# **Цель практической работы**
Собрать метаданные трёх файлов (pdf, jpg, exel) с помощью двух утилит (MetaExtractor и ExifTool), на основании информации добытой из них составить словари с помощью двух утилит (pwdlogy и crunch). Приобрести практические навыки работы с картой “World Map of Encryption”.
По окончании практической работы будут получены навыки извлечения метаданных из файлов, научусь проводить анализ метаданных и применять полученные сведения для составления словарей, которые в будущем можно будет применять для подбора паролей. Также смогу использовать карту “World Map of Encryption”, чтобы выяснить какой правовой статус шифрования имеет страна.
# **1 Сбор метаданных файлов**
В первом пункте практической работы необходимо было собрать метаданные файлов трёх типов (pdf, jpg, exel). Для сбора данных использовались две утилиты (MetaExtractor и ExifTool).
## **1.1 Работа с MetaExtractor**
Первым делом скачаем утилиту с сайта https://4discovery.com/our-tools/metaextractor/. Запустим её.
Чтобы проанализировать файл, нужно нажать в главном меню иконку пустого файла, если файлов много, их нужно поместить в одну папку и указать её через то же меню, нажав иконку в виде каталога.
Утилита проанализирует документы и выведет метаданные горизонтальным списком для каждого файла, тогда как сами файлы будут выведены вертикальным списком. При необходимости полученную информацию можно передать в CSV-файл.
Результаты представлены на рис. 1-4.
Рисунок 1 – Метаданные трёх файлов (часть 1
Рисунок 2 – Метаданные трёх файлов (часть 2)
Рисунок 3 – Метаданные трёх файлов (часть 3)
Рисунок 4 – Метаданные трёх файлов (часть 4)
## **1.2 Работа с ExifTool**
Скачаем утилиту с сайта https://exiftool.org/index.html. Дважды щёлкнем на архив, чтобы его открыть, перетащим файл «exiftool(-k).exe» в папку “C:\WINDOWS”, чтобы его можно было запустить из консоли. Далее переименуем его на "exiftool.exe" (см. рис. 5).
Рисунок 5 – Помещение исполняемого файла в нужную папку
Далее откроем консоль и просмотрим метаданные с помощью скаченной утилиты (см. рис. 6-8).
Рисунок 6 – Метаданные pdf файла
Рисунок 7 – Метаданные jpg файла
Рисунок 8 – Метаданные excel файла
# **2 Подготовка списка паролей, пользователей, увлечений**
В данном пункте практической работы было необходимо подготовить список паролей, пользователей, увлечений с помощью утилит pwdlogy и crunch.
## 2.1 Работа с pwdlogy
Первым делом перейдём в директорию с временными файлами, далее с помощью распределённой системы контроля и управления версиями скачаем репозиторий с утилитой (см. рис. 9).
Рисунок 9 – Получение репозитория с утилитой
Просмотрим содержимое скаченного репозитория (см. рис. 10).
Рисунок 10 – Содержимое репозитория
Отредактируем файл “birthday.txt” (в нём содержатся даты), “commonPhrases.txt” (в нём содержатся ключевые фразы) и “keywords.txt” (в нём содержаться ключевые слова). Результаты представлены на рис. 11-13.
Рисунок 11 – Содержимое файла “birthday.txt”
Рисунок 12 – Содержимое файла “keywords.txt”
Рисунок 13 – Содержимое файла “commonPhrases.txt”
Далее запустим утилиту и выполним команду по создания словаря (см. рис. 14-16).
Рисунок 14 – Запуск утилиты и процесса составления словаря
Рисунок 15 – Консольный вывод при составлении словаря
Рисунок 16 – Содержимое файла “gen.txt”
## **2.2 Работа с crunch**
Сперва установим утилиту (см. рис. 17).
Рисунок 17 – Установка утилиты crunch
Поставим условную задачу. Пусть пароль содержит только цифры из файла и имеет длину от 6 до 8 позиций. Зная это, можно запустить генерацию словаря и записать предполагаемые пароли в файл (см. рис. 18-19).
Рисунок 18 – Запуск генерации словаря
Рисунок 19 – Содержание словаря
# **3 Работа с картой “World Map of Encryption”**
В данном пункте практической работе было необходимо разобрать 10 уникальных точек на карте (https://www.gp-digital.org/world-map-of-encryption/). По каждой уникальной точке, собрать максимально возможную уникальную информацию. Минимальное количество уникальной информации - 10 позиций, которые должны быть описаны максимально подробно (если иностранный язык, то переведены).
В зависимости от того, в какой части мира человек находится, правовой статус шифрования значительно различается. В некоторых странах использование технологий, связанных с шифрованием, относительно не ограничено, в других странах компании и пользователи сталкиваются со значительными ограничениями.
Чтобы помочь понять эту сложную и постоянно меняющуюся картину, была создана интерактивная карту мира, которая имеет два режима (см. рис. 20-21).
1) Представление оценки. Здесь каждой стране присвоена оценка с цветовой кодировкой, основанная на оценке её общего подхода к шифрованию (зеленый цвет - минимальные ограничения, красный - существенные ограничения, жёлтый - средние ограничения, серый - нет информации).
2) Просмотр закона и политики. Позволяет фильтровать в соответствии с конкретными мерами. Например, выяснить, какие страны имеют общее право на шифрование, а какие устанавливают контроль над импортом и экспортом технологий шифрования.
Рисунок 20 – Представление оценки
Нажав на конкретную страну, можно получить подробную разбивку и анализ, включая расширенную оценку и подробную информацию о соответствующих законах и политиках.
В качестве 10 уникальных объектов были выбраны следующие страны (Канада, РФ, США, Австралия, Китай, Бразилия, Франция, Германия, Индия, Казахстан). Вся найденная информация по каждому объекту представлена ниже.
Рисунок 21 - Просмотр закона и политики
## **3.1 Канада**
Согласно конституции Канады, каждый имеет право на защиту от «необоснованного обыска или конфискации», и правительство Канады признало, что эти права будут затронуты любыми ограничениями, связанными с шифрованием. Не существует законодательной власти, которая может быть использована для того, чтобы требовать от отдельных лиц расшифровывать зашифрованные сообщения, и федеральное правительство признало, что у него нет законодательных полномочий принуждать отдельных лиц предоставлять пароль в ходе уголовного расследования. Однако правоохранительные органы могут попытаться обойти защиту, обеспечиваемую шифрованием, или получить личный ключ или пароль человека. Обыск должен быть «разумным» и проводиться «разумным образом», и, как правило, правоохранительные органы должны получить предварительное судебное разрешение. В некоторых случаях могут применяться дополнительные правовые гарантии.
**Общее право на шифрование.** Хотя Канадская хартия прав и свобод не предусматривает конкретного права на шифрование, Хартия защищает право на «свободу мысли, убеждений, мнений и их выражения, включая свободу печати и других средств коммуникации» (раздел 2(b)) и предусматривает, что «каждый человек имеет право на защиту от необоснованного обыска или выемки» (раздел 8). Правительство Канады признало, что эти права будут затронуты любыми ограничениями, связанными с шифрованием.
**Контроль импорта/экспорта.** Раздел 3 Закона о разрешениях на экспорт и импорт позволяет правительству составить Список экспортного контроля, устанавливающий ограничения на экспорт определенных товаров. Предметы в списке, как правило, должны иметь разрешение на экспорт, прежде чем их можно будет экспортировать из Канады, и включать определенные формы криптографии. Однако разрешение не требуется, если криптографический элемент экспортируется в США, а также если криптографический элемент продается широкой публике.
**Обязанности провайдеров по содействию властям.** Не существует законодательной власти, которая может быть использована для того, чтобы потребовать от поставщиков телекоммуникационных или онлайн-услуг облегчить расшифровку зашифрованных сообщений, хотя, в более общем плане, и в зависимости от рассматриваемой технической инфраструктуры, в определенных случаях приказы о помощи (статья 487.014 Уголовного кодекса) или производственные заказы (раздел 487.02 Уголовного кодекса) против третьих лиц (включая поставщиков услуг) могут использоваться для облегчения попыток правоохранительных органов получить доступ к зашифрованным данным.
**Обязанности физических лиц по содействию властям.** Не существует законодательной власти, которая может быть использована для того, чтобы требовать от отдельных лиц расшифровывать зашифрованные сообщения. Действительно, в деле Rv. Boudreau-Fontaine (2010 QCCA 1108) Апелляционный суд Квебека установил, что постановление, обязывающее человека предоставить пароль, нарушает его конституционные права, в том числе право хранить молчание и не свидетельствовать против себя. Этому решению последовали различные суды низшей инстанции, хотя Верховный суд Канады не вынес решения по этому вопросу. Федеральное правительство также признало, что у него нет законодательных полномочий принуждать людей предоставлять пароль в ходе уголовного расследования.
Однако в некоторых случаях правоохранительные органы могут попытаться, используя различные технические и следственные средства, обойти средства защиты, обеспечиваемые шифрованием, или получить личный ключ или пароль человека. Когда у человека есть разумные основания ожидать конфиденциальности запрашиваемой информации, конституция обычно требует от правоохранительных органов получения предварительного судебного разрешения (обычно на основании «разумных оснований полагать») на обыск, изъятие или перехват запрашиваемых данных. В некоторых случаях могут также применяться дополнительные правовые гарантии.
В зависимости от рассматриваемой технической инфраструктуры в определенных случаях приказы о содействии (статья 487.014 УК) или производственные заказы (статья 487.02 УК) в отношении третьих лиц (включая поставщиков услуг) могут использоваться для облегчения попыток правоохранительных органов доступ к зашифрованным данным.
Раздел 8 Канадской хартии прав и свобод требует не только того, чтобы обыск был разумным, но и того, чтобы обыск проводился разумным образом. Этот аспект анализа раздела 8 может служить для ограничения определенных методов обхода шифрования, которые явно несоразмерны или наносят ущерб. Доказательства, полученные в нарушение права Устава, могут быть исключены в соответствии со статьей 24(2) Устава.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - минимальные ограничения;
2) каждый имеет право на защиту от «необоснованного обыска или конфискации»;
3) не существует законодательной власти, которая может быть использована для того, чтобы требовать от отдельных лиц расшифровывать зашифрованные сообщения;
4) правоохранительные органы могут попытаться обойти защиту или провести обыск (для этого необходимо разрешение суда);
5) нет никакого известного законодательства или политики к лицензированию/регистрации;
6) экспортные предметы, как правило, должны иметь разрешение на экспорт, прежде чем их можно будет экспортировать из Канады, и включать определенные формы криптографии;
7) разрешение на экспорт не требуется, если криптографический элемент экспортируется в США, а также если криптографический элемент продается широкой публике;
8) не существует законодательной власти, которая может быть использована для того, чтобы потребовать от поставщиков телекоммуникационных или онлайн-услуг облегчить расшифровку зашифрованных сообщений;
9) существуют приказы о помощи и производственные законы, которые могут использоваться для облегчения попыток правоохранительных органов получить доступ к зашифрованным данным;
10) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования.
## **3.2 РФ**
В России для распространения шифровальных средств, обслуживания шифровальных средств, предоставления шифровальных услуг, разработки и производства шифровальных средств требуется лицензия. Федеральная служба безопасности может потребовать предоставить любую информацию, необходимую для расшифровки зашифрованных сообщений.
**Требования к лицензированию/регистрации.** Статьей 12 Федерального закона № 128-ФЗ «О лицензировании отдельных видов деятельности» установлено, что на распространение шифровальных средств, обслуживание шифровальных средств, оказание шифровальных услуг, разработку и производство шифровальных средств, защищенных средствами шифрования, требуется лицензия.
**Обязанности провайдеров по содействию властям.** Пункт 4-1 статьи 10-1 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» требует от «организаторов распространения информации» добавления «дополнительного кодирования» к передаваемым электронным сообщениям для обеспечения Федеральной безопасности Сервис с любой информацией, необходимой для расшифровки этих сообщений.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - существенные ограничения;
2) для распространения шифровальных средств, обслуживания шифровальных средств, предоставления шифровальных услуг, разработки и производства шифровальных средств требуется лицензия;
3) ФСБ может потребовать предоставить любую информацию, необходимую для расшифровки зашифрованных сообщений;
4) организаторы распространения информации, которые добавляют дополнительное кодирование к передаваемым электронным сообщениям, должны предоставлять ФСБ любую информацию, необходимую для расшифровки этих сообщений;
5) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти;
6) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
7) нет никакого известного законодательства или политики, которые бы осуществляли контроль за импортом/экспортом;
8) нет никакого известного законодательства или политики, которые бы регулировали общее право на шифрование;
9) РФ является одной из 12 стран, в которых общий подход к шифрованию в стране имеет статус - существенные ограничения;
10) отсутствуют какие-либо другие известные законодательства или политики, связанные с организацией шифрования.
## **3.3 США**
В Соединенных Штатах закон устанавливает контроль над экспортом определенных форм шифрования. Не существует законодательной власти, которая может быть использована для того, чтобы требовать от поставщиков телекоммуникационных или онлайн-услуг облегчения расшифровки зашифрованных сообщений. Тем не менее, все операторы связи обязаны обеспечить, чтобы их оборудование, средства или услуги, предоставляющие клиенту или абоненту возможность инициировать, прекращать или направлять сообщения, имели определенные возможности, включая перехват сообщений и доставку перехваченных сообщений правительству, если правительство получает постановление суда или иное законное разрешение. Однако от операторов связи нельзя требовать расшифровки или обеспечения способности правительства расшифровывать любые сообщения, которые зашифрованы абонентом или клиентом, за исключением случаев, когда шифрование было предоставлено оператором связи и они не могут его расшифровать.
**Контроль импорта/экспорта.** Правила международной торговли оружием (ITAR) и Правила управления экспортом (EAR) устанавливают контроль над экспортом определенных форм шифрования.
**Обязанности провайдеров по содействию властям.** Не существует законодательной власти, которая может быть использована для того, чтобы требовать от поставщиков телекоммуникационных или онлайн-услуг облегчения расшифровки зашифрованных сообщений.
Однако раздел 103(a) Закона о помощи правоохранительным органам в области связи от 1994 г. требует, чтобы все операторы связи гарантировали, что их оборудование, средства или услуги, которые предоставляют клиенту или абоненту возможность инициировать, завершать или направлять связь, имеют определенные возможности. К ним относятся перехват сообщений и передача перехваченных сообщений правительству, когда правительство получает постановление суда или имеется какое-либо другое законное разрешение. Это означает, что операторы связи не могут сами использовать шифрование таким образом, чтобы они не могли перехватывать сообщения или доставлять их правительству. Раздел 103(b)(3), однако, предусматривает, что операторы связи не могут быть обязаны расшифровывать или обеспечивать способность правительства расшифровывать любые сообщения, которые были зашифрованы абонентом или клиентом, если только шифрование не было предоставлено оператором связи, и они могут его расшифровать.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - минимальные ограничения;
2) правила международной торговли оружием устанавливают контроль над экспортом определенных форм шифрования;
3) правила управления экспортом устанавливают контроль над экспортом определенных форм шифрования;
4) не существует законодательной власти, которая может быть использована для того, чтобы требовать от поставщиков телекоммуникационных или онлайн-услуг облегчения расшифровки зашифрованных сообщений;
5) все операторы связи обязаны обеспечить, чтобы их оборудование, средства или услуги, предоставляющие клиенту или абоненту возможность инициировать, прекращать или направлять сообщения, имели определенные возможности, включая перехват сообщений и доставку перехваченных сообщений правительству, если правительство получает постановление суда или иное законное разрешение;
6) от операторов связи нельзя требовать расшифровки или обеспечения способности правительства расшифровывать любые сообщения, которые зашифрованы абонентом или клиентом, за исключением случаев, когда шифрование было предоставлено оператором связи и они не могут его расшифровать;
7) США является одной из 16 стран, в которых общий подход к шифрованию в стране имеет статус - минимальные ограничения;
8) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
9) нет никакого известного законодательства или политики к лицензированию/регистрации;
10) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти.
## **3.4 Австралия**
Правовая база Австралии содержит некоторые ограничения на шифрование. К ним относятся экспортный контроль и обязательства поставщиков и отдельных лиц по оказанию помощи властям. Экспортный контроль запрещает экспорт, поставку или публикацию определенных форм программного обеспечения или технологий шифрования, если не предоставлено разрешение, но широко используемые формы инструментов шифрования и криптографии являются исключением. Правовая база также предусматривает три типа запросов и уведомлений, которые правительство и некоторые органы безопасности и правоохранительные органы могут направлять операторам связи. Законодательная база наделяет констеблей полномочиями требовать от конкретного лица предоставления доступа к зашифрованным данным с соблюдением определенных гарантий.
**Контроль импорта/экспорта.** Экспортный контроль изложен в Законе об оборонном и торговом контроле 2012 года, в котором указывается, что физическое лицо должно получить разрешение, прежде чем экспортировать или поставлять товары, включенные в Список оборонных и стратегических товаров (DSGL). Часть 2, категория 5 Списка оборонных и стратегических товаров 2021 года включает определенные формы шифрования, такие как алгоритмы квантовой криптографии и связанное с ними программное обеспечение и технологии, в дополнение к другим устройствам и товарам для обеспечения информационной безопасности.
Однако объем контроля за экспортом шифрования ограничен рядом исключений. Сюда не входят все криптографические товары, экспортируемые для личного использования пользователем, все криптографическое программное обеспечение и технологии, являющиеся общественным достоянием, все криптографические программное обеспечение и технологии, считающиеся базовыми научными исследованиями, все криптографические товары и программное обеспечение, общедоступные для общественности, и все криптографическая технология, которая считается минимально необходимой информацией для заявки на патент. Таким образом, наиболее часто используемые формы инструментов шифрования и криптографии, такие как коммерческое или открытое оборудование и программное обеспечение, не подлежат экспортному контролю.
**Обязанности провайдеров по содействию властям.** Закон о телекоммуникациях 1997 г. (с поправками, внесенными Законом о телекоммуникациях и других поправках к законодательству (помощь и доступ) 2018 г.) предусматривает три типа запросов и уведомлений, которые правительство и некоторые органы безопасности и правоохранительные органы могут направлять поставщикам связи.
1) Запросы на техническую помощь (разделы с 317G по 317K). Они могут быть выданы органом безопасности или правоохранительным органом и просить, но не требовать от поставщика предпринять определенные шаги, которые гарантировали бы, что поставщик способен оказывать определенные виды помощи агентству в таких целях, как защита национальной безопасности. или для обеспечения соблюдения уголовного законодательства.
2) Уведомления о технической помощи (разделы 317L–317RA). Они также могут быть выданы агентством безопасности или правоохранительными органами и требуют от поставщика предпринять определенные шаги, которые помогут агентству в отношении его функций, связанных с национальной безопасностью или обеспечением соблюдения уголовного законодательства.
3) Уведомления о технических возможностях (разделы 317S–317ZAA). Они могут быть выданы только Генеральным прокурором и требуют от поставщика определенных действий или действий, связанных с техническими возможностями, которые гарантируют, что поставщик может оказывать определенные виды помощи службам безопасности, опять же, в отношении его функции, связанные с национальной безопасностью или обеспечением соблюдения уголовного законодательства.
Любой запрос или уведомление должны быть разумными и соразмерными, а их соблюдение должно быть практически осуществимым и технически осуществимым. Оценка разумности и пропорциональности включает рассмотрение ряда определенных факторов, включая вопрос о том, является ли запрос или уведомление «необходимым», а также «законные ожидания австралийского сообщества в отношении конфиденциальности». Применительно к шифрованию запрос или уведомление не должны иметь эффект «запроса или требования к назначенному провайдеру связи внедрить или преобразовать системную уязвимость или системную уязвимость в форму электронной защиты» или «препятствовать назначенному провайдеру связи от устранения системной слабости или системной уязвимости в форме электронной защиты» (раздел 317ZG(1)).
В Законе прямо указывается, что такие запрещенные запросы будут включать любые запросы, связанные с внедрением или созданием новых возможностей дешифрования в отношении формы электронной защиты, а также все, что сделает системные методы аутентификации или шифрования менее эффективными (разделы 317ZG(2) и (3)). Слабые места и уязвимости являются системными, если они затрагивают «весь класс технологий», но не являются таковыми, если они «выборочно внедряются в одну или несколько целевых технологий, связанных с конкретным человеком» (раздел 317B).
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - средние ограничения;
2) физическое лицо должно получить разрешение, прежде чем экспортировать или поставлять товары, включенные в cписок оборонных и стратегических товаров (алгоритмы квантовой криптографии и связанное с ними программное обеспечение и технологии, в дополнение к другим устройствам и товарам для обеспечения информационной безопасности);
3) объём контроля за экспортом шифрования ограничен рядом исключений (сюда не входят все криптографические товары, экспортируемые для личного использования пользователем, все криптографическое программное обеспечение и технологии, являющиеся общественным достоянием, все криптографические программное обеспечение и технологии, считающиеся базовыми научными исследованиями, все криптографические товары и программное обеспечение, общедоступные для общественности);
4) часто используемые формы инструментов шифрования и криптографии, такие как коммерческое или открытое оборудование и программное обеспечение, не подлежат экспортному контролю;
5) закон о телекоммуникациях предусматривает три типа запросов и уведомлений, которые правительство и некоторые органы безопасности и правоохранительные органы могут направлять поставщикам связи (запросы на техническую помощь, уведомления о технической помощи, уведомления о технических возможностях);
6) констебль может обратиться к мировому судье за приказом, требующим от определенного лица предоставить любую информацию или помощь, которые являются разумными и необходимыми, чтобы позволить констеблю сделать одно или несколько действий в отношении данных, хранящихся или доступных на компьютере или устройстве хранения данных, которые были изъяты или обнаружены у лица;
7) чтобы отдать какой-либо приказ, магистрат должен удостовериться в трёх вещах (есть разумные основания подозревать, что доказательный материал хранится в компьютере или устройстве хранения данных или доступен с него; что указанное лицо обоснованно подозревается в совершении правонарушения; указанное лицо обладает соответствующими знаниями о компьютере или устройстве или о мерах, применяемых для защиты данных, хранящихся на компьютере или устройстве или доступных с него);
8) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
9) нет никакого известного законодательства или политики к лицензированию/регистрации;
10) несоблюдение уведомления о технической помощи или уведомления о технических возможностях являются правонарушением и влекут за собой выплату штрафов, а нарушение приказа магистрата является уголовным преступлением, наказуемым лишением свободы и/или штрафом.
## **3.5 Китай**
Закон Китая налагает ряд ограничений на производство, импорт, экспорт и использование средств шифрования: он требует, чтобы производители получали разрешение на тип и модель (включая длину ключа) своих продуктов для шифрования, требуется лицензия на импорт и экспорт шифровальных продуктов. Это означает, что организации и частные лица не могут распространять продукты шифрования, произведенные за границей, поскольку могут использоваться только продукты, получившие разрешение правительства. Это также налагает обязательства на технологические фирмы, от которых обычно требуется помощь в расшифровке информации.
**Обязательства поставщиков услуг по оказанию помощи органам власти.** Согласно Закону о борьбе с терроризмом, технологические фирмы обязаны помогать расшифровывать информацию.
**Требования к лицензированию/регистрации.** Приказ Государственного совета № 273 «Регулирование коммерческих кодов шифрования» предусматривает, что производители должны получить одобрение Национальной комиссии по регулированию кодов шифрования / Государственного управления криптографии в отношении типа и модели (включая длину ключа) своих продуктов шифрования.
**Контроль импорта/экспорта.** Приказ Государственного совета № 273 «Регулирование коммерческих кодов шифрования» предусматривает, что для импорта и экспорта продуктов шифрования требуется лицензия Национальной комиссии по регулированию кодов шифрования / Государственного управления криптографии.
**Другие ограничения.** Приказ Госсовета № 273 «Положение о коммерческих шифровальных кодах» предусматривает, что организации и физические лица не могут распространять шифровальные продукты, произведенные за рубежом. Люди могут использовать только продукты шифрования, одобренные Национальной комиссией по регулированию кодов шифрования, и они не могут использовать коммерческие продукты шифрования, разработанные ими самими или произведенные за границей. Для такого использования они должны быть одобрены Национальной комиссией по правилам кодов шифрования. Только иностранные дипломатические представительства и консульства освобождаются от этого разрешения.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - существенные ограничения;
2) производители должны получить одобрение Национальной комиссии по регулированию кодов шифрования и Государственного управления криптографии в отношении типа и модели (включая длину ключа) своих продуктов шифрования;
3) для импорта и экспорта продуктов шифрования требуется лицензия Национальной комиссии по регулированию кодов шифрования и Государственного управления криптографии;
4) организации и физические лица не могут распространять шифровальные продукты, произведенные за рубежом;
5) люди могут использовать только продукты шифрования, одобренные Национальной комиссией по регулированию кодов шифрования;
6) нельзя использовать коммерческие продукты шифрования, разработанные самими или произведенные за границей (для такого использования они должны быть одобрены Национальной комиссией по правилам кодов шифрования);
7) иностранные дипломатические представительства и консульства освобождаются от разрешения на использование коммерческих продуков шифрования;
8) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти;
9) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
10) технологические фирмы обязаны помогать расшифровывать информацию.
## **3.6 Бразилия**
Правовая база Бразилии предусматривает неприкосновенность тайны коммуникаций, в том числе онлайн, за исключениями, допускаемыми только по решению суда. На сегодняшний день было принято по крайней мере два решения суда, которые приостановили использование приложения для зашифрованных сообщений на том основании, что они не выполнили постановления суда, требующие содержания зашифрованных сообщений. Правовую основу предпринятых действий установить не представляется возможным.
**Общее право на шифрование.** Хотя явного права на шифрование не существует, статья 5 Конституции гарантирует неприкосновенность тайны корреспонденции и телеграфных, информационных и телефонных сообщений, кроме как в последнем случае по решению суда, в случаях и порядке, установленных законом для целях уголовного расследования или стадии установления фактов уголовного преследования.
Статья 7(III) Основ гражданских прав в Интернете (Закон № 12.965) гарантирует неприкосновенность и тайну общения пользователей в сети, за исключениями, допускаемыми только по решению суда.
**Обязанности провайдеров по содействию властям.** Статья 52 Постановления Anatel № 614 от 28 мая 2013 г. предусматривает, что поставщики телекоммуникационных услуг должны обеспечивать секретность, присущую телекоммуникационным услугам, и конфиденциальность данных, включая записи о соединениях, и информацию об абонентах, используя все необходимые средства и технологии. Статья 52 также требует, чтобы поставщики телекоммуникационных услуг предоставляли данные, касающиеся приостановления действия тайны телекоммуникаций, органам, которые, согласно закону, уполномочены запрашивать такую информацию.
Было по крайней мере два решения суда, которые приостановили использование приложения для зашифрованных сообщений на том основании, что они не выполнили постановления суда, требующие содержания зашифрованных сообщений. Однако оба дела находятся под судебной тайной (segredo de justiça), что означает невозможность ознакомления с решениями для определения правовой основы предпринятых действий.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - средние ограничения;
2) явного права на шифрование не существует;
3) Конституция гарантирует неприкосновенность тайны корреспонденции и телеграфных, информационных и телефонных сообщений, кроме как в последнем случае по решению суда, в случаях и порядке, установленных законом в целях уголовного расследования или стадии установления фактов уголовного преследования;
4) есть гарантия неприкосновенности и тайны общения пользователей в сети, за исключениями, допускаемыми только по решению суда;
5) поставщики телекоммуникационных услуг должны обеспечивать секретность, присущую телекоммуникационным услугам, и конфиденциальность данных, включая записи о соединениях, и информацию об абонентах, используя все необходимые средства и технологии;
6) поставщики телекоммуникационных услуг должны предоставлять данные, касающиеся приостановления действия тайны телекоммуникаций, органам, которые, согласно закону, уполномочены запрашивать такую информацию;
7) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
8) нет никакого известного законодательства или политики к лицензированию/регистрации;
9) нет никакого известного законодательства или политики, которые бы осуществляли контроль за импортом/экспортом;
10) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти.
## **3.7 Франция**
Импорт, экспорт, предоставление криптографических услуг подлежат разрешению премьер-министром Франции. при определенных обстоятельствах частные лица или лица, предоставляющие криптологические услуги, должны расшифровать зашифрованные данные своими службами в течение 72 часов, если только они не могут доказать, что это невозможно. Закон также позволяет прокурору, следственному суду или сотруднику судебной полиции назначать любое частное или физическое лицо для использования любых технических средств, необходимых для расшифровки зашифрованных данных в ходе уголовного расследования.
**Общее право на шифрование.** Статья 30(I) Закона № 2004-575 от 21 июня 2004 г. о доверии в цифровой экономике предусматривает, что использование средств криптографии является бесплатным.
**Требования к лицензированию/регистрации.** Статья 31 Закона № 2004-575 от 21 июня 2004 года о доверии к цифровой экономике предусматривает, что лицо, желающее предоставлять криптографические услуги, должно подать заявление премьер-министру. Эти положения также дают правительству право издавать указ, устанавливающий исключения из этого общего требования, а также порядок подачи заявлений.
Предоставление криптографических услуг, направленных на обеспечение конфиденциальности, без выполнения обязательства по отчетности, предусмотренного статьей 31, является уголовным преступлением, наказуемым лишением свободы на два года и штрафом в размере 30 000 евро.
**Контроль импорта/экспорта.** Статья 30(III) Закона № 2004-575 от 21 июня 2004 г. о доверии к цифровой экономике предусматривает, что лицо, желающее поставлять, импортировать или экспортировать криптографические продукты и услуги, если продукт или услуга не предназначены исключительно для цели аутентификации или обеспечения целостности. должен сделать заявление премьер-министру.
Статья 30(IV) предусматривает, что лицо, желающее экспортировать криптографические продукты и услуги, если продукт или услуга предназначены не только для целей аутентификации или обеспечения целостности, должно получить разрешение от премьер-министра.
Эти положения также дают правительству право издавать указ, устанавливающий исключения из этих общих требований, а также процедуры, посредством которых должны быть сделаны декларации и получено разрешение.
Если какое-либо лицо не соблюдает требования статьи 30, премьер-министр может, предоставив соответствующему лицу возможность представить свои замечания, ввести запрет на распространение соответствующих криптографических продуктов или услуг до тех пор, пока они не будут соответствовать этим требованиям.
Несоблюдение требования статьи 30 о представлении декларации является уголовным преступлением, наказуемым лишением свободы сроком на один год и штрафом в размере 15 000 евро.
Несоблюдение требования статьи 30 о получении разрешения является уголовным преступлением, наказуемым лишением свободы на два года и штрафом в размере 30 000 евро.
Продажа или аренда криптографических продуктов или услуг, запрещенных в соответствии со статьей 34, является уголовным преступлением, наказуемым лишением свободы на два года и штрафом в размере 30 000 евро.
**Обязанности провайдеров и физических лиц по содействию властям.** Статья L.871-1 Кодекса внутренней безопасности требует, чтобы при определенных обстоятельствах частные лица или лица, которые предоставляют криптологические услуги, обеспечивающие конфиденциальность, доставляли уполномоченным агентам средства, позволяющие расшифровывать данные, которые были зашифрованы их услугами в течение 72 часа. Уполномоченные агенты могут также потребовать от поставщиков услуг самостоятельно расшифровать данные в течение 72 часов, если только они не докажут, что это невозможно.
В соответствии со статьей 230-1 Уголовно-процессуального кодекса, если выясняется, что данные, введенные или полученные в ходе расследования, были обработаны таким образом, что данные стали нечитаемыми или защищены механизмом аутентификации (например, шифрованием), прокурор, следственный суд или сотрудник судебной полиции может назначить любую частную организацию или физическое лицо, обладающее достаточной квалификацией, для проведения технических операций, необходимых для получения доступа к удобочитаемой версии данных. Там, где использовалось шифрование, при необходимости они могут использовать секретное дешифрование.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - средние ограничения;
2) использование средств криптографии является бесплатным;
3) лицо, желающее предоставлять криптографические услуги, должно подать заявление премьер-министру;
4) правительство имеет право издавать указ, устанавливающий исключения из общего требования, а также порядок подачи заявлений;
5) предоставление криптографических услуг, направленных на обеспечение конфиденциальности, без выполнения обязательства по отчетности, является уголовным преступлением;
6) частные лица или лица, которые предоставляют криптологические услуги, обеспечивающие конфиденциальность, должны доставлять уполномоченным агентам средства, позволяющие расшифровывать данные, которые были зашифрованы их услугами в течение 72 часа;
7) если выясняется, что данные, введённые или полученные в ходе расследования, были обработаны таким образом, что данные стали нечитаемыми или защищены механизмом аутентификации, прокурор, следственный суд или сотрудник судебной полиции может назначить любую частную организацию или физическое лицо, обладающее достаточной квалификацией, для проведения технических операций, необходимых для получения доступа к удобочитаемой версии данных;
8) там, где использовалось шифрование, при необходимости может использоваться секретное дешифрование;
9) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
10) Франция является одной из 49 стран, в которых общий подход к шифрованию в стране имеет статус - средние ограничения.
## **3.8 Индия**
Существуют ограничения на использование надежного шифрования в Индии, поскольку интернет-провайдеры не могут развертывать «массовое шифрование» в своих сетях, а пользователи не могут использовать шифрование с большей длиной 40-битного ключа без предварительного разрешения. Закон предоставляет центральному правительству и правительствам штатов право приказывать любому агентству перехватывать, отслеживать или расшифровывать или обеспечивать перехват, мониторинг или расшифровку любой информации, передаваемой, получаемой или хранимой с помощью любых компьютерных ресурсов, и требует, чтобы любой «абонент или посредники» предоставляли техническая помощь, необходимая для расшифровки информации, без адекватных гарантий. Невыполнение этого требования является уголовным преступлением, наказуемым лишением свободы, штрафом или и тем, и другим.
**Обязательная минимальная или максимальная сила шифрования.** Раздел 84A Закона об информационных технологиях 2000 г. позволяет правительству устанавливать разрешенные на национальном уровне «режимы или методы» для шифрования, однако такие режимы или методы не предписаны.
**Обязанности провайдеров по содействию властям.** Раздел 69 Закона об информационных технологиях 2000 г. с поправками, внесенными Законом об информационных технологиях (поправка) 2008 г., дает центральному правительству и правительствам штатов право приказывать любому агентству перехватывать, контролировать или расшифровывать или обеспечивать перехват, мониторинг или дешифрование любых информация, передаваемая, получаемая или хранимая с помощью любых компьютерных ресурсов. Правительство должно убедиться, что «это необходимо или целесообразно в интересах суверенитета или целостности Индии, защиты Индии, безопасности государства, дружественных отношений с иностранными государствами или общественного порядка или для предотвращения подстрекательства к совершению преступления». любого подсудного преступления, относящегося к вышеизложенному, или для расследования любого преступления». Как следствие, агентство может потребовать от любого «абонента или посредника или любого лица, отвечающего за компьютерный ресурс», «расширить все возможности и техническую помощь», необходимые для расшифровки информации.
Невыполнение этого требования является уголовным преступлением, наказуемым лишением свободы на срок до семи лет, штрафом или и тем, и другим.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - существенные ограничения;
2) пользователи не могут использовать шифрование с большей длиной 40-битного ключа без предварительного разрешения;
3) закон предоставляет центральному правительству и правительствам штатов право приказывать любому агентству перехватывать, отслеживать или расшифровывать или обеспечивать перехват, мониторинг или расшифровку любой информации, передаваемой, получаемой или хранимой с помощью любых компьютерных ресурсов;
4) прежде чем приказывать, правительство должно убедиться, что это необходимо или целесообразно в интересах суверенитета или целостности Индии, защиты Индии, дружественных отношений с иностранными государствами или общественного порядка или для предотвращения подстрекательства к совершению преступления, любого подсудного преступления или для расследования любого преступления;
5) абонент или посредники обязаны предоставлять техническую помощь, необходимую для расшифровки информации;
6) невыполнение требования является уголовным преступлением, наказуемым лишением свободы и/или штрафом;
7) нет никакого известного законодательства или политики к лицензированию/регистрации;
8) нет никакого известного законодательства или политики, которые бы осуществляли контроль за импортом/экспортом;
9) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти;
10) правительство может устанавливать разрешения на национальном уровне (режимы или методы) для шифрования, однако такие режимы или методы не предписаны.
## **3.9 Германия**
В Германии поставщики телекоммуникационных услуг должны иметь возможность декодировать любые телекоммуникации, защищенные техническими средствами. Однако это не требует, чтобы поставщики телекоммуникационных услуг расшифровывали любое шифрование, которое используется другими сторонами, такими как их пользователи.
**Обязанности провайдеров по содействию властям.** Постановление о техническом и организационном осуществлении мер наблюдения за телекоммуникациями обязывает поставщиков телекоммуникационных услуг иметь возможность осуществлять наблюдение за связью. Пункт 3 раздела 8 предусматривает, что, если поставщик услуг использует технические меры для защиты телекоммуникаций или «сотрудничает в производстве или обмене ключами», он должен обеспечить возможность декодирования любых телекоммуникаций, которые в конечном итоге находятся под наблюдением. Однако это не требует, чтобы поставщики телекоммуникационных услуг расшифровывали любое шифрование, которое используется другими сторонами, такими как их пользователи.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - средние ограничения;
2) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
3) нет никакого известного законодательства или политики к лицензированию/регистрации;
4) нет никакого известного законодательства или политики, которые бы осуществляли контроль за импортом/экспортом;
5) нет никакого известного законодательства или политики, которые бы регулировали обязательства отдельных лиц по оказанию помощи органам власти;
6) поставщики телекоммуникационных услуг должны иметь возможность декодировать любые телекоммуникации, защищенные техническими средствами;
7) если поставщик услуг использует технические меры для защиты телекоммуникаций или сотрудничает в производстве или обмене ключами, он должен обеспечить возможность декодирования любых телекоммуникаций, которые в конечном итоге находятся под наблюдением;
8) не требуется, чтобы поставщики телекоммуникационных услуг расшифровывали любое шифрование, которое используется другими сторонами, такими как их пользователи;
9) Германия является одной из 49 стран, в которых общий подход к шифрованию в стране имеет статус - средние ограничения;
10) отсутствуют какие-либо другие известные законодательства или политики, связанные с организацией шифрования.
## **3.10 Казахстан**
Законодательство Казахстана требует, чтобы каждый интернет-пользователь в стране установил бэкдор, позволяющий правительству вести наблюдение и перехватывать сообщения. Это позволяет правительству получить доступ к истории просмотра веб-страниц, именам пользователей и паролям и даже к защищенному и зашифрованному HTTPS-трафику.
**Обязанности провайдеров по содействию властям.** Правила, принятые в соответствии с Законом о коммуникациях, требуют, чтобы каждый пользователь Интернета в стране установил бэкдор, что позволяет правительству вести слежку. «Казахтелеком», крупнейшая телекоммуникационная компания страны, заявила, что граждане «обязаны» установить «сертификат национальной безопасности» на каждое устройство, включая настольные компьютеры и мобильные устройства. Это позволяет правительству проводить так называемую атаку «человек посередине», которая позволяет правительству перехватывать каждое безопасное соединение в стране и просматривать историю просмотра веб-страниц, имена пользователей и пароли, а также безопасные и зашифрованные HTTPS-трафик.
Выделим основные положения из вышеизложенного материала:
1) общий подход к шифрованию в стране - существенные ограничения;
2) каждый интернет-пользователь в стране должен установить бэкдор, позволяющий правительству вести наблюдение и перехватывать сообщения;
3) граждане обязаны установить сертификат национальной безопасности на каждое устройство, включая настольные компьютеры и мобильные устройства;
4) правительство может проводить так называемую атаку «человек посередине», которая позволяет перехватывать каждое безопасное соединение в стране и просматривать историю просмотра веб-страниц, имена пользователей и пароли, а также безопасный и зашифрованный HTTPS-трафик;
5) нет никакого известного законодательства или политики, которые бы регулировали обязательный минимальный или максимальный уровень шифрования;
6) нет никакого известного законодательства или политики к лицензированию/регистрации;
7) нет никакого известного законодательства или политики, которые бы осуществляли контроль за импортом/экспортом;
8) отсутствуют какие-либо другие известные законодательства или политики, связанные с организацией шифрования;
9) Казахстан является одной из 12 стран, в которых общий подход к шифрованию в стране имеет статус - существенные ограничения;
10) нет никакого известного законодательства или политики, которые бы регулировали общее право на шифрование.
# **Заключение**
В результате проведения практической работы были собраны метаданные трёх файлов (pdf, jpg, exel) с помощью двух утилит (MetaExtractor и ExifTool), на основании информации добытой из них были составлены словари с помощью двух утилит (pwdlogy и crunch). Исследованы 10 уникальных объектов на карте “World Map of Encryption”.
Получены навыки извлечения метаданных из файлов, анализа метаданных и применения полученных сведений для составления словарей, которые в будущем можно будет применять для подбора паролей. Также смогу использовать карту “World Map of Encryption”, чтобы выяснить какой правовой статус шифрования имеет страна.
Sign in with Wallet
Connect another wallet