Федеральная службе безопасности (ФСБ) России потребовала от компании «Яндекс» предоставить ей ключи шифрования сервисов «Яндекс.Почта» и «Яндекс.Диск». Об этом сообщает РБК.
По словам источников на IT-рынке и близких к «Яндексу», свое требование силовое ведомство направило в «Яндекс» несколько месяцев назад. Один из собеседников пояснил, что в «Яндексе» требование ФСБ расценивают как слишком широкую трактовку «закона Яровой».
«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ (организаторов распространения информации – TRUD.RU) сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — пояснил источник.
Бывший разработчик The Tor Project Леонид Евдокимов рассказал, что сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть в рамках одной сессии. Когда пользователь ее завершает, он прекращает свое действие. При этом шифруются не только сообщения пользователя, но и все данные о том, кто, когда и с какого IP-адреса заходил в аккаунт и т.д. Кроме того, шифруются логин и пароль.
«Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил Евдокимов.
«Передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — отметил Евдокимов.
Несмотря на то, что по закону на исполнение требования ФСБ отводится не более 10 дней, ключи в спецслужбу «Яндекс» так и не предоставил. Представитель пресс-службы компании заявил, что она «работает в полном соответствии с действующим законодательством». На вопрос о том, действительно ли «Яндекс» получил требование от ФСБ насчет ключей шифрования и не передал их, он отвечать отказался.
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре ОРИ. Туда включаются ресурсы, на которых пользователи могут обмениваться сообщениями. Согласно «закону Яровой», с 20 июля 2016 года ФСБ может потребовать от любого сервиса из этого реестра передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
