die durch Verschlüsselung (kryptografisch) geschützt sind.
15. Installation, Installation (Installation), Anpassung der Mittel zur Herstellung von Schlüsseldokumenten.
16. Reparatur von Verschlüsselungsmitteln (kryptografisch).
18. Reparatur und Wartung sicherer Telekommunikationssysteme mit Verschlüsselung (kryptografisch).
19. Reparatur, Wartung der Mittel zur Herstellung von Schlüsseldokumenten.
20. Arbeiten an der Wartung von Verschlüsselungseinrichtungen (kryptografisch), die in der technischen und betrieblichen Dokumentation für diese Einrichtungen vorgesehen sind (es sei denn, die angegebenen Vorgänge werden durchgeführt, um die persönlichen Bedürfnisse einer juristischen Person oder eines einzelnen Unternehmers zu gewährleisten).
21. Übertragung von Verschlüsselungsmitteln (kryptografisch) mit Ausnahme von Verschlüsselungsmitteln (kryptografisch) zum Schutz von Steuerdaten, die zur Verwendung als Teil von Registrierkassen entwickelt wurden, die vom Bundessicherheitsdienst der Russischen Föderation zertifiziert wurden.
23. Übertragung von Telekommunikationssystemen, die durch Verschlüsselung (kryptografisch) geschützt sind.
24. Übertragung von Mitteln zur Erstellung von Schlüsseldokumenten.

Wir stellen sofort fest, dass die Verwendung der Verschlüsselung für eigene Zwecke in Russland nicht lizenziert ist und dementsprechend keine El Chapo-Lizenz für die Kryptografie erforderlich ist.

Ferner gehen wir davon aus, dass Rodriguez eine "Kryptographie" -Lizenz mit verwandten Aktivitäten besitzt.

Entwicklung und Produktion

© Internetbilder

In Übereinstimmung mit den Lizenzanforderungen, nämlich Absätzen. b Artikel 6 des Dekrets der Regierung der Russischen Föderation vom 16.04.2012 N 313 Rodriguez ist verpflichtet, sich bei seiner Arbeit an den einschlägigen regulatorischen und methodischen Dokumenten des FSB Russlands zu orientieren, zu denen vor allem der Orden des FSB der Russischen Föderation vom 09.02.2005 N 66 (geändert am 12.04.2010) gehört. “ Nach Genehmigung der „Verordnung über die Entwicklung, Herstellung, den Verkauf und den Betrieb von Verschlüsselungsmitteln (kryptografisch) zum Schutz von Informationen (Verordnung PKZ-2005)“ (eingetragen im Justizministerium der Russischen Föderation 03.03.2005 N 6382) (im Folgenden: PKZ-2005).

In Übereinstimmung mit diesem Dokument besteht der Prozess der Erstellung eines sicheren Mobilkommunikationssystems aus den folgenden Schritten:

1. Entwicklung.
2. Produktion.
3. Verbreiten. Trotz der Tatsache, dass Rodriguez maßgeschneiderte / kundenspezifische Entwicklungen durchgeführt hat, wird der Prozess der Übertragung an den Kunden als Vertrieb behandelt.

Alle diese Phasen setzen eine enge Zusammenarbeit mit dem FSB Russlands und die Koordinierung der technischen Aufgaben und der Dokumentation des hergestellten Systems voraus.

Betrieb eines sicheren Mobilkommunikationssystems

© Internetbilder

Wir gehen davon aus, dass der Betrieb eines sicheren Mobilkommunikationssystems im Verantwortungsbereich von El Chapo liegt. Rodriguez ist nur als solche daran beteiligt. Unterstützung.

Aus der Beschreibung der Geschichte von El Chapo geht hervor, dass das System zum Schutz vor Abhören durch Strafverfolgungsbehörden entwickelt wurde. Diese Grundlage korreliert schwach mit der aktuellen Gesetzgebung, daher gehen wir davon aus, dass der Zweck des Systems: „Informationsschutz für persönliche und familiäre Bedürfnisse“ ist. Zu diesem Zweck hat El Chapo keine Einschränkungen und kann mit dem System tun, was er will und wie er will.

Für unseren Artikel ist dies zu einfach und nicht interessant.

Basierend auf der Untersuchung wurde festgestellt, dass El Chapo in einem Telefongespräch Bestechungs- und Bestechungsbeamten Befehle erteilte und höchstwahrscheinlich deren Vor- und Nachnamen sowie andere persönliche Informationen, dh personenbezogene Daten (im Folgenden: PD), nannte.

Stellen wir uns vor, El Chapo, der das Bundesgesetz vom 27. Juli 2006 N 152--„Über personenbezogene Daten“ gelesen hat, hat verstanden, dass er ein Betreiber personenbezogener Daten ist und personenbezogene Daten tatsächlich nicht für persönliche Bedürfnisse, sondern für unternehmerische Aktivitäten verwendet gesetzlich vorgeschrieben, um sie zu schützen.

Kryptografischer Schutz personenbezogener Daten

© Internetbilder

Da PDs während eines Telefonanrufs über das öffentliche Kommunikationsnetz im Freien übertragen werden, war El Chapo der Ansicht, dass ein hohes Risiko besteht, dass PD von Eindringlingen abgefangen wird, und dass die Informationen daher verschlüsselt werden müssen.

Zum kryptografischen Schutz personenbezogener Daten gemäß

• Im Auftrag des Bundessicherheitsdienstes vom 10. Juli 2014 N 378 „Nach Genehmigung der Zusammensetzung und des Inhalts organisatorischer und technischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten bei der Verarbeitung in Informationssystemen für personenbezogene Daten unter Verwendung des kryptografischen Schutzes von Informationen, die zur Erfüllung der von der Regierung der Russischen Föderation festgelegten Anforderungen an den Personenschutz erforderlich sind Daten für jede der Sicherheitsstufen "
• „Leitlinien für die Entwicklung normativer Rechtsakte, die Bedrohungen für die Sicherheit personenbezogener Daten definieren, die für die Verarbeitung personenbezogener Daten in Informationssystemen für personenbezogene Daten relevant sind, die im Rahmen der Durchführung einschlägiger Aktivitäten betrieben werden“, genehmigt von der Leitung des 8. Zentrums des FSB Russlands (N 149/7/2 / 6- 432 vom 31.03.2015)

El Chapo muss ein Modell des Eindringlings erstellen, auf dessen Grundlage die erforderliche Klasse des kryptografischen Schutzes bestimmt wird. Da El Chapo Angst vor besonderen Dienstleistungen hat, braucht er ein Mittel zum Schutz der Maximalklasse - KA .

El Chapo öffnete die Liste der vom russischen FSB zertifizierten Kryptowährungen und wandte sich an Rodriguez, da er nichts Passendes fand. Hier macht unsere Geschichte, wie viele Projekte in der Informationssicherheit, eine Schleife und wir kehren wieder in die Entwicklungsphase zurück. Ohne auf Details einzugehen, gehen wir davon aus, dass Rodriguez im FSB für die entsprechende Klasse im FSB hergestellt und zertifiziert hat.

Da El Chapo personenbezogene Daten schützt, sind die Anforderungen von PKZ-2005 für ihn bindend . Diese Anforderungen enthalten nichts Übernatürliches, und tatsächlich zwingen sie El Chapo nur dazu, die Anforderungen der technischen Dokumentation für das System zu erfüllen, die Rodriguez mit dem FSB von Russland erstellt und vereinbart hat.

Zusätzlich zu den oben genannten Dokumenten ist El Chapo verpflichtet, sich an den im Auftrag des FAPSI vom 13. Juni 2001 genehmigten „Anweisungen zur Organisation und Gewährleistung der Sicherheit der Speicherung, Verarbeitung und Übertragung über Kommunikationskanäle unter Verwendung kryptografischer Schutzmittel für Informationen mit eingeschränktem Zugang, die keine Informationen enthalten, die ein Staatsgeheimnis darstellen“ zu halten Jahre N 152 (bei gewöhnlichen Menschen - FAPSI 152).

Laut diesem Dokument muss El Chapo interne Prozesse im Zusammenhang mit dem Betrieb von Kryptowährungen erstellen, darunter:

• die Organisation der Ausbildung und Zulassung von Banditen zur Nutzung der Ausrüstung für sichere Mobilkommunikation (in der Wissenschaft - Zulassung von Benutzern zur unabhängigen Nutzung von Kryptowährungen);
• Pro-Instanz-Abrechnung von Systemsoftware-Clients und Kryptoschlüsseln;
• die Organisation von Sicherheitseinrichtungen, in denen die Telefonwartung und die Bildung von Kryptoschlüsseln durchgeführt werden
• usw.

Export sicherer Mobiltelefone ins Ausland

© Internetbilder

Da El Chapo „internationale Geschäfte“ betrieb, wäre der Schutz der Kommunikation bei der Kommunikation mit ausländischen „Partnern“ für ihn nicht weniger relevant als der Schutz der Verhandlungen innerhalb des Landes. Um dies zu tun, müsste er, was auch immer man sagen mag, entweder Software für sein Mobilkommunikationssystem oder ein Telefon mit bereits installierten und konfigurierten Software-Clients an Ausländer übertragen.

Beide werden nach russischem Recht als Ausfuhr von Verschlüsselungsmitteln (kryptografisch) ins Ausland und gemäß der Verordnung über die Einfuhr in das Zollgebiet der Eurasischen Wirtschaftsunion und die Ausfuhr von Verschlüsselungsmitteln (kryptografisch) aus dem Zollgebiet der Eurasischen Wirtschaftsunion (Anhang N 9 bis) ausgelegt Die Entscheidung des Vorstands der Eurasischen Wirtschaftskommission vom 21. April 2015 (N 30) ist begrenzt (außer für den persönlichen Gebrauch, dies ist jedoch nicht unser Fall).

Vor dem Zoll müsste El Chapo eine Ausfuhrgenehmigung erhalten, die zwei Arten hat:

1. Benachrichtigung
2. Lizenzierung

Die Benachrichtigung - eine vereinfachte Form von Import- / Exportgenehmigungen - wird für die "geschwächte" oder "alltägliche" Kryptografie verwendet. Die Liste der meldepflichtigen Mittel ist in Anhang Nr. 4 der Verordnung über die Einfuhr (kryptografische) Mittel in das Zollgebiet der Eurasischen Wirtschaftsunion und die Ausfuhr aus dem Zollgebiet der Eurasischen Wirtschaftsunion (Anhang Nr. 9 zur Entscheidung des Verwaltungsrats der Eurasischen Wirtschaftskommission vom 21. April 2015) definiert N 30)

Da das sichere mobile Kommunikationssystem von El Chapo über eine kryptografische Schutzklasse für das Raumschiff verfügt , kostet dies keine Benachrichtigung und er muss eine Lizenz für den Export erhalten. Dazu muss er die Aufgabe durchlaufen, deren Aufgabe in der Entscheidung des Vorstandes der Eurasischen Wirtschaftskommission vom 06.11.2014 N 199 (geändert am 19.04.2016) beschrieben ist. "Zu den Anweisungen zur Ausführung eines Antrags auf Erteilung einer Lizenz für den Export und (oder) Import bestimmter Arten Waren und die Registrierung einer solchen Lizenz sowie die Anweisungen zur Erteilung von Genehmigungen für den Export und (oder) Import bestimmter Arten von Waren “ , und es ist weit davon entfernt, dass er dies tun kann ...

Fazit

Ich hoffe, dass Sie mit diesem phantasmagorischen Beispiel allgemeine Vorstellungen über die Hauptrichtungen der Kryptografieregulierung in der Russischen Föderation erhalten können. Für die weitere Entwicklung empfehle ich Ihnen, sich mit der Liste der grundlegenden Gesetzgebungs- und Regulierungsgesetze für die Informationssicherheit in Russland vertraut zu machen.

Disclimer Der Autor verurteilt wie jede fortschrittliche Menschheit den illegalen Drogenhandel und andere kriminelle Aktivitäten aufs Schärfste. Die Sonne, Luft und Wasser sind unsere besten Freunde.