Офтоп
Андрей Фролов

Российские ИТ-компании заявили об угрозе бизнесу из-за требования Госдумы раскрывать ключи шифрования Статьи редакции

Российская ассоциация электронных коммуникаций (РАЭК), в которую входят Rambler&Co, «Ростелеком», Mail.Ru Group и другие, выступила с критикой поправок в «антитеррористический» закон депутата Ирины Яровой, которые обязывают ИТ-компании раскрывать властям ключи шифрования данных по запросу. Своё заявление организация опубликовала на официальном сайте.

Обновлено: Добавлен комментарий представителей компании «Яндекс», которая в РАЭК не входит.

Законопроект обязывает для операторов связи и организаторов распространения информации в сети интернет (практически все интернет-сервисы) хранить на территории России в течение трех лет «информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами».

Ко второму чтению, которое состоится 22 июня 2016 года, в него внесена поправка, которая обязывает интернет-сервисы передавать властям данные, «необходимые для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». При отказе предоставлять такие данные сервис может быть оштрафован на сумму до 1 млн рублей.

Поправки в том числе затрагивают мессенджеры, соцсети и сервисы электронной почты, «которые имеют кодировку и содержат большое количество посетителей, участников этого процесса».

РАЭК отмечает, что в большинстве стандартов шифрования такие данные не сохраняются. «Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллмана и никогда не пересылается по сети, после чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии», — отметили в организации. В p2p-сервисах вообще нет субъекта, который хранил бы пользовательские ключи, пишут представители РАЭК.

При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.

Создание специальный ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.

Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. <…> При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников.

— РАЭК

Ассоциация указывает на то, что законопроект ставит российские компании в неконкурентные условия — в частности, он может нарушать нормы других стран (так как документ действует на всех пользователей), а также даёт возможность другим государствам предъявлять схожие требования к сервисам из России. Иностранные проекты могут отказаться от работы на российском рынке из-за этого закона, к тому же, возможность применения к ним санкций за невыполнение требований вызывает сомнение, отметили в РАЭК.

Принятие законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию интернет-отрасли. При этом депутаты, внесшие законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.

Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит компании в неравное положение, создает угрозы для национальной безопасности.

— РАЭК

Поправки будут обсуждаться на заседании Госдумы 22 июня 2016 года. Комитет по безопасности нижней палаты парламента уже рекомендовал принять исправленный законопроект сразу во втором и третьем чтениях, ожидается, что он вступит в силу с 1 июля 2018 года.

Обновлено в 23:46: По просьбе vc.ru ситуацию с законопроектом прокомментировала пресс-служба «Яндекса», который не входит в РАЭК.

Сейчас сложно оценить ни насколько требования законопроекта реализуемы на практике, ни насколько они помогут в достижении целей, ради которых он принимается. Законопроект вводит для интернет-компаний две новые обязанности: хранить все сообщения пользователей до шести месяцев, а также в случае использования кодирования интернет-компании должны предоставлять в правоохранительные органы информацию, необходимую для декодирование электронных сообщений. При этом остаются неясными следующие вопросы:

— Неясен порядок и объем хранения сообщений пользователей — это будет утверждаться отдельно подзаконными актами правительства.
— Непонятно, что именно понимает законодатель под кодированием, так как любая информация, передаваемая в сети, кодируется, в том числе с использованием стандартных интернет-протоколов. Например, когда вы открываете письмо, почтовый клиент выполняет декодирование данных, таких как приложенные к письму фотографии или документы, по стандарту MIME. Что в данном случае требуется предоставлять по закону? Каков порядок предоставления этих данных? Закон этого не объясняет.

С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат. Иным образом, бизнес получает какие-то новые обязанности и дополнительные расходы, однако в текущей редакции законопроекта данное регулирование избыточно, поскольку приводит к чрезмерному ограничению прав как бизнеса так и пользователей.

Однако приводят ли в итоге эти ограничения к тем целям, о которых говорят авторы законопроекта? Речь идёт об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль.

— пресс-служба «Яндекса»
0
20 комментариев
Популярные
По порядку
Написать комментарий...
Виктор Алфёров

Тогда этим в госдурке следует во время всех голосования держать открытый доступ к образу (с контрольной суммой) с голосами, что бы любой гражданин мог его скачать и узнать правильно ли учтён его голос и вообще кто мог проголосовать за таких как они "в госдурке". И тогда если опытной проверкой данные в образе БД на 146% совпадут с официальными результатами выборов, только тогда можно будет с чистым сердцем думать, что Россия - страна дураков.

Ответить
14
Развернуть ветку

Комментарий удален

Развернуть ветку
Денис Кудрявцев

пруфы можно? интересно стало

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
ave ego

голос не является достаточной мерой уникальной аутентификации, поэтому нужна еще радужка глаз, отпечатки ладоней, ступней ног, образец движения позвоночника при походке, и мрт мозга, экг сердечного ритма на всякий случай и образец днк

Ответить
0
Развернуть ветку
Смарт Элло

Ок, открыть полностью течение налогов. Чтобы каждый мог видеть, что во-первых платит налогов 20-60%, и видеть куда и как они уходят. Вот полная открытость течения средств. Точно под финансовый анти-терроризм подойдёт.

Ну а если будем юзать иностранные сервисы, то что?

Ответить
11
Развернуть ветку
ave ego

иностранные сервисы юзают иностранные агенты! тут и до добровольного выхода из гражданства не далеко!

Ответить
5
Развернуть ветку
Ilja Razinkov

хех, говорят от росгражданства не так просто избавиться, люди уже в очереди встают "поработать в некомерческой организации" где нибудь ))

Ответить
0
Развернуть ветку
Max Wayne

Дуров нервно смеётся в сторонке.

Ответить
9
Развернуть ветку
Денис Кудрявцев

А он вообще красавчик. Вышел в кэш перед кризисом, открыл сервис, направленный на забугор и от греха подальше даже интерфейс не переводят на русский)

Ответить
8
Развернуть ветку

Комментарий удален

Развернуть ветку
Aleksey Bobkov

То есть некомпетентные в вопросе депутаты занимаются умышленным саботажем

Ответить
4
Развернуть ветку
designer fake

никогда такого не было и вот опять

Ответить
10
Развернуть ветку
Сергей Луценко

Все веселее и веселее

Ответить
5
Развернуть ветку
Alex Demin

"All in all it's just another brick in the wall."

Ответить
4
Развернуть ветку
Ilja Razinkov

скорее сразу новый большой wall...

Ответить
0
Развернуть ветку
Yuriy Petrov

А на эллиптических кривых DH секрет не меняется между сессиями. Но это неважно. Непонятно, зачем эти полумеры, почему они сразу не возьмут известные слабые параметры шифрования со своими закладками и не потребуют от всех их использовать. Вон openssl уже осрамились с подобным, у нас же можно возвести это в героизм.

Ответить
–2
Развернуть ветку
циркумфлекс циркумфл

OpenSSL — открытое, свободное ПО с кучей авторов. Кто осрамился то? Эта библиотека используются везде.

Ответить
1
Развернуть ветку
Yuriy Petrov

Почитайте про скандал с Dual_EC_DRBG реализацией по NIST в OpenSSL. Вот краткая выдержка, если вам влом гуглить:
Classified N.S.A. memos appear to confirm that the fatal weakness, discovered by two Microsoft cryptographers in 2007, was engineered by the agency. The N.S.A. wrote the standard and aggressively pushed it on the international group, privately calling the effort “a challenge in finesse.”

Ответить
1
Развернуть ветку
Bavanmub

Каким образом сессионный ключ может не меняться, если он вычисляется на основе чисел, задуманных каждой из 2 сторон? при этом, что очевидно, даже если сервер использует одно и то же значение между разными сессиями (а корректно написанные реализации так не делают), то разные клиенты так поступать не могут по очевидным причинам.

Ответить
0
Развернуть ветку
Yuriy Petrov

Я ничего не говорил про сессионный ключ, просто не всегда алгоритм Диффи-Хеллмана подразумевает разные ключи для разных сессий. Для восстановления DH ключа на эллиптике (не обычный со случайными выбранными числами) нужно знать один закрытый и "противоположный" открытый ключ. Очевидно, к сессионным DH ключам на случайных значениях это никакого отношения не имеет. Всё зависит от настроек сервера. И, кстати, по протоколу TLS/SSL шифр согласуется обеими сторонами. Т.е. если сервер не поддерживает DH, а клиент не требует, значит его и не будет.

Ответить
0
Развернуть ветку
Zaur Huseynov

сами же террористы...

Ответить
0
Развернуть ветку
Денис Денисов

Авось прокатит....

Ответить
–1
Развернуть ветку
Читать все 20 комментариев
«Если клиенты видят халяльный логотип, это придаёт им уверенности в продукте»: как устроен исламский банкинг в Индонезии Статьи редакции

Местные финтех-стартапы могут развиваться только после одобрения представителей исламского духовенства. Какие сложности преодолевают предприниматели, чтобы создать приложение по законам шариата, — в пересказе Rest of World.

Как выпустить заменитель соли на Boomstarter.ru и попасть в список Forbes

Сёстры из Астрахани запустили на Boomstarter.ru продажи нового продукта — зеленой соли. После этого их продукцию начали продавать в сетевых магазинах, а само бизнес-начинение журнал Forbes включил в список лучших стартапов.

Как сделать работу компаний и фрилансеров удобной

С помощью сервиса «Рокет Ворк».

«Комитет» объявил о планах продать сервис коротких видео Coub Статьи редакции

Компания, владеющая vc.ru, dtf.ru и tjournal.ru, планирует в ближайшее время найти нового владельца для проекта, сообщил на своей странице в Facebook сооснователь «Комитета» Влад Цыплухин.

Роскомнадзор потребовал от Tor удалить «запрещённую информацию» — в случае отказа сеть заблокируют Статьи редакции

«Запрещённые» данные находятся на странице, где рассказывается о проекте.

Как производственной компании обучить всех онлайн, увеличить прибыль и повысить лояльность. Часть 2

В первой части мы рассказали, какие задачи в промышленных компаниях решает онлайн-обучение и как к нему подготовиться.

Весь кофе подорожает, капучино за 250 рублей будет нормой: почему рынок штормит не первый месяц и чего ждать в 2022 году Статьи редакции

Основные причины — проблемы у ключевых стран-экспортёров и подорожание морских перевозок.

Как слабоумие и отвага, доширак и донорство крови помогли нам сделать платформу для ИИ-роботов и поднять раунд 50 млн

Tomoru.ru — платформа для создания умных голосовых роботов для бизнеса. Мы начинали как AR/VR-студия, а теперь создаем цифровых помощников для СберМаркета, Skillbox и других клиентов. Бизнес может собрать себе робота сам или заказать готового у сертифицированных партнеров Tomoru.

Кейс: увеличили аудиторию коммерческого аккаунта в Instagram в 4 раза с минимальным бюджетом

И помогли вывести на рынок новый продукт пест-контроля

Скриншот слева показывает как выглядел аккаунт до работы с нами, скриншот справа - после.
«Купи сейчас, плати потом»: новая классика или мимолетная мода

Сервис рассрочек рассказывает о новом финтех-тренде.

null