Российские ИТ-компании заявили об угрозе бизнесу из-за требования Госдумы раскрывать ключи шифрования Статьи редакции
Российская ассоциация электронных коммуникаций (РАЭК), в которую входят Rambler&Co, «Ростелеком», Mail.Ru Group и другие, выступила с критикой поправок в «антитеррористический» закон депутата Ирины Яровой, которые обязывают ИТ-компании раскрывать властям ключи шифрования данных по запросу. Своё заявление организация опубликовала на официальном сайте.
Обновлено: Добавлен комментарий представителей компании «Яндекс», которая в РАЭК не входит.
Законопроект обязывает для операторов связи и организаторов распространения информации в сети интернет (практически все интернет-сервисы) хранить на территории России в течение трех лет «информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами».
Ко второму чтению, которое состоится 22 июня 2016 года, в него внесена поправка, которая обязывает интернет-сервисы передавать властям данные, «необходимые для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». При отказе предоставлять такие данные сервис может быть оштрафован на сумму до 1 млн рублей.
Поправки в том числе затрагивают мессенджеры, соцсети и сервисы электронной почты, «которые имеют кодировку и содержат большое количество посетителей, участников этого процесса».
РАЭК отмечает, что в большинстве стандартов шифрования такие данные не сохраняются. «Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллмана и никогда не пересылается по сети, после чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии», — отметили в организации. В p2p-сервисах вообще нет субъекта, который хранил бы пользовательские ключи, пишут представители РАЭК.
При изменении же алгоритма возникают угрозы кибербезопасности для бизнеса, граждан, государства, так как создание таких средств доступа — это фактически встраивание заведомой уязвимости в систему.
Создание специальный ключей доступа к шифрованию ставит под угрозу национальную безопасность вследствие возможности взлома иностранными разведками, что подтверждается фактами в прессе о деятельности американских и китайских спецслужб.
Принятие данного законопроекта ставит под угрозу тайну связи и несет огромные риски утечек конфиденциальной информации. <…> При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников.
— РАЭК
Ассоциация указывает на то, что законопроект ставит российские компании в неконкурентные условия — в частности, он может нарушать нормы других стран (так как документ действует на всех пользователей), а также даёт возможность другим государствам предъявлять схожие требования к сервисам из России. Иностранные проекты могут отказаться от работы на российском рынке из-за этого закона, к тому же, возможность применения к ним санкций за невыполнение требований вызывает сомнение, отметили в РАЭК.
Принятие законопроекта в текущем его виде может повлечь уход с российского рынка большого количество игроков и общую деградацию интернет-отрасли. При этом депутаты, внесшие законопроект, не приводят какие-либо обоснования таких серьезных ограничений прав законопослушного бизнеса.
Требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит компании в неравное положение, создает угрозы для национальной безопасности.
— РАЭК
Поправки будут обсуждаться на заседании Госдумы 22 июня 2016 года. Комитет по безопасности нижней палаты парламента уже рекомендовал принять исправленный законопроект сразу во втором и третьем чтениях, ожидается, что он вступит в силу с 1 июля 2018 года.
Обновлено в 23:46: По просьбе vc.ru ситуацию с законопроектом прокомментировала пресс-служба «Яндекса», который не входит в РАЭК.
Сейчас сложно оценить ни насколько требования законопроекта реализуемы на практике, ни насколько они помогут в достижении целей, ради которых он принимается. Законопроект вводит для интернет-компаний две новые обязанности: хранить все сообщения пользователей до шести месяцев, а также в случае использования кодирования интернет-компании должны предоставлять в правоохранительные органы информацию, необходимую для декодирование электронных сообщений. При этом остаются неясными следующие вопросы:
— пресс-служба «Яндекса»
— Неясен порядок и объем хранения сообщений пользователей — это будет утверждаться отдельно подзаконными актами правительства.
— Непонятно, что именно понимает законодатель под кодированием, так как любая информация, передаваемая в сети, кодируется, в том числе с использованием стандартных интернет-протоколов. Например, когда вы открываете письмо, почтовый клиент выполняет декодирование данных, таких как приложенные к письму фотографии или документы, по стандарту MIME. Что в данном случае требуется предоставлять по закону? Каков порядок предоставления этих данных? Закон этого не объясняет.
С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат. Иным образом, бизнес получает какие-то новые обязанности и дополнительные расходы, однако в текущей редакции законопроекта данное регулирование избыточно, поскольку приводит к чрезмерному ограничению прав как бизнеса так и пользователей.
Однако приводят ли в итоге эти ограничения к тем целям, о которых говорят авторы законопроекта? Речь идёт об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль.
Тогда этим в госдурке следует во время всех голосования держать открытый доступ к образу (с контрольной суммой) с голосами, что бы любой гражданин мог его скачать и узнать правильно ли учтён его голос и вообще кто мог проголосовать за таких как они "в госдурке". И тогда если опытной проверкой данные в образе БД на 146% совпадут с официальными результатами выборов, только тогда можно будет с чистым сердцем думать, что Россия - страна дураков.
Комментарий удален модератором
пруфы можно? интересно стало
Комментарий удален модератором
голос не является достаточной мерой уникальной аутентификации, поэтому нужна еще радужка глаз, отпечатки ладоней, ступней ног, образец движения позвоночника при походке, и мрт мозга, экг сердечного ритма на всякий случай и образец днк
Ок, открыть полностью течение налогов. Чтобы каждый мог видеть, что во-первых платит налогов 20-60%, и видеть куда и как они уходят. Вот полная открытость течения средств. Точно под финансовый анти-терроризм подойдёт.
Ну а если будем юзать иностранные сервисы, то что?
иностранные сервисы юзают иностранные агенты! тут и до добровольного выхода из гражданства не далеко!
хех, говорят от росгражданства не так просто избавиться, люди уже в очереди встают "поработать в некомерческой организации" где нибудь ))
Дуров нервно смеётся в сторонке.
А он вообще красавчик. Вышел в кэш перед кризисом, открыл сервис, направленный на забугор и от греха подальше даже интерфейс не переводят на русский)
Комментарий удален модератором
То есть некомпетентные в вопросе депутаты занимаются умышленным саботажем
никогда такого не было и вот опять
Все веселее и веселее
"All in all it's just another brick in the wall."
скорее сразу новый большой wall...
А на эллиптических кривых DH секрет не меняется между сессиями. Но это неважно. Непонятно, зачем эти полумеры, почему они сразу не возьмут известные слабые параметры шифрования со своими закладками и не потребуют от всех их использовать. Вон openssl уже осрамились с подобным, у нас же можно возвести это в героизм.
OpenSSL — открытое, свободное ПО с кучей авторов. Кто осрамился то? Эта библиотека используются везде.
Почитайте про скандал с Dual_EC_DRBG реализацией по NIST в OpenSSL. Вот краткая выдержка, если вам влом гуглить:
Classified N.S.A. memos appear to confirm that the fatal weakness, discovered by two Microsoft cryptographers in 2007, was engineered by the agency. The N.S.A. wrote the standard and aggressively pushed it on the international group, privately calling the effort “a challenge in finesse.”
Каким образом сессионный ключ может не меняться, если он вычисляется на основе чисел, задуманных каждой из 2 сторон? при этом, что очевидно, даже если сервер использует одно и то же значение между разными сессиями (а корректно написанные реализации так не делают), то разные клиенты так поступать не могут по очевидным причинам.
Я ничего не говорил про сессионный ключ, просто не всегда алгоритм Диффи-Хеллмана подразумевает разные ключи для разных сессий. Для восстановления DH ключа на эллиптике (не обычный со случайными выбранными числами) нужно знать один закрытый и "противоположный" открытый ключ. Очевидно, к сессионным DH ключам на случайных значениях это никакого отношения не имеет. Всё зависит от настроек сервера. И, кстати, по протоколу TLS/SSL шифр согласуется обеими сторонами. Т.е. если сервер не поддерживает DH, а клиент не требует, значит его и не будет.
сами же террористы...
Авось прокатит....