Федеральная Служба безопасности (ФСБ) России потребовала от компании «Яндекс» выдать ключи шифрования «Яндекс.Почты» и «Яндекс.Диска». Источник, близкий к компании, сообщил журналистам, что требование было направлено еще несколько месяцев назад, но руководство «Яндекса» отказалось его выполнять, поскольку это поставит под угрозу пароли всей пользователей всей экосистемы «Яндекса».
Два информированных источника в РБК подтвердили достоверность этой информации. Обозреватели отметили, что российское законодательство требует, чтобы ключи шифрования были выданы в течение десяти дней, однако, по их данным, этого до сих пор не произошло.
Весной 2018 года за аналогичное решение власти РФ попытались заблокировать мессенджер Telegram, созданный Николаем и Павлом Дуровыми.
По «закону Яровой»
Основанием для требования выдать ключи шифрования дает скандально известный «закон Яровой» – комплекс антитеррористических поправок, ограничивающих конституционные права граждан и расширяющих полномочия спецслужб.
До его вступления в силу ФСБ и другим правоохранителям необходимо было запрашивать у суда разрешение на прослушивание телефона подозреваемого в преступлении гражданина и на дешифровку его почты. Обычно с этим никаких проблем не возникало: по данным Судебного департамента при Верховном суде России, за 2018 год российские судьи вынесли 828,5 тысяч постановлений об ограничении конституционных прав граждан на тайну переписки и контроль их телефонных переговоров. Из них только шесть тысяч ходатайств было отклонено. Иными словами, доля отказов составила менее одного процента.
«Закон Яровой» позволил ФСБ в ходе оперативно-технических мероприятий требовать от IT-компаний, включенных в реестр распространителей информации, ключи шифрования для самостоятельной расшифровки корреспонденции пользователей, которые почему-то заинтересовали чекистов. С юридической точки зрения документ приравнял всех россиян, пользующихся Интернетом, к потенциальным террористам, а спецслужбе передал часть полномочий судебной власти.
Пока ФСБ не стала отвечать на запросы редакций о том, в рамках какого дела они требуют доступ к пользовательским данным клиентов «Яндекса». Напомним, что формальным предлогом для выдвижения аналогичного требования к руководству Telegram было названо расследование теракта в петербуржском метро.
В свою очередь пресс-служба Яндекса заявила, что компания работает в строгом соответствии с российскими законами, однако при этом представитель IT-гиганта отказался отвечать на прямой вопрос: действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
Однако информатор РБК, близкий к ««Яндексу» пояснил, что компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей и потери части рынка. «Иностранные компании, например, Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», – отметил собеседник агентства.
Что дальше?
По действующему закону непредоставление ключей шифрования по запросу спецслужбы является административным правонарушением. Если компания действительно отказывается выполнять требование ФСБ, сотрудники спецлужбы должны составить протокол об административке и подать в суд. В случае вынесения обвинительного вердикта компании грозит штраф в размере до миллиона рублей.
Если компания и после этого не отдаст чекистам ключи, Роскомнадзору придется выносить предписание об устранении нарушения в течении 15 дней, а затем обратиться в суд за разрешением заблокировать на территории России доступ к сервисам компании. Именно по такому алгоритму развивались события при блокировке Telegram после отказа Павла Дурова выдать ключи шифрования мессенджера.
При этом эксперты отметили, что закон составлен таким образом, что не указывает прямо и непосредственно на полномочия Роскомнадзора и ФСБ в случаях принципиального нежелания компании выдавать свои секреты.
Впрочем, эксперты считают, что тотальная блокировка сервисов «Яндекса» крайне маловероятна. В апреле нынешнего года «Яндекс.Почтой» пользовались 432 млн человек, а сервисом «Яндекс.Диск» — 27,32 миллионов пользователей, что дает основания полагать, что компания слишком важна для российской экономики, чтобы ее можно было заблокировать по желанию спецслужбы. В крайнем случае, считают специалисты, Роскомнадзор на несколько дней может ограничить доступ россиян к некоторым сервисам, что больно ударит по доходам компании. Однако и такой сценарий считается не слишком вероятным. Скорее всего, IT-гигант и спецслужба продолжат препираться некоторое время, пока не придут к взаимоприемлемому компромиссу. В частности, ФСБ может потребовать дешифровать данные конкретных пользователей без выдачи ключей шифрования всей экосистемы.
Пользовательские перспективы
Если же «Яндекс» капитулирует и выдаст ФСБ алгоритм, с помощью которого формируются так называемые сессионные ключи, это может поставить под угрозу все пользовательские данные на всех сервисах «Яндекса». Дело в том, что сессионный ключ – это ключ шифрования, который используется только для одного соединения между пользователем и сервером компании. Он формируется в момент подключения к сервису и уничтожается вскоре после закрытия страницы. Сессионный ключ шифрует не только тексты сообщений, фото и видеоинформацию, с которой работает пользователь, но и так называемые метаданные: логин и пароль пользователя, его ip-адрес, данные геолокации и прочее. Естественно, ФСБ нет никакой пользы от получения одноразовых ключей шифрования. Им интересен алгоритм, по которому они формируются.
К слову, Павел Дуров, аргументируя свой отказ раскрывать секреты шифрования Telegram, как раз отмечал, что раскрытие алгоритма формирования сессионных ключей даст ФСБ полный контроль над мессенджером, и после этого команда разработчиков утратит контроль над системой.
Если «Яндекс» согласится дать ФСБ доступ к этой информации, сотрудники спецслужбы смогут беспрепятственно просматривать содержание любых аккаунтов, читать переписки, и более того – совершать действия от лица пользователей, поскольку будут в любой момент иметь возможность авторизоваться.
Если же «Яндекс» окажется заблокирован, пользователи все равно смогут пользоваться его сервисами – через иностранные VPN-сервисы и приложения для браузеров, позволяющие обходить блокировки.