Желание властей контролировать виртуальное пространство вряд ли выполнимо. Законы Яровой предписывают «организаторам распространения информации» передавать т.н. «ключи от интернетов». Но это не ключи от дома, лежащие под ковриком, их нельзя просто так достать и вручить оперативникам. «Речь идет о техническом требовании, которое в силу отсутствия расшифровки не поддается осмысленному исполнению», - уверяет блогер Антон Носик.
Российские власти день ото дня наращивают усилия по контролю над виртуальным пространством. Взорвавший IT-сообщество июльский «пакет Яровой» получил конкретизацию в виде приказа ФСБ РФ, регулирующего порядок передачи «организаторами распространения информации» (ОРИ), выражаясь пользовательским сленгом, «ключей от интернетов». Официально это называется «информацией, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». Всю нашу переписку будет читать ФСБ? Нет, считают опрошенные «Профилем» эксперты, паранойю «включать» преждевременно. Потому что, похоже, даже в самой ФСБ не совсем понимают, как это дело реализовать.
Вся эта система, по замыслу создателей, должна заработать с 2018 года. Но и тогда это вряд ли произойдет, потому как технически просто неисполнимо. Однако поручения и приказы формально исполнять нужно, и это, совершенно определенно, обойдется и компаниям, и государственному бюджету в триллионы. Цифры, впрочем, пока абстрактные. Но нелишним будет разобраться с тем, что же такое шифрование электронных сообщений и как возможно (возможно ли вообще) их декодировать, а главное – зачем.
Месседж для юзеров
Электронные сообщения, будь то почта, соцсети, мессенджеры, перехватить совсем не так просто, как, например, радиосообщения. Абстрактный e‑message не доставляется напрямую с одного устройства на другое, объясняет технический директор SearchInform Иван Мершков. «Для этого сообщению необходимо пройти десятки, а то и сотни различных узлов, начиная от оборудования провайдера (поставщика интернет-услуг) до серверов, которые могут находиться за тысячи километров от получателя, – разъясняет он. – На каждом таком узле может быть сделана копия этого сообщения и, соответственно, оно может быть прочитано».
И перехватить такое сообщение в целом можно, но это не значит, что его можно прочитать, ибо оно шифруется. Происходит это без нашего участия и чаще всего даже без нашего ведома – это работа специальных программ-алгоритмов. «Когда через интернет передается чувствительная информация (самый простой пример – номера банковских карт), она обязательно шифруется, – объясняет соучредитель «Общества защиты Интернета» Леонид Волков. – Это происходит незаметно для пользователя. Современные алгоритмы шифрования встроены в современные интернет-браузеры и применяются автоматически».
Доведенная до автоматизма работа не требует затрат, отмечает эксперт. Поэтому шифрование стали применять даже там, где вроде и нет в этом особой необходимости. Волков приводит простой пример для определения того, в каком виде происходит взаимодействие пользователей с теми или иными сайтами: если в адресной строке браузера мы видим префикс https:// вместо обычного http://, то общение на странице шифруется. Именно так выглядят страницы всех соцсетей и почтовых ресурсов. «Сейчас доля шифрованного трафика в интернете составляет около 50%, в скором времени вырастет до 80–90%, – отмечает Волков. – У 99% самых обычных пользователей без их ведома зашифрована по крайней мере половина того, что они скачивают из Сети или отправляют в Сеть (и это правильно, потому что это важно для безопасности пользователей) – переписываясь с друзьями, делая покупки в интернет-магазинах, бронируя билеты и гостиницы».
Ключ к сообщению
Выделяют два самых распространенных вида шифрования: либо сообщения шифруются между клиентом и сервером, либо на электронных устройствах пользователей (так называемое end-to-end шифрование, которым пользуются, например, Whatsapp и Telegram). И «перехватчикам» прочитать такие шифровки нельзя, если у них нет ключей. Но и ключи, говорит Волков, тоже вырабатываются автоматически программным обеспечением (ПО) на стороне пользователя и на стороне сервера, с которым он взаимодействует по протоколу https в начале сеанса связи. И при этом ключи эти «сеансовые», то есть одноразовые. «Например, я набрал в адресной строке адрес facebook.com, сервер Facebook выработал ключ, отправил мне, – объясняет Волков, – мой компьютер выработал ключ, отправил серверу Facebook. Все это заняло доли секунды. После этого (посмотрите!) адрес сменился на https://facebook.com. Далее весь обмен данными – пока я не закрою окошко или не уйду на другой сайт – идет с использованием этих ключей». Ключи дают гарантию, что разработчик алгоритма не сможет восстановить исходное сообщение, говорит Мершков. «Именно это вызвало «взрывную» популярность защищенных мессенджеров», – добавляет он.
Из этого, говорит Волков, следует вывод: «Не имея ключей, третья сторона не может расшифровать и прочитать трафик, это математически невозможно. И совершенно не важно, является третьей стороной хакер-любитель, ФСБ или ЦРУ».
Новые требования закона предписывают передавать именно эти ключи по требованию органов ФСБ в их распоряжение. Но как это осуществить? Автоматически выработанные ключи к автоматически зашифрованным сообщениям, каждый раз новые для каждого нового сеанса общения, лежат не под ковриком, как те, что от дома, их нельзя просто так вынуть и передать оперативникам. «Речь идет о техническом требовании, которое в силу отсутствия расшифровки не поддается осмысленному исполнению», – говорит блогер Антон Носик.
«В современных интернет-системах используется так называемое асимметричное шифрование, где создается пара ключей, один из которых известен всем, и с помощью него информация шифруется (выполняется сложная математическая функция относительно этой величины), а с помощью второго, секретного ключа, который известен только получателю, сообщение расшифровывается, – рассказывает главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян. – Более того, в каждом конкретном случае пара ключей генерируется на лету и используется только в конкретной сессии. Таким образом, задача по передаче ключей физически неисполнима без компрометации существующих алгоритмов шифрования».
Даже если в случае шифрования по принципу клиент–сервер ключи и можно будет отдать, то смысла в этом никакого не будет, считает Волков. «99,9999% данных, которые проходят сейчас в зашифрованном виде, – это обычные данные обычных пользователей, которые сами и не подозревают о том, что обмениваются зашифрованным трафиком, – говорит он. – Найти в этом гигантском стоге сена иголку ценной информации практически невозможно. Или это потребует такого времени и таких вычислительных ресурсов, что найденная информация, вероятно, устареет к тому моменту, как будет найдена». А в случае end-to-end шифрования это и вовсе нереально, поскольку на серверах использующих его мессенджеров ключей просто нет – они генерируются на устройствах пользователей. «Поэтому реализация этого приказа приведет не к успешной борьбе с терроризмом – у террористов все будет, увы, в порядке по-прежнему, а к тому, что у ФСБ появятся большие базы данных с частной перепиской в соцсетях обычных людей, с их номерами банковских карт и прочим. Сегодня у ФСБ – а завтра на черном рынке, разумеется», – резюмировал эксперт.
ОРИ не ОРИ
Приказ ФСБ о передаче информации для декодирования сообщений, как и нормы «пакета Яровой», и поручения президента относят эти обязательства к «организаторам распространения информации в информационно-теле-коммуникационной сети «Интернет».Де-юре, напоминают в РАЭК, ОРИ появились два года назад в поправках к закону «Об информации, информационных технологиях и о защите информации» и отдельных законодательных актах по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей. Тогда был создан реестр ОРИ, в который, по прикидкам чиновников, должно было войти примерно 3000 органи-заций.
«Под организатором распространения информации в сети «Интернет» закон «Об информации, информационных технологиях и о защите информации» понимает «лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет», – говорит Дмитрий Кириллов из адвокатского бюро «Адвокат Про». – Формулировка очень широкая и на практике может включать в себя владельцев серверов электронной почты, сервисов передачи сообщений (интернет-мессенджеров типа Viber или WhatsApp), и даже хостингов (услуги по предоставлению ресурсов для хранения информации на сервере), если не удастся отделить хранение информации на хостинге от ее передачи».
«Роскомнадзор заранее предупредил, что не будет ничем подобным заниматься, – говорит Носик. – В результате реестр стал собранием совершенно случайных сайтов, владельцы которых решили сами написать на себя донос и туда вписаться. Или на них написал донос кто-то другой, и Роскомнадзор затребовал информацию по его мотивам».
Первыми, правда, исполнительно записались в реестр ОРИ Яндекс, ВКонтакте, Mail.ru с кучей своих ресурсов, IT-ориентированная соцсеть habrahabr.ru «Тематических медиа». Но спустя два года картина такова: в реестре 64 конторы. Никаких крупных доменов там больше не появилось, последним, 20 июля, туда записался домен pryaniki.org. Среди прочих множество региональных ресурсов типа internet-komi.ru, vorkuta-online.ru, а также разнообразные golosislama.ru, pravorub.ru, babyblog.ru, mamazanuda.ru и mamaabakana.ru, mamba.ru. «Какой смысл в расшифровке, и что за террористические тайны чекисты мечтают раскрыть с помощью ключей шифрования от сайта знакомств Мамба, я затрудняюсь даже представить», – рассуждает Носик.
То есть от сайтов, не включенных в реестр, получается, и требовать ничего нельзя. «Президент в своем поручении определил необходимость создания до 1 ноября 2016 года реестра таких организаций, – говорит руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин. – И это позволит компаниям однозначно понимать, относятся ли они к организаторам распространения информации или нет, и надо ли им обеспечивать доступ ФСБ к данным пользователей или нет. Если, конечно, ФСБ не сделает этот реестр закрытым».
Возможно, считает Янкин, новые предписания заставят компании, использующие end-to-end шифрование, «модифицировать свои механизмы защиты таким образом, чтобы органы исполнительной власти могли свободно получать доступ к любой переписке или передаче данных». Но опять же выполнимо это будет, только если такой ОРИ подпадает под действие российского законодательства. «Запрет на пользование иностранными сервисами, не имеющими юрлиц в России, пока не введен», – говорит Янкин.
Виртуальные ответы на ключевые вопросы
Поручение президента невыполнимо и бессмысленно, считает Носик. «Но в том, что чекисты скоро отчитаются о его успешном выполнении, не сомневаюсь, – говорит он. – ФСБ лоббирует законы, ведущие к установлению режима тотальной слежки за каждым пользователем».
Однако есть и другое мнение: ФСБ и сама не знала, чем ей придется заняться, а когда узнала, оказалась в довольно затруднительном положении. Согласно анализу перечня президентских поручений, проведенному Экспертным советом при федеральном правительстве, ФСБ, которой поручено было в том числе утвердить порядок сертификации средств кодирования, известила, что таковой не требуется, если речь не идет о гостайне. При этом, отмечается в анализе, закон ввел ответственность за неисполнение ОРИ обязанности предоставлять органам безопасности «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений».
Приказ ФСБ, изданный 19 июля и зарегистрированный в Минюсте 12 августа, определяющий порядок передачи информации для декодирования сообщений, выглядит так, будто речь идет о передаче «ключа от квартиры, где деньги лежат». То есть это довольно бюрократическое перечисление – кто информацию запрашивает, кто ее передает, без какой-либо конкретики. Кроме того, этот приказ, согласно документу Экспертного совета, должен был пройти через общественное обсуждение на regulation.gov.ru, так как «затрагивает интересы широкого круга граждан». Но этого сделано не было. «Приказ не дает ответов на ключевые вопросы относительно состава предоставляемой информации, формата предоставляемой информации, порядка ее предоставления и порядка организации доступа к информации для декодирования, – гласит заключение экспертов. – В условиях указанной неопределенности приказ коррупциогенен и повышает риски потенциальных утечек данных». Отсюда был сделан вывод: «ведомство в системной подготовке закона не участвовало».
«Очевидно, что отсутствует ясность в вопросе, зачем, сколько и что необходимо со стороны бизнеса и необходимо ли вообще, – говорится в документе. – Следствием указанной неопределенности являются «пустые» нормы в соответствующих приказах ФСБ России». Экспертам совета стало очевидно, что «министерства и ведомства решают не задачи борьбы с терроризмом, но задачи реализации норм принятого без их участия регулирования, без ясного понимания ими цели регулирования».
Обрубить концы
Так зачем все это нужно? Получается, что, если вычислять террористов путем расшифровки их сообщений, успеют состариться их внуки. От хакеров эти строгости тоже не помогут. «Модели атак на сами алгоритмы есть, но требуют много времени, поэтому их применение в режиме реального времени нецелесообразно, – говорит ведущий специалист по компьютерной криминалистике Group-IB Веста Матвеева. – Эффективнее искать уязвимости в ПО, оборудовании и их настройках». При этом чиновники не могут реализовать уже принятые нормативы, как в случае с реестром ОРИ, а перспективы реализации свежих еще более сомнительны.
В суды поступает все больше и больше гражданских, уголовных, административных дел, но единой практики так и не выработалось, отмечают юристы: «загреметь» и прослыть экстремистом можно за вполне невинный «коммент» в Сети, а по относительно серьезным поводам привлечь к ответственности довольно трудно. «Значительной проблемой остается отсутствие возможности установить в большинстве случаев личности и место жительства (либо место нахождения) лиц, осуществивших производство и распространение запрещенных материалов», – говорит управляющий партнер Heads Consulting Александр Базыкин. «Рост числа поводов к признанию интернет-контента запрещенной к распространению информацией закономерно способствовал увеличению неоднородной практики, – отмечает Олег Сухов, основатель «Центра юридической помощи Олега Сухова». – Так, почти все заявления, поданные сотрудниками прокуратуры в Хорошевский районный суд Москвы с просьбой одобрить ограничение доступа к сайтам, торгующим алкоголем, остались без удовлетворения». Очевидно, что новые нормативы дел судам добавят, но ясности от этого больше не станет.
Президент, напоминает адвокат Кириллов, поручил премьер-министру обеспечить разработку и реализацию мероприятий для перехода госорганов на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями. «Полагаем, что реализация этого поручения позволит защитить от несанкционированного доступа обмен информацией между государственными органами и гражданами», – говорит адвокат. Но такие алгоритмы уже давно есть. «Существующие стандарты симметричного шифрования (ГОСТ 28147–89 и ГОСТ Р 34.12–2015), хеширования (ГОСТ Р 34.11–2012) и электронной подписи (ГОСТ Р 34.10–2012) по криптостойкости не уступают зарубежным», – отметила Матвеева. А вот с ПО, которое президент хочет видеть произведенным в России, все сложнее. Согласно анализу Экспертного совета, потребуется «программное обеспечение для обработки и атрибутирования («склейки») трафика (голосового, шифрованного в сети ПД и др.)». «Но такого оборудования в настоящее время не существует в мире», – констатировали эксперты.
Зато, как отметили в РАЭК, подобных шагов по контролю над сообщением в виртуальном пространстве не предпринимали нигде в мире, даже в Китае с его Great Firewall. Может быть, у России свой собственный путь к обособлению? Большинство экспертов не склонны видеть в последних нормативных и законодательных инициативах никаких предпосылок к этому.
Однако паранойя прогрессирует. То реестр ОРИ заведут, то принуждают хранить персональные данные россиян исключительно в России, то «право на забвение» изобретут, из-за которого теперь тоже судятся (только одному Яндексу с января по март поступило 3600 обращений от 1348 заявителей, жаждущих забвения). Помимо оговоренных «пакетом Яровой» требований хранить переговоры и переписку своих абонентов (биллинги до года), обязательств по дешифровке информации, свои собственные шрифты хотят завести госорганы. И не только они. Оператором российского госсегмента интернета (RSNet) вознамерилась стать Федеральная служба охраны, чтобы среди прочего взаимодействовать «с организациями на основе государственно-частного партнерства в целях создания, поддержания и развития сервисов и услуг, позволяющих сформировать единое информационно-коммуникационное пространство российского государственного сегмента сети «Интернет». А буквально в конце прошлой недели стало известно о том, что Совбез предлагает возродить проект по созданию интегрированной сети связи для гос-органов, оператором которой предлагают сделать «Ростелеком».
«Вытаптыванием интернетовской поляны в России занимаются разные ведомства, – замечает Антон Носик. – Прокуратура и Минюст штампуют предписания о блокировке отдельных сайтов. А отключением российского сегмента Интернета от глобального информационного пространства заведует Минкомсвязи». Уже принят норматив, говорит он, по которому государство запретит частные трансграничные каналы, установив фактическую монополию государственного «Ростелекома» на передачу данных за рубеж и из-за рубежа. «Когда из всех каналов, соединяющих Рунет с внешним миром, у нас останется один ростелекомовский кабель, отключить его можно будет одним нажатием кнопки», – заключил Носик.