Xpoint
   [напомнить пароль]

Где в ноутбуке искать криптографический ключ модуля WiFi?

Метки: [без меток]
2011-01-04 02:24:23 [обр] Айн Зац[досье]

  Я хочу импортировать несколько ноутов из-за рубежа. Для этого требуется нотификация. В cписке необходимых документов для проведения нотификации есть такой:

  1. В графе 4 “Используемые криптографические алгоритмы” указывается:

наименование криптографического протокола;
наименование и назначение криптографического алгоритма, максимальная длина криптографического ключа;
для программных продуктов указывается версия;
в случае использования криптографического алгоритма в беспроводном радиоэлектронном оборудовании указывается максимальная дальность беспроводного действия без усиления и ретрансляции в соответствии с техническими условиями производителя;
криптографическая функция, заблокированная производителем (при наличии).
Наименования протоколов и криптографических алгоритмов записываются отдельно для выполнения каждой конкретной функции с указанием номера соответствующего пункта приложения 1 Положения.

  Я спрашивал у производителя ноутбков – он мне ответил, что ничего об этом не знает. Они экспортируют ноутбуки в различные страны и никто от них такой ключ не требует. Он говорит, что они производят только аппаратную часть, а криптографический ключ есть только на ОС который он мне позже выслал:
RC4 algorithm with a 128-bit key length
 RSA public key algorithm
 3DES algorithm in Cipher Block Chaining (CBC) mode with a 168-bit key length.
 The SHA-1 algorithm is used to create message digests.
 Advanced Encryption Standard (AES) algorithm with a 256-bit key length
Не знаю тот ли это ключ. ФСБ сейчас отдыхает и не скажет. А если не тот как ему объяснить какой ключ мне нужен. ФСБ говорит: «На ноутбуки в любом случае потребуется нотификация, будь они с ОС или без. Т.к. ноутбуки содержат wifi модуль. (это закрытый канал связи, т.е. содержит шифрование.)». Он же производитель и должен знать про wifi модуль и то что он содержит шифрование. В характеристиках китайского ноутбука нашел только одно упоминание по WiFi: WIFI 802.11 bgn.
Ниже я привожу всю переписку с производителем, а также требования по нотификации и характеристики ноутов.

Может кто ни будь подскажет, что это за ключ такой о котором не знает даже производитель ноутов в Китае. Спасибо.
We only sell the hardware portion of our laptop and tablet PC products. Cryptographic algorithms relate to the software portion, and we do not have these. When you install Windows or other operating systems to our laptops, you will automatically get Cryptographic algorithms from those operating systems. Up to now none of our foreign customers has any requirement for Cryptographic algorithms like you said, and they do not have any problem to import our products. Maybe you could inquire your Customs service for detailed requirements for importing laptops to Russia, and we'll see how we can assist you in handling this issue. Thank you very much.
Hi Oleg,
 
My laptop uses Windows XP. Different cryptographic algorithms are used for different versions of Windows systems, but they all need to be FIPS compliant algorithms. I found an article in Microsoft website and would like to enclosed it below for your information. I hope this information is helpful for customs notification in Russia. Attached please also find our company's Logo as you requested. Thank you very much.

The United States Federal Information Processing Standard (FIPS) defines security and interoperability requirements for computer systems that the U.S. federal government uses. The FIPS 140 standard defines approved cryptographic algorithms. The FIPS 140 standard also sets forth requirements for key generation and for key management. The National Institute of Standards and Technology (NIST) uses the Cryptographic Module Validation Program (CMVP) to determine whether a particular implementation of a cryptographic algorithm is compliant with the FIPS 140 standard. An implementation of a cryptographic algorithm is considered FIPS 140 compliant only if it has been submitted for and has passed NIST validation. An algorithm that has not been submitted cannot be considered FIPS compliant even if the implementation produces identical data as a validated implementation of the same algorithm.

In some scenarios, an application may use non-approved algorithms or processes while the application operates in a FIPS-compliant mode. For example, the use of non-approved algorithms may be allowed in the following scenarios:
• Some internal processes stay within the computer.
• Some external data is to be additionally encrypted by a FIPS-compliant implementation.
 
In Windows XP and in later versions of Windows, if you enable the following security setting either in the Local Security Policy or as part of Group Policy, you inform applications that they should only use cryptographic algorithms that are FIPS 140 compliant and in compliance with FIPS approved modes of operation:
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
This policy is only advisory to applications. Therefore, if you enable the policy, it does not make sure that all applications will comply. The following of areas in the operating system will be affected by this setting:
• This setting causes the Schannel security package and all applications that build on the Schannel security package to negotiate only the Transport Layer Security (TLS) 1.0 protocol. If this setting is enabled on a server that is running IIS, only Web browsers that support TLS 1.0 can connect. If this setting is enabled on a client, all Schannel clients, such as Microsoft Internet Explorer, can only connect to servers that support the TLS 1.0 protocol. For a list of cipher suites supported when the setting is enabled see the Cipher Suites in Schannel topic.

For more information, click the following article number to view the article in the Microsoft Knowledge Base:
811834 (http://support.microsoft.com/kb/811834/ ) Cannot visit SSL sites after you enable FIPS compliant cryptography
• This setting also affects Terminal Services in Windows Server 2003 and in later versions of Windows. The effect depends on whether TLS is being used for server authentication.

If TLS is being used for server authentication, this setting causes only TLS 1.0 to be used.

By default, if TLS is not being used, and this setting is not enabled on the client or on the server, the Remote Desktop Protocol (RDP) channel between the server and the client is encrypted by using the RC4 algorithm with a 128-bit key length. After you enable this setting on a Windows Server 2003-based computer, the following is true:
o The RDP channel is encrypted by using the 3DES algorithm in Cipher Block Chaining (CBC) mode with a 168-bit key length.
o The SHA-1 algorithm is used to create message digests.
o Clients must use the RDP 5.2 client program or a later version to connect.
For more information about how to configure terminal services, click the following article number to view the article in the Microsoft Knowledge Base:
814590 (http://support.microsoft.com/kb/814590/ ) How to enable and to configure Remote Desktop for Administration in Windows Server 2003
• Windows XP clients that use the RDP 5.2 client program and later versions of RDP can connect to Windows Server 2003, Windows Vista, or Windows Server 2008 computers when you enable this option. However, remote desktop connections to Windows XP computers fail when you enable this option on either the client or the server.
• Windows clients that have the FIPS setting enabled cannot connect to Windows 2000 terminal services.
• This setting affects the encryption algorithm that is used by Encrypting File System (EFS) for new files. Existing files are unaffected and continue to be accessed by using the algorithms with which they were originally encrypted.

Notes
o By default, EFS on Windows XP RTM uses the DESX algorithm. If you enable this setting, EFS uses 168-bit 3DES encryption.
o By default, in Windows XP Service Pack 1 (SP1), in later Windows XP service packs, and in Windows Server 2003, EFS uses the Advanced Encryption Standard (AES) algorithm with a 256-bit key length. However, EFS uses the kernel-mode AES implementation. This implementation is not FIPS-validated on these platforms. If you enable the FIPS setting on these platforms, the operating system uses the 3DES algorithm with a 168-bit key length.
o In Windows Vista and in Windows Server 2008, EFS uses the AES algorithm with 256-bit keys. If you enable this setting, AES-256 will be used.
• Microsoft .NET Framework applications such as Microsoft ASP.NET only allow for using algorithm implementations that are certified by NIST to be FIPS 140 compliant. Specifically, the only cryptographic algorithm classes that can be instantiated are those that implement FIPS-compliant algorithms. The names of these classes end in "CryptoServiceProvider" or "Cng". Any attempt to create an instance of other cryptographic algorithm classes, such as classes with names ending in "Managed", cause an InvalidOperationException exception to occur. Additionally, any attempt to create an instance of a cryptographic algorithm that is not FIPS compliant, such as MD5, also causes an InvalidOperationException exception.
• If the FIPS setting is enabled, verification of ClickOnce applications fails unless the client computer has one of the following installed:
o The .NET Framework 3.5 or a later version of the .NET Framework
o The .NET Framework 2.0 Service Pack 1 or a later service pack
Notes
o With Visual Studio 2005, ClickOnce applications cannot be built on or published from a FIPS-required computer. However, if the computer has the .NET Framework 2.0 SP2, which is included with the .NET Framework 3.5 SP1, Visual Studio 2005 can publish Winforms/WPF applications.
o With Visual Studio 2008, ClickOnce applications cannot be built or published unless Visual Studio 2008 SP1 or a later version of Visual Studio is installed.
• By default, in Windows Vista and in Windows Server 2008, the BitLocker Drive Encryption feature uses 128-bit AES encryption together with an additional diffuser. When this setting is enabled, BitLocker uses 256-bit AES encryption without a diffuser. Additionally, recovery passwords are not created or backed up to the Active Directory directory service. Therefore, you cannot recover from lost PINs or from system changes by typing in a recovery password at the keyboard. Instead of using a recovery password, you may back up a recovery key on a local drive or on a network share. To use the recovery key, put the key on a USB device. Then, plug the device into the computer.
• In Windows Vista SP1 and later versions of Windows Vista, and in Windows Server 2008, only members of the Cryptographic Operators group can edit the crypto settings in the IPsec policy of the Windows Firewall.
Notes
• After you enable or disable the System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing security setting, you must restart your application, such as Internet Explorer, for the new setting to take effect.
• This security setting affects the following registry value in Windows Server 2008 and in Windows Vista:
HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
This registry value reflects the current FIPS setting. If this setting is enabled, the value is 1. If this setting is disabled, the value is 0.
• This security setting affects the following registry value in Windows Server 2003 and in Windows XP:
HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
This registry value reflects the current FIPS setting. If this setting is enabled, the value is 1. If this setting is disabled, the value is 0.

Рекомендации по заполнению нотификации

  1. Нотификация заполняется в соответствии с пунктом 11 Положения о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств, утвержденным Решением Межгосударственного совета

ЕврАзЭС от 27 ноября 2009 г. № 19, по форме, приведенной в приложении 2 к указанному Положению.

  1. Заполнение нотификации осуществляется производителем продукции или лицом, уполномоченным производителем продукции, однократно на один тип шифровального средства на основании собственных доказательств.

В нотификации может быть заявлена информация либо об одном наименовании продукции, либо о группе однотипной продукции, имеющие идентичные шифровальные средства.
Примечание. Идентичные шифровальные средства – функционально завершенные средства, реализующие один и тот же криптографический алгоритм, обладающие одинаковой максимально допустимой длиной рабочего криптографического ключа, одинаковым набором функциональных возможностей и которые при введении одного и того же криптографического ключа и одной и той же входной последовательности обеспечивают одну и туже выходную последовательность.

  1. Нотификация заполняется на государственном языке Российской Федерации в 2-х экземплярах и направляется в согласующий орган (ФСБ России) с сопроводительным письмом. К письму прикладываются документы (оригинал либо нотариально заверенная копия) производителя (изготовителя), предоставившего уполномоченному лицу полномочия по оформлению нотификации.

Допускается написание латинскими буквами названий технологий, протоколов, криптографических алгоритмов и их общепризнанных аббревиатур.

  1. Слова “Приложение 2” и “Форма нотификации” не пишутся.
  2. Заявитель заполняет пункты 1 – 9 нотификации.
  3. В графе 1 “Наименование товара (продукции)” указывается торговое, коммерческое или иное традиционное наименование товара (продукции) либо группы однотипной продукции, имеющий идентичный набор шифровальных средств с добавлением сведений о товарных знаках, марках, моделях, артикулах, стандартах и тому подобных технических и коммерческих характеристиках, для программного обеспечения – версия. Допускается добавление “и запасные части к продукции”.
  4. В графе 2 “Назначение товара (продукции)” приводится описание товара (продукции), выполняемые функции.
  5. В графе 3 “Реквизиты производителя товара (продукции)” указываются наименование организации (организаций), производящих данную продукцию, адрес места нахождения, телефон, факс, а также (при наличии) адрес электронной почты, для российских производителей - сведения о регистрации организации (наименование регистрирующего органа, дата регистрации, регистрационный номер, идентификационный номер).
  6. В графе 4 “Используемые криптографические алгоритмы” указывается:

наименование криптографического протокола;
наименование и назначение криптографического алгоритма, максимальная длина криптографического ключа;
для программных продуктов указывается версия;
в случае использования криптографического алгоритма в беспроводном радиоэлектронном оборудовании указывается максимальная дальность беспроводного действия без усиления и ретрансляции в соответствии с техническими условиями производителя;
криптографическая функция, заблокированная производителем (при наличии).
Наименования протоколов и криптографических алгоритмов записываются отдельно для выполнения каждой конкретной функции с указанием номера соответствующего пункта приложения 1 Положения.

  1. В графе 5 “Срок действия нотификации” указывается дата, до истечения которой производителем гарантируется неизменность технических и криптографических характеристик продукции.
  2. В графе 6 “Реквизиты заявителя” указываются: наименование организации-заявителя, должность, Ф.И.О. лица, от имени которого заполняется нотификация, адрес места нахождения, телефон, факс, а также (при наличии) адрес электронной почты, для российских производителей - сведения о регистрации организации-заявителя (наименование регистрирующего органа, дата регистрации, регистрационный номер, идентификационный номер).
  3. В графе 7 “Реквизиты документа производителя (изготовителя), предоставившего уполномоченному лицу полномочия по оформлению нотификации” – указывается соответствующий документ о передачи полномочий по заполнению нотификации (доверенность, контракт, договор и т.п.; номер и дата подписания документа) (в случае заполнения нотификации уполномоченным лицом).
  4. В графе 8 “Дата принятия нотификации” указывается дата заполнения нотификации.
  5. Вся изложенная информация заверяется подписью заявителя, которая подтверждает достоверность и полноту представленной информации и печатью организации (при наличии). Подпись заявителя расшифровывается.

В случае большого количества информации заверяется бланк нотификации и каждый последующий лист.

  1. Слова “Примечание: допускается использование оборота бланка” не пишутся.

Характеристики ноутов:
Размер LCD дисплея: 10.0''WVGA wide-screen,Touch and Rotary 180 Degree
Разрешение экрана: 1024*600
Процессор (CPU): Intel® Atom™ Processor N450(1.66GHZ) +Intel® NM10 Express Chipset (Tiger Point)
Операционная система (OS): Support Windows® XP /LINUX/Window 7.
Оперативная память (Memory): 1GB DDR2
Жесткий диск (Storage Device): SATA 160G
LAN порт: 10/100M Ethernet Access
Стандарт WIFI: 802.11 bgn
Клавиатура (Keyboard ): Стандартная английская клавиатура, поддержка внешней клавиатуры.
Количество интерфейсов (USB 2.0): 3.0
Порт под карты памяти (Card Port): SD / MMC / MS
Встроенная камера (Build-in camera): 1,3М мегапиксельная (Build-in 1.3M pixels camera)
Шумовые эффекты (Sound effect) : Аудио фокус (In focus Audio), 3 штуки встроенных стерео спикеров (Build-in stereo speaker, 3pcs), встроенный микрофон (Build-in Microphone).
Preliminary TDP (количество теплоодтачи): CPU:2.0W
Аккумулятор: 2CELL-3600mAh/26wh,7.4V
Время работы ноутбука в автономном режиме (Last time) – 3,5-4 HRS
Вид корпуса (Housing Technique): некоторые детали корпуса с покрытием защищающим его от ультрафиолетового излучения, остальные детали корпуса изготовлены из поликарбоата с оригинальным черным и белым цветом (Case A in UV coating , Case B,C,D & battery Case with orignal PC+ABS Color(black or white)).
Возможные цвета корпусов (Housing Case A Color): красный, желтый, черный, белый, синий.

Зарядное устройство: Input AC100-240V 50-60Hz ,19V,2.0A ,38W
Размеры:
размеры устройства: 261x185x28mm – вес устройства с аккумулятором – 1,29 кг
размеры коробки: 300x215x80mm – вес брутто с коробкой – 1,84 кг

спустя 14 часов [обр] Филипп Ткачев(3/115)[досье]
Этот ключ вы создаете сами, когда включаете шифрование при работе через Wi-Fi. По умолчанию на ноутбуках Wi-Fi идет с выключенным шифрованием чтобы сразу мог подключаться к публичным сетям, поэтому никакой криптографический ключ не нужен и никто его не указывает.
спустя 8 часов [обр] Айн Зац[досье]
Понятно, но вопрос стоял иначе. Если он есть, то его нужно указать при нотификации, что бы ФСБ-шники могли убедиться что ты не шпион и не перевозишь технику с неизвестным им алгоритмом шифрования, то бишь «шпионскую» технику для Джеймса Бонда который совместно с ЦРУ готовит покушение на Айн Зайца (не путать с Айн Зацом).
спустя 1 час 7 минут [обр] Айн Зац[досье]
Сегодня получили вот такое письмо от производителя. Не в курсе то ли это и ли не то.
Hi Oleg,
 
The WiFi modules we use for our laptops have the following features:
 
• Complies with 802.11i and 802.11j specifications
• Hardware-based IEEE 802.11i encryption/decryption engine, including 64-bit/128-bit WEP, TKIP, and AES
• Supports Wi-Fi alliance WPA and WPA2 security
• Cryptographic protocol: CCMP (Counter-Mode Cipher Block Chaining Message Authentication Code Protocol)
• Cryptographic algorithm: AES (Advanced Encryption Standard)
• Maximum length of a cryptographic key: 128 bits
 
I hope the above information will help you for Customs clearance. Thank you very much.
 
Best regards,
спустя 13 часов [обр] 30-ый(150/584)[досье]

"Нотификация заполняется на государственном языке Российской Федерации..."
И что же за язык они мели в виду? Это точно не прикол?

Кажется вашу проблему можно решить лишь двумя способами - дать денег (если ноутов много) или наплевать и просто везти в сумке (если ноутов мало). Чем больше вы будете копать, тем сложнее будет все выглядеть. Сколько ноутов вы хотите ввести? Неужели вы думаете, что каждый турист приезжающий с новым ноутом из штатов заполняет эту вашу бумагу?

Windows поддерживает целый вагон и маленькую тележку разных крипрографических алгоритмов. В самой системе хранится опять таки куча разных ключей и сертификатов. Наверняка на Амазоне есть книжка листов так на 1000, где про все про это написано. Боюсь только, что ФСБ-шные инструкции писались столь давно, что большая часть современных алгоритмов подпадает в сугубо военную область действия и как к импорту, так и к экспорту запрещена.

Powered by POEM™ Engine Copyright © 2002-2005