- Mitglied seit
- 17.02.2007
- Beiträge
- 677
- Punkte für Reaktionen
- 1.022
- Punkte
- 93
- Alter
- 57
The FSB requested the Yandex.Mail and Yandex.Disk encryption keys, but the company refuses to transfer them: the keys can give access to passwords for users of the entire Yandex ecosystem. For a similar refusal, Telegram was previously blocked
June 04, 2019
Photo: Sergey Konkov / TASS
A few months ago, the FSB sent a request to Yandex to provide keys for decrypting the data of users of the Yandex.Mail and Yandex.Disk services, a source on the IT market and an interlocutor close to Yandex told RBC. Both interlocutors of RBC claim that over the past time, Yandex has not provided the keys to the secret service, although by law it takes no more than ten days. Earlier, due to a refusal to share keys in Russia, a Telegram messenger was blocked by a court decision.
Why “Yandex” is not ready to transfer keys and how it will turn out for the company, RBC understood.
Why the FSB demanded keys from Yandex
Yandex.Mail and Yandex.Disk are located in the register of information distribution organizers (ORI), that is, Internet sites where users can exchange messages. According to the so-called Spring Law, from July 20, 2016, the Center for Operational and Technical Measures of the FSB may require any service from the ARI registry to transmit to it “information necessary for decoding received, transmitted, delivered and (or) processed electronic messages of Internet users”.
The FSB did not respond to a request from RBC. In the case of Telegram, which was blocked in April 2018, law enforcement agencies wanted to get keys to decrypt the correspondence of users who were suspected of organizing terrorist attacks in the St. Petersburg metro. In turn, the founder of Telegram Pavel Durov refused to transmit information, citing the protection of privacy and privacy policy.
What did Yandex say
The representative of the press service of Yandex, told RBC that the company "works in full compliance with applicable law." He refused to answer questions about whether Yandex really received a request from the FSB to provide encryption keys and did not transmit them.
According to a RBC source on the IT market, Yandex believes that the FSB interprets the norm of the “Spring Law” too broadly. “The special service requires the company to provide session keys, which, in essence, provide access not only, for example, to messages in the mail, but also allow you to analyze all traffic from users to Yandex services located in the ORI registry. Not to mention that decryption of all traffic within a user session carries significant security risks, ”he says. The information about the fact that the FSB requires session keys from the company was confirmed by the second RBC interlocutor, who is close to an Internet holding company.
The session key is an encryption key that is used for only one connection between the user and the server, that is, one session, explained the former developer of The Tor Project Leonid Evdokimov. “In the case of Yandex.Mail, it is generated when the user only visits the mail.yandex.ru page, and expires depending on the settings some time after the user either closes the Yandex.Mail tab either closes the browser completely or shuts down the computer, ”he says. This key encrypts not only user messages, but also all metadata (when, who, from which IP address you logged into your account, etc.), as well as the login and password that the user sends to Yandex servers during the authorization process. “Therefore, the transfer of the session key of a user to special services may allow them to take possession of the username and password from this user's mailbox,” says Evdokimov. He agrees with the thesis of the interlocutor of RBC about a possible decrease in the level of security in case of decryption of user traffic. “The very idea of a session key is that it is not saved. This ensures the security of data transfer, since in case of interception, an attacker will not be able to decrypt them. In this sense, the storage and transfer of session keys pose certain risks, ”he said.
Photo: Sergey Konkov / TASS
Cisco Systems Information Security Consultant Alexei Lukatsky confirms that "in any case, the session key encrypts the login and password that the user transmits to the server during the authorization process, so that the transfer of such a key to the FSB can provide access to the user's authentication data." He pointed out that Yandex uses the Single Sign-On system, in which, having logged in to Yandex.Mail, you can go to Yandex.Music, Yandex.Disk and any other service without re-authentication. “When you switch to different services, the encryption key should be your own, but if it’s not, then this is an architectural problem that can open access to data in different Yandex services. Then transferring the session key is, of course, unsafe, ”Lukatsky argues.
Leonid Evdokimov believes that session keys allow not only access to data, but also analyze user behavior itself. For example, in Yandex.Disk, having seized the session key, you can see who downloaded what data and what, he said.
According to the interlocutor of RBC, close to Yandex, the company is concerned that cooperation with the FSB may lead to an outflow of users, a loss of market share and, as a result, significant monetary losses. “Foreign companies, such as Google, the FSB are not forcing such cooperation, so Yandex here sees a threat to its competitive position,” he says.
What threatens “Yandex” refusal
Failure to provide encryption keys in a timely manner is a violation of the current Code of Administrative Offenses. According to the law, the FSB must draw up a protocol on an administrative offense and, if the court finds Yandex guilty under Article 13.31 of the Code of Administrative Offenses, it can impose a fine on companies up to 1 million rubles, explained Sarkis Darbinyan, partner of the Center for Digital Rights.
According to him, if the company after that does not provide encryption keys, Roskomnadzor will issue an order to it to eliminate the violation, the execution of which is given at least 15 days. “In case of non-compliance with the order, Roskomnadzor, in theory, can go to court with a request to block services on the territory of Russia, the encryption keys of which they refuse to provide. In any case, such a procedure was used in the story with the Telegram blocking, but the law does not directly specify the powers of Roskomnadzor and the FSB in this situation, ”says Darbinyan.
However, he considers it unlikely that events will block Yandex services in Russia, as was the case with Telegram. “Rather, they will bargain for a long time and eventually come to some kind of compromise. The state here has a strong lever. If Yandex does not engage in dialogue at all, I admit that in order to intimidate them, they can limit access to its services for a day or two - and this will immediately lead to large losses for the company. But it will be just a nightmare if the special services start blocking the services of the largest Russian Internet company on an ongoing basis, ”says Sarkis Darbinyan.
According to SimilarWeb, the number of visits to Yandex.Mail in April 2019 amounted to 432 million, and Yandex.Disk - 27.32 million.
According to the law “On operational-search activity”, the FSB for many years can get access to telephone calls of citizens or request their correspondence from Internet companies, but for this it needs to receive a court order. According to the Judicial Department at the Supreme Court of Russia, in 2018, Russian courts granted 828.5 thousand petitions from law enforcement agencies to limit the constitutional rights of citizens to privacy of correspondence and control of their telephone conversations. Another 6.6 thousand such applications were rejected.
“Obtaining encryption keys and subsequent access to correspondence for the FSB is a more convenient scheme than going to court, asking for a decision, and only then requesting correspondence, as it worked before. I don’t see any logical and understandable reasons, except for a possible reduction in the speed of information exchange (that is, there is no need to wait for a court order) and the potential interception of sessions to extract data and other actions bypassing standard procedures, ”says Leonid Evdokimov.
Who else may require encryption keys
The ARI registry currently includes more than 170 services, among which Tinder , "In contact with" , "Classmates" , BlaBlaCar , Badoo , Vimeo etc. For any of these services, the FSB at some point may require the provision of keys to decrypt user correspondence.
RBC's interlocutors are worried about the inclusion of the Sberbank Online service in the ARI registry in January 2019 - this is a remote banking service system for Sberbank customers.
Turning on "Sberbank Online" ARI’s registry looks rather strange, although it is clear from the point of view of legislation, explains Alexey Lukatsky. Much depends on how the functions of protecting financial transactions and the built-in messenger are separated in this service, because of which, in fact, the service ended up in the registry of Roskomnadzor. “If they are encrypted with different keys, then everything is more or less in order. If not, then transferring the encryption keys from such a “sensitive” service is a legally understandable, but from a security point of view, very dubious decision, ”the interlocutor of RBC notes. A spokesman for Sberbank declined to comment.
More at RBC
June 04, 2019
Photo: Sergey Konkov / TASS
A few months ago, the FSB sent a request to Yandex to provide keys for decrypting the data of users of the Yandex.Mail and Yandex.Disk services, a source on the IT market and an interlocutor close to Yandex told RBC. Both interlocutors of RBC claim that over the past time, Yandex has not provided the keys to the secret service, although by law it takes no more than ten days. Earlier, due to a refusal to share keys in Russia, a Telegram messenger was blocked by a court decision.
Why “Yandex” is not ready to transfer keys and how it will turn out for the company, RBC understood.
Why the FSB demanded keys from Yandex
Yandex.Mail and Yandex.Disk are located in the register of information distribution organizers (ORI), that is, Internet sites where users can exchange messages. According to the so-called Spring Law, from July 20, 2016, the Center for Operational and Technical Measures of the FSB may require any service from the ARI registry to transmit to it “information necessary for decoding received, transmitted, delivered and (or) processed electronic messages of Internet users”.
The FSB did not respond to a request from RBC. In the case of Telegram, which was blocked in April 2018, law enforcement agencies wanted to get keys to decrypt the correspondence of users who were suspected of organizing terrorist attacks in the St. Petersburg metro. In turn, the founder of Telegram Pavel Durov refused to transmit information, citing the protection of privacy and privacy policy.
What did Yandex say
The representative of the press service of Yandex, told RBC that the company "works in full compliance with applicable law." He refused to answer questions about whether Yandex really received a request from the FSB to provide encryption keys and did not transmit them.
According to a RBC source on the IT market, Yandex believes that the FSB interprets the norm of the “Spring Law” too broadly. “The special service requires the company to provide session keys, which, in essence, provide access not only, for example, to messages in the mail, but also allow you to analyze all traffic from users to Yandex services located in the ORI registry. Not to mention that decryption of all traffic within a user session carries significant security risks, ”he says. The information about the fact that the FSB requires session keys from the company was confirmed by the second RBC interlocutor, who is close to an Internet holding company.
The session key is an encryption key that is used for only one connection between the user and the server, that is, one session, explained the former developer of The Tor Project Leonid Evdokimov. “In the case of Yandex.Mail, it is generated when the user only visits the mail.yandex.ru page, and expires depending on the settings some time after the user either closes the Yandex.Mail tab either closes the browser completely or shuts down the computer, ”he says. This key encrypts not only user messages, but also all metadata (when, who, from which IP address you logged into your account, etc.), as well as the login and password that the user sends to Yandex servers during the authorization process. “Therefore, the transfer of the session key of a user to special services may allow them to take possession of the username and password from this user's mailbox,” says Evdokimov. He agrees with the thesis of the interlocutor of RBC about a possible decrease in the level of security in case of decryption of user traffic. “The very idea of a session key is that it is not saved. This ensures the security of data transfer, since in case of interception, an attacker will not be able to decrypt them. In this sense, the storage and transfer of session keys pose certain risks, ”he said.
Photo: Sergey Konkov / TASS
Cisco Systems Information Security Consultant Alexei Lukatsky confirms that "in any case, the session key encrypts the login and password that the user transmits to the server during the authorization process, so that the transfer of such a key to the FSB can provide access to the user's authentication data." He pointed out that Yandex uses the Single Sign-On system, in which, having logged in to Yandex.Mail, you can go to Yandex.Music, Yandex.Disk and any other service without re-authentication. “When you switch to different services, the encryption key should be your own, but if it’s not, then this is an architectural problem that can open access to data in different Yandex services. Then transferring the session key is, of course, unsafe, ”Lukatsky argues.
Leonid Evdokimov believes that session keys allow not only access to data, but also analyze user behavior itself. For example, in Yandex.Disk, having seized the session key, you can see who downloaded what data and what, he said.
According to the interlocutor of RBC, close to Yandex, the company is concerned that cooperation with the FSB may lead to an outflow of users, a loss of market share and, as a result, significant monetary losses. “Foreign companies, such as Google, the FSB are not forcing such cooperation, so Yandex here sees a threat to its competitive position,” he says.
What threatens “Yandex” refusal
Failure to provide encryption keys in a timely manner is a violation of the current Code of Administrative Offenses. According to the law, the FSB must draw up a protocol on an administrative offense and, if the court finds Yandex guilty under Article 13.31 of the Code of Administrative Offenses, it can impose a fine on companies up to 1 million rubles, explained Sarkis Darbinyan, partner of the Center for Digital Rights.
According to him, if the company after that does not provide encryption keys, Roskomnadzor will issue an order to it to eliminate the violation, the execution of which is given at least 15 days. “In case of non-compliance with the order, Roskomnadzor, in theory, can go to court with a request to block services on the territory of Russia, the encryption keys of which they refuse to provide. In any case, such a procedure was used in the story with the Telegram blocking, but the law does not directly specify the powers of Roskomnadzor and the FSB in this situation, ”says Darbinyan.
However, he considers it unlikely that events will block Yandex services in Russia, as was the case with Telegram. “Rather, they will bargain for a long time and eventually come to some kind of compromise. The state here has a strong lever. If Yandex does not engage in dialogue at all, I admit that in order to intimidate them, they can limit access to its services for a day or two - and this will immediately lead to large losses for the company. But it will be just a nightmare if the special services start blocking the services of the largest Russian Internet company on an ongoing basis, ”says Sarkis Darbinyan.
According to SimilarWeb, the number of visits to Yandex.Mail in April 2019 amounted to 432 million, and Yandex.Disk - 27.32 million.
According to the law “On operational-search activity”, the FSB for many years can get access to telephone calls of citizens or request their correspondence from Internet companies, but for this it needs to receive a court order. According to the Judicial Department at the Supreme Court of Russia, in 2018, Russian courts granted 828.5 thousand petitions from law enforcement agencies to limit the constitutional rights of citizens to privacy of correspondence and control of their telephone conversations. Another 6.6 thousand such applications were rejected.
“Obtaining encryption keys and subsequent access to correspondence for the FSB is a more convenient scheme than going to court, asking for a decision, and only then requesting correspondence, as it worked before. I don’t see any logical and understandable reasons, except for a possible reduction in the speed of information exchange (that is, there is no need to wait for a court order) and the potential interception of sessions to extract data and other actions bypassing standard procedures, ”says Leonid Evdokimov.
Who else may require encryption keys
The ARI registry currently includes more than 170 services, among which Tinder , "In contact with" , "Classmates" , BlaBlaCar , Badoo , Vimeo etc. For any of these services, the FSB at some point may require the provision of keys to decrypt user correspondence.
RBC's interlocutors are worried about the inclusion of the Sberbank Online service in the ARI registry in January 2019 - this is a remote banking service system for Sberbank customers.
Turning on "Sberbank Online" ARI’s registry looks rather strange, although it is clear from the point of view of legislation, explains Alexey Lukatsky. Much depends on how the functions of protecting financial transactions and the built-in messenger are separated in this service, because of which, in fact, the service ended up in the registry of Roskomnadzor. “If they are encrypted with different keys, then everything is more or less in order. If not, then transferring the encryption keys from such a “sensitive” service is a legally understandable, but from a security point of view, very dubious decision, ”the interlocutor of RBC notes. A spokesman for Sberbank declined to comment.
More at RBC
Original message
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
04 июня 2019г.
Фото: Сергей Коньков / ТАСС
Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.
Почему «Яндекс» не готов передавать ключи и чем это обернется для компании, разбирался РБК.
Почему ФСБ потребовала от «Яндекса» ключи
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
В ФСБ не ответили на запрос РБК. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.
Что ответил «Яндекс»
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. «Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил он.
Фото: Сергей Коньков / ТАСС
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». Он указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис. «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно», — рассуждает Лукацкий.
Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — говорит он.
Чем грозит «Яндексу» отказ
Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян.
Однако он считает маловероятным развитием событий блокировку сервисов «Яндекса» на территории России, как это было с Telegram. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — говорит Саркис Дарбинян.
По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 млн, а «Яндекс.Диск» — 27,32 млн.
По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено.
«Получение ключей шифрования и последующего доступа к переписке для ФСБ — более удобная схема, чем идти в суд, просить постановление и лишь затем запрашивать переписку, как это работало ранее. Не вижу никаких логичных и понятных причин, кроме возможного сокращения скорости информационного обмена (то есть отсутствия необходимости ждать постановление суда) и потенциального перехвата сессий для выемки данных и других действий в обход стандартных процедур», — считает Леонид Евдокимов.
У кого еще могут потребовать ключи шифрования
В реестр ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в какой-то момент может потребовать предоставить ключи для дешифровки переписки пользователей.
Собеседников РБК тревожит включение в реестр ОРИ в январе 2019 года сервиса «Сбербанк Онлайн» — это система дистанционного банковского обслуживания для клиентов Сбербанка.
Включение «Сбербанк Онлайн» в реестр ОРИ выглядит довольно странно, хотя и понятно с точки зрения законодательства, поясняет Алексей Лукацкий. Многое зависит от того, как разделены в этом сервисе функции защиты финансовых транзакций и встроенного мессенджера, из-за которого, собственно, сервис и попал в реестр Роскомнадзора. «Если они шифруются разными ключами, то тогда все более-менее в порядке. Если же нет, то передача ключей шифрования от такого «чувствительного» сервиса — законодательно понятное, но с точки зрения безопасности очень сомнительное решение», — отмечает собеседник РБК. Представитель пресс-службы Сбербанка отказался от комментариев.
Подробнее на РБК
04 июня 2019г.
Фото: Сергей Коньков / ТАСС
Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.
Почему «Яндекс» не готов передавать ключи и чем это обернется для компании, разбирался РБК.
Почему ФСБ потребовала от «Яндекса» ключи
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
В ФСБ не ответили на запрос РБК. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.
Что ответил «Яндекс»
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. «Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил он.
Фото: Сергей Коньков / ТАСС
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». Он указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис. «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно», — рассуждает Лукацкий.
Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — говорит он.
Чем грозит «Яндексу» отказ
Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян.
Однако он считает маловероятным развитием событий блокировку сервисов «Яндекса» на территории России, как это было с Telegram. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — говорит Саркис Дарбинян.
По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 млн, а «Яндекс.Диск» — 27,32 млн.
По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено.
«Получение ключей шифрования и последующего доступа к переписке для ФСБ — более удобная схема, чем идти в суд, просить постановление и лишь затем запрашивать переписку, как это работало ранее. Не вижу никаких логичных и понятных причин, кроме возможного сокращения скорости информационного обмена (то есть отсутствия необходимости ждать постановление суда) и потенциального перехвата сессий для выемки данных и других действий в обход стандартных процедур», — считает Леонид Евдокимов.
У кого еще могут потребовать ключи шифрования
В реестр ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в какой-то момент может потребовать предоставить ключи для дешифровки переписки пользователей.
Собеседников РБК тревожит включение в реестр ОРИ в январе 2019 года сервиса «Сбербанк Онлайн» — это система дистанционного банковского обслуживания для клиентов Сбербанка.
Включение «Сбербанк Онлайн» в реестр ОРИ выглядит довольно странно, хотя и понятно с точки зрения законодательства, поясняет Алексей Лукацкий. Многое зависит от того, как разделены в этом сервисе функции защиты финансовых транзакций и встроенного мессенджера, из-за которого, собственно, сервис и попал в реестр Роскомнадзора. «Если они шифруются разными ключами, то тогда все более-менее в порядке. Если же нет, то передача ключей шифрования от такого «чувствительного» сервиса — законодательно понятное, но с точки зрения безопасности очень сомнительное решение», — отмечает собеседник РБК. Представитель пресс-службы Сбербанка отказался от комментариев.
Подробнее на РБК