12 августа на официальном интернет-портале правовой информации был опубликованприказ ФСБ, в котором говорится о том, что спецслужбы могут потребовать от IT-компаний, организаторов социальных сетей, форумов, создателей программного обеспечения выдать ключи шифрования для декодирования, что обеспечит государственным органам доступ к личной переписке, записям телефонных звонков и иной информации, относящейся к пользователям. Информацию нужно будет отправить на электронную почту или выслать на магнитном носителе обычной почтой. «Сноб» попробовал разобраться, зачем нужно расшифровывать личные данные, как будет происходить передача информации спецслужбам и чем все это может грозить пользователям интернета
Илья Сачков, генеральный директор кибердетективного агентства Group-IB:
Когда мы связываемся друг с другом через почту или мессенджеры, то нам как-то нужно защитить наше взаимодействие. Здесь используется сложная для понимания, но на самом деле очень простая система открытого ключа.
Открытый ключ — это блок символов, и он, естественно, тем сложнее, чем больше в нем составляющих. Зашифровать сообщение — это сделать с текстом что-то по определенному алгоритму. Расшифровать его можно секретным ключом. Если вдруг кто-то использует постоянный секретный ключ, что встречается крайне редко, то небезопасно его раскрывать, ведь в таком случае расшифровать можно будет все, что относится к переписке этого человека. Насколько я понимаю, коллеги из ФСБ хотят получить доступ именно к секретным ключам. Но в большинстве мессенджеров используются не постоянные, а уникальные ключи, каждый раз генерируемые заново.
Технически не совсем возможно сделать то, что написано в приказе ФСБ, основанном на «пакете Яровой». Есть несколько миллионов пользователей WhatsApp в России, которые во время сессии генерируют секретные ключи. Из них генерируются открытые ключи, которые отправляются собеседнику. Мое сообщение отправляется к вам в виде открытого ключа, который ваш мессенджер преобразует в текст с помощью вашего закрытого ключа. Так устроена криптография в большинстве мессенджеров. Когда заканчивается сессия, секретный ключ перестает существовать. Поэтому технически передавать секретные ключи, особенно на магнитных носителях — не знаю, продаются ли они еще, — странная идея. Я не представляю, как коллеги из ФСБ собираются расшифровывать колоссальные объемы информации: сообщения, фотографии и видео ежесекундно генерируют гигантское количество секретных кодов.
С криптографией нереально бороться, надо смириться, что она есть. Бороться нужно с людьми, а не с технологиями. Может произойти более опасная вещь, как, например, с блокировками сайтов: когда был подписан закон о защите детей, Роскомнадзор закрыл сайты по продаже наркотиков и сайты детской порнографии. Еще тогда мы говорили, что так проблему решить нельзя. Наркоторговцы не особо расстроились закрытию сайтов — они просто ушли в теневой интернет, создали более защищенное сообщество, куда теперь очень сложно попасть. Поэтому борьба такими методами только на руку террористам. Они видят, что делают власти, и используют то, до чего власти не добрались. Когда власти доберутся до всего, террористы создадут что-то новое и будут пользоваться этим.
В ФСБ хорошо понимают, чего хотят. Новость про приказ, как мне кажется, немного неверно трактуют, потому что школа криптографии в ФСБ одна из самых сильных, и я не верю, что они могли заявить, что хотят получить секретные ключи шифрования. Но если новость действительно выглядит так, то, наверное, кто-то что-то перепутал и не понимает, какую задачу решает.
Артем Козлюк, руководитель проекта «Роскомсвобода», автор петиции на РОИ за свободу интернета:
В первую очередь стоит сказать, что закон составлен юридически некорректно. В нем много пунктов, противоречащих друг другу и нарушающих Конституцию РФ: например, ни слова не сказано о том, что требования о предоставлении скрытой информации должны основываться на судебном ордере. Сказано, что хватит лишь подписи начальника управления или даже его заместителя. Только на основе этого данный документ нарушает 23 и 24 статью Конституции. Сама подготовка этого документа тоже нарушила процедуры создания таких нормативных актов. Они должны быть в обязательном порядке размещены в интернете на сайте regulation.gov.ru как для общественного обсуждения, так и для прохождения оценки регулирующего воздействия. Этого не произошло.
Что касается смысловой стороны, то многим отраслевым экспертам непонятны формулировки закона: они взаимно пересекаются и исключают друг друга, и совершенно неясно, что является этим «магнитным носителем» — это может быть и барабан, который нужно будет отправлять почему-то по почте, может, это будет и файл, и еще что-нибудь. Опять же, понятно, что закон распространяется на организаторов хранения информации, перечень которых ведет «Роскомнадзор», в соответствии с законом 97-ФЗ «О блогерах и организаторах распространения информации». На текущий момент там перечислены 65 российских юридических и физических лиц, которые владеют теми или иными ресурсами, сервисами. То есть это не обязательно веб-сайт, это может быть и разработчик программного обеспечения. В этом реестре значатся разработки таких компаний, как «Яндекс», Mail.ru, Rambler, «Вконтакте», также есть специализированные ресурсы. По какому принципу они выбраны, до конца не ясно: возможно, величина аудитории, возможно, наличие форумов и закрытой переписки, но если это так, то представьте, сколько сайтов предоставляют возможность общения — и все это будет в реестре.
Стоит отметить, что еще ни один иностранный ресурс внесен в реестр не был. Это связано с тем, что госорганы пока не понимают, как требовать у Google или Facebook предоставить магнитные носители и как все это расшифровывать. С отечественными компаниями намного проще.
Следующий вопрос, на который нет ответа: как ФСБ будет требовать и получать данные? Запрашивать данные звонков и переписки, как написано в законе, ФСБ будет без судебного ордера. Если шифрование или дешифрование происходило внутри сервиса, то ФСБ сможет в любое время получить доступ к вашей информации. Однако есть несколько способов защиты. Первое: если человек пользуется иностранными криптозащищающими сервисами, то пока ФСБ бессильна. Госорганы не знают, как будут требовать ключи у иностранных компаний. Например, у Proton.mail защищенные ключи швейцарского происхождения. Во-вторых, если пользователи используют ключи, шифрование через которые происходит на самих компьютерах, а не на сервере, тогда ФСБ тоже не сможет получить запрошенные данные. Но нужно помнить, что использование иностранных серверов не всегда защищает собеседников от «прослушивания»: если один человек отправил письмо через «Яндекс» на Google, то вся переписка будет прочтена.
Мне вообще непонятно, почему теперь гражданам нужно искать пути сокрытия своей личной информации от государства. Этот «большой брат» — удивительное изобретение российских властей. Понятно, что слежкой и прослушиванием занимаются не только у нас, но Россия первая в мире узаконила это. В Америке и Европе спецслужбы делали то же самое незаконно. Россия же возвела тотальный просмотр всех личных данных в ранг закона, напрямую нарушив Конституцию.
Этот приказ не только нарушает наши права, но и в будущем может привести к ужасным последствиям: например, тот массив информации, что будет собираться, по размерам беспрецедентен в мировом масштабе. Нет таких хранилищ в мире, которые смогли бы все это хранить. И это, в свою очередь, создает риски утечки содержимого переписки и звонков на черный рынок. Мы и раньше видели утечки баз данных в госучреждениях. Сейчас, когда такая база будет аккумулироваться как у операторов связи, так и у государственных органов, вероятность утечки будет на порядок выше, потому что на такую информацию всегда найдется покупатель. И конечно же, найдутся люди, которые будут администрировать вход в эти базы. Из этого следует, что тут есть только две цели — контроль и прибыль. Есть некие бенефициары, точно за рубежом, которые будут продавать оборудование для строительства ЦОДов для операторов связи: в России таких производителей нет. Операторы же будут перекладывать затраты на плечи абонентов. По факту деньги из карманов абонентов будут перетекать даже не в бюджет, но на Запад и на Восток к производителям оборудования. За этим кто-то точно стоит.
Следующим же шагом после введения этого закона будет запрет на использование мессенджеров и социальных сетей. Будут санкции для физических лиц, если будет замечено использование и распространение таких средств. Это страшно, нужно отстаивать свои гражданские права, а не искать, как спрятаться.
Игорь Ашманов, управляющий партнер компании «Ашманов и партнеры»:
Главные западные игроки интернета переходят на общение с пользователем по HTTPS. Официально это делается, чтобы обеспечить безопасность пользователей и тайну переписки.
Но есть мнение, что цель шифрования таких корпораций, как Facebook, Twitter, Google, — это напрямую взаимодействовать с пользователями из «нехороших», «тоталитарных» стран, таких как наша, где якобы подавлены все свободы. Сергей Брин [один из основателей Google] в своеминтервью о Китае как-то сказал об этом совершенно прямо. Чтобы противодействовать этому, наши власти принимают логичное решение — потребовать ключи шифрования. Был принят рамочный «пакет Яровой», который сильно переврали в прессе, было принято решение, что те, кто хочет работать в России, должны отдать ключи, чтобы спецслужбы могли получать информацию. Технические решения по исполнению закона, однако, на мой взгляд, пока ущербны и неполны.
Есть простой пример того, зачем нужен и какие проблемы создает HTTPS: например, «Википедия» регулярно публикует провокационные статьи о наркотиках и их производстве, а Роскомнадзор пишет им: материал плохой, удалите. Но в «Википедии» поднимается дикий крик, они отказываются его убрать, ссылаясь на вечные ценности «Википедии» и всего цивилизованного мира. Тогда Роскомнадзор говорит, что ему придется заблокировать весь ресурс, после чего снова начинается вселенский шабаш, крики уже в западной прессе и разговоры о том, как злобный кровавый режим Путина подавляет свободы. Проблема в том, что URL страницы передается зашифрованным, а значит, заблокировать отдельно этот URL не удастся — только ресурс целиком. И именно это и нужно для такого троллинга.
Первый вариант, как можно справиться с подобными материалами, которые по закону нужно блокировать, — это получить ключи. Второй: запретить использовать HTTPS. Хочешь работать в России — работай по открытому HTTP. Кто не захочет — не будет работать. Третий вариант: взламывать шифрование и нелегально добывать информацию. Четвертый: ввести в стране свой сертификат и постепенно расставить его ко всем пользователям. Государство все равно будет решать проблему в ситуации, когда крупные западные корпорации вроде Facebook, Twitter и Google явно идеологически ангажированы, когда идет открытая информационная война против России. И будет решать легальными способами.
Противодействие террору — это то, что называют поводом для принятия «пакета Яровой». Но у властей задача шире, конечно: они хотят защититься в информационной войне, ведь мы, по сути, находимся на оккупированной территории. У нас очень плохое положение, потому что огромная часть мировых сервисов сделаны в США и идеологически ангажированы, а кроме того, сливают все данные своим спецслужбам (и прямо пишут об этом в своих пользовательских соглашениях). В этой ситуации эфэсбэшников если не простить, то понять можно: им надо что-то с этим делать.
Для кого важна тайна переписки и общения в соцсетях? Можно разделить людей на три категории: первая — преступники, которых, безусловно, надо ловить, вторая — оппозиционная общественность со спонсорами из-за рубежа, третья — обычные граждане, у которых есть маленькие секреты или просто приватные разговоры. Зачем оппозиционеру тайна переписки? Если это личные грязные секреты, то политику лучше их вообще не иметь. Или не жаловаться, если их опубликовали.
А что еще можно скрывать? Правильно ли то, что оппозиционные политики скрывают, что берут деньги от наших прямых врагов в их же интересах или просто из-за рубежа? Я думаю, что нет.
Но это неважно, поскольку частное разглашение подобных вещей (не по суду и не в ходе следствия) незаконно по законам РФ и представляет собой эксцесс, подобный вскрытию предвыборной переписки партии демократов США пару недель назад. Это вопрос не к законам, а к людям.
