[svoboda] РБК: ФСБ потребовала от "Яндекса" передать ключи шифрования, но компания не хочет раскрывать данные пользователей
Здравствуйте, свобода.
ФСБ еще несколько месяцев назад потребовала от компании "Яндекс"
предоставить ключи для дешифровки данных пользователей сервисов
"Яндекс.Почта" и "Яндекс.Диск", но компания не хочет выполнять это
требование спецслужбы. Об этом пишет РБК со ссылкой на источники на
ИТ-рынке. Ранее отказ предоставить ФСБ ключи шифрования сообщений стал
поводом для блокировки в России мессенджера Telegram.
В настоящее время сервисы "Яндекс.Почта" и "Яндекс.Диск" числятся в реестре
организаторов распространения информации (ОРИ). Это означает, что ФСБ имеет
право среди прочего требовать от сервисов предоставить "информацию,
необходимую для декодирования принимаемых, передаваемых, доставляемых и
(или) обрабатываемых электронных сообщений пользователей сети интернет".
Представитель "Яндекса" отказался комментировать информацию о поступившем от
ФСБ требовании, но подчеркнул, что компания "работает в полном соответствии
с действующим законодательством".
"Спецслужба требует от компании предоставить сессионные ключи, которые, по
сути, дают доступ не только, например, к сообщениям в почте, но и позволяют
анализировать весь трафик от пользователей к находящимся в реестре ОРИ
сервисам "Яндекса". Не говоря уже о том, что дешифровка всего трафика в
рамках пользовательской сессии несет значительные риски в плане
безопасности", - пояснил собеседник РБК.
Источник, близкий к "Яндексу", подтвердил, что речь идет о сессионных
ключах. Такие ключи шифрования используются только для одного соединения
между пользователем и сервером (одной сессии). "В случае с "Яндекс.Почтой"
он вырабатывается, когда пользователь только заходит на страницу
mail.yandex.ru, а прекращает свое действие в зависимости от настроек через
какое-то время, после того как пользователь либо закроет вкладку
"Яндекс.Почта", либо полностью закроет браузер, либо выключит компьютер", -
пояснил бывший разработчик The Tor Project Леонид Евдокимов, уточнив, что
этим ключом шифруются не только сообщения пользователя, но и все метаданные,
а также логин и пароль, что дает возможность получить доступ к почтовому
ящику пользователя при наличии такого ключа.
"Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым
обеспечивается безопасность передачи данных, так как в случае их перехвата
злоумышленник не сможет их расшифровать. В этом смысле хранение и передача
сессионных ключей создают определенные риски", - считает Евдокимов.
В свою очередь консультант по информационной безопасности Cisco Systems
Алексей Лукацкий пояснил, что компания использует метод Single Sign-On, при
котором авторизация в "Яндекс.Почте" дает доступ к другим сервисам, включая
"Яндекс.Музыку" и "Яндекс.Диск". По мнению Евдокимова, сессионные ключи дают
доступ к данным, а также позволяют анализировать поведение пользователей.
Так, наличие ключей позволяет видеть, кто и какие данные скачивал в
"Яндекс.Диске".
Близкий к "Яндексу" источник РБК сообщил, что компанию беспокоят последствия
сотрудничества с ФСБ, которое чревато оттоком пользователей, сокращением
доли на рынке и финансовыми потерями. "Иностранные компании, например
Google, ФСБ не принуждает к такому сотрудничеству, поэтому "Яндекс" тут
видит угрозу своему конкурентному положению", - отметил он.
Партнер Центра цифровых прав Саркис Дарбинян напомнил, что отказ передать
ФСБ ключи шифрования является административным правонарушением, и суд может
оштрафовать "Яндекс" на 1 млн рублей. Если же компания снова не предоставит
ключи, то ей грозит блокировка. Такая схема уже была реализована на практике
и привела к блокировке Telegram.
Однако такой сценарий Дарбинян считает маловероятным. "Скорее, они будут
долго торговаться и в итоге придут к какому-то компромиссу. У государства
здесь есть сильный рычаг. Если "Яндекс" совсем не будет идти на диалог,
допускаю, что в целях устрашения они могут ограничить доступ к его сервисам
на день-два - и это сразу же приведет к большим убыткам для компании. Но это
будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей
российской интернет-компании на постоянной основе", - считает юрист
