Леонид Волков: "Чем пока обернулся "сбор ключей шифрования"


Moscow-Live.ru

Политик комментирует публикацию приказа ФСБ, касающегося предоставления организаторами распространения информации ключей шифрования в рамках "пакета Яровой", отмечая, что пока этот документ носит исключительно формальный характер.

"1. Вышел приказ ФСБ, утверждающий "порядок предоставления операторами распространения информации (ОРИ) информации, необходимой для декодирования сообщений", сам порядок крайне лаконичен (шесть пунктов на полутора страницах) и ни на один вопрос не отвечает", - пишет Леонид Волков в Facebook.

"2. Важно понимать, что он не относится к провайдерам. Провайдеры - не ОРИ. Провайдеры и сейчас весь трафик собирают и передают в ФСБ в рамках СОРМ-3; сейчас хранится весь трафик за 12 часов, по "закону Яровой" будет храниться весь трафик за более длительное время, но пофиг - сейчас примерно 50% трафика это шифрованный https-трафик, его доля стремительно растет, сделать с ним ничего не могут ни провайдеры, ни ФСБ, которое его собирает..."

"3. Важно понимать, что он не относится и к мессенджерам. Потому что и мессенджеры - не ОРИ. Теоретически можно себе представить, как ФСБ запрашивает заказным письмом у условного "Вайбера" ключи конкретных пользователей, а "Вайбер", не уведомляя пользователей, присылает в ФСБ эти ключи, и пока пользователи, ничего не подозревая, обмениваются планами взрыва Кремля, ФСБ эти планы читает. Особенно легко это представить в отношении сервисов, где нет end-to-end-шифрования, а есть шифрование только от пользователя до сервиса, но в принципе и про end-to-end можно представить, не особо напрягаясь..."

"Но, повторюсь, к мессенджерам (а равно и к почтовым сервисам, к VoIP и т. д.) приказ ФСБ N432 от 19 июля 2016 года тоже не относится никак.

4. А к кому он относится? А относится он только и исключительно к ОРИ: то есть к очень странному перечню из примерно 65 веб-сервисов, сайтов и компаний. Реестр ОРИ возник на одной из волн внедрения интернет-цензуры; туда планировалось включить все сайты и порталы с посещаемостью более 3000 человек в день, нагрузить их обязанностями и ответственностью СМИ и, таким образом, не дать публиковать всякие нехорошие гадости про Владимира Владимировича Путина, да продлятся его благословенные дни. Реестр открыли, с помпой и почетом включили туда на первые четыре места "Яндекс", "ВКонтакте", "Рамблер" и "Мэйл.Ру"... а дальше что-то пошло не так и его попросту забросили".

"5. Итак, сейчас, по своему порядку, ФСБ может писать заказные письма одному из примерно 70 субъектов реестра ОРИ и требовать "предоставить необходимую для декодирования информацию". Необходимую для декодирования чего? Это ж просто сайты.

6. Логически рассуждая (хотя рассуждать логически о приказах ФСБ и "пакете Яровой" довольно трудно), можно предположить, что запрашиваться могут ключи, с помощью которых эти сайты шифруют трафик по https. (Хотя, вероятно, далеко не все из сайтов из реестра ОРИ применяют https.) И если предположить, что сайты в ответ на заказное письмо отправят эти ключи "на магнитном носителе", то дальше ФСБ может взять трафик (из шестимесячного хранилища!) между пользователем и сайтом из реестра ОРИ и пытаться его расшифровывать этими ключами.

7. Удачи в этом нелегком деле и попутного ветра: это ж сколько надо долбиться и сил потратить, чтобы выяснить, что именно пользователь скачал с сайта "Сыктывкар.Ру" и с форума "Мамы Абакана" (реальные примеры из реестра ОРИ), пытаясь сопоставить сессионные ключи https (одноразовые на каждый сеанс связи) с гигантским хранилищем трафика, скачанным данным пользователем (а если он еще и через разных провайдеров ходил, а? с домашнего компьютера и с телефона?). Это в целом-то не очень тривиальная задача, сравнимая с поиском иголки в стоге сена - даже если все ключи на руках уже есть".

"Резюме 1. Совершенно очевидно, что сейчас ФСБ выполнило поставленную руководством задачу откровенно "на ...". Им сказали разработать порядок - они разработали. И смысл, и структура и даже длина этого документа говорят о том, что никто не собирается по этому порядку работать".

"Резюме 2. Надо внимательно следить за реестром ОРИ. Если все-таки будут попытки выжать что-то из "пакета Яровой", то их внешнее проявление будет заключаться в попытках насильственного включения в реестр ОРИ новых субъектов, которых там нет. Желтым флажочком будет, если он вдруг внезапно начнет пухнуть с нынешних 65 сайтов до сотен и тысяч. Красным флажочком - если в него начнут включать (или если в него сами начнут включаться) мессенджеры и прочие коммуникационные сервисы.

Но пока что до этого бесконечно далеко. Общайтесь сколько угодно, это безопасно".

facebook
LJ

ССЫЛКИ ПО ТЕМЕ