15 August 2016

«На магнитном носителе по почте»: приказ ФСБ о порядке сбора ключей шифрования

До сих пор не расставил всех точек над «i» в вопросе передачи ключей шифрования опубликованный на официальном портале правовой информации приказ ФСБ.

Соответствующий документ от ФСБ носит наименование «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет».

Согласно документу, собирать ключи шифрования будет Организационно-аналитическое управление Научно-технической службы ФСБ. «Организаторы распространения информации» в интернете должны будут предоставлять эти сведения в ФСБ на основании запроса, который посылается в письменном виде с уведомлением о вручении. Никакого указания, что это делается на основе выданного судебного ордера нет. Это значит, что в нарушение Конституции РФ организаторы распространения информации обязаны будут по запросу начальника управления ФСБ или его зама передавать спецслужбам всю переписку граждан и данные о их действиях и взаимодействии.

«В запросе указываются состав (формат) и адрес предоставления информации для декодирования», — говорится в документе.

Из приказа следует, что информацию нужно будет передавать в управление ФСБ «на магнитном носителе по почте» или «в форме электронного сообщения по электронной почте» (второй вариант указан в документе в скобках). Кроме того, «организатор распространения информации» по согласованию с ведомством может «организовать доступ» представителя управления к необходимым данным.

На данный момент в России 65 официальных организаторов распространения информации и, как подмечает портал Meduza.io со ссылкой на опубликованный РосКомСвободой реестр, в него внесены крупнейшие российские интернет-компании вроде «Яндекса», «ВКонтакте», «Мэйл.Ру» и несколько десятков СМИ, в первую очередь, региональных. Зарубежных компаний — таких как Facebook, Twitter, Telegram и Google — в перечне пока нет.

Поэтому касаемо понимания технологии передачи ключей шифрования иностранными компаниями, ничего до сих пор не прояснилось. В реестре организаторов распространения информации их нет, как нет пока некоего уточняющего документа, который бы пролил свет на этот вопрос. Напомним также, что создатель социальной сети ВКонтакте и мессенджера Telegram Павел Дуров, опережая события, ещё до подписания Путиным законопроекта Яровой-Озерова, который обязывает предоставлять ключи шифрования российским властям, заверил — Telegram никаких ключей третьим лицам передавать не намерен. Позже он подтвердил свои слова. Владельцы других всемирно известных мессенджеров этот вопрос пока никак не комментировали.

Опираясь же на предыдущий документ, выложенный на сайте ФСБ, касаемо необязательной сертификации шифрования, не касающегося гостайны, можно предположить, что обязанность предоставлять ключи шифрования силовикам минует обычные, гражданские мессенджеры и почтовые сервисы, но и здесь, скорее всего, необходимо уточнение от самих силовиков, поскольку даже в комментариях экспертов в основном царит непонимание процесса.

Интересен пункт документа — о передаче ключей на магнитных носителях — технологии, уже почти канувшей в лету, но почему-то упомянутой в официальном документе ФСБ. Для справки, к магнитным носителям относятся магнитные диски, магнитные карты, магнитные ленты и магнитные барабаны.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически. Однако эти «мелочи» вряд ли будут волновать «техспецов» в силовых ведомствах, поскольку они и так уже пытаются выполнять невыполнимый закон Яровой-Озерова.

Также мы получили комментарий от нашего источника в Правительстве, который указывает кроме ряда недостатков юридического толка и содержания документа еще и важный момент:

«Это приказ, то есть НПА, для широкого круга граждан. Такого рода документы должны в обязательном порядке проходить через общественное обсуждение на regulation.gov.ru ».

.

Чего, собственно, не произошло.

.

UPD. Эксперты в области связи и телекоммуникационных технологий прокомментировали документ силовиков в примерно одинаковом стиле — «Как-то это всё запутанно…»

Президент Фонда информационной демократии Илья Массух считает, «что там будут сложности и технического, и юридического плана». С технической точки зрения сложности будут обусловлены тем, что «ключей шифрования может быть бесконечно много, поскольку сейчас пользователи и сами могут шифровать сообщения». С правовой точки зрения проблемы могут возникнуть из-за того, что юрисдикция РФ может ограничиться территориальными границами страны, при этом «достаточно много провайдеров являются зарубежными компаниями». Массух отметил:

«Google любит выкручиваться, и говорить, что он — американская компания, и действует по другим законам. Надо посмотреть, будет ли он так делать в этом случае».

.

Массух полагает, что штраф в 1 млн рублей для «маленькой компании может оказаться неподъемным, а для крупной компании — смешным». «Надо было вводить штраф от оборота компании или от количества пользователей, чтобы было пропорционально», — подчеркнул он. А о том, что вообще не нужно вводить никаких штрафов, если не придумывать сомнительных законов — почему-то не «подчеркнул».

Кроме того, в документе не указан срок предоставления ключей шифрования. По мнению Массуха, за время, пока магнитный носитель с такой информацией будет идти по почте, ключи могут измениться .

По словам директора РАЭК Сергея Плуготаренко, нормы, заложенные в приказе, вызывают вопросы у экспертов. «Стало еще больше непонятно, чем до появления этого приказа» , — сказал он. Вопросы в том числе касаются самого понятия «предоставить ключи», вида предоставляемой информации и носителей:

«Почему именно магнитный носитель, чем не устраивает флешка. Кроме того, неясен порядок организации доступа — если доступ будет запрошен в электронном виде, а не только на носителе, это, пожалуй, самый главный вопрос».

.

Также директор РАЭК отметил необходимость разделения понятий «состав» и «формат» предоставления информации. «По нашему мнению, такого рода документы должны проходить через общественное обсуждение», — полагает он. Плуготаренко рассказал, что теоретически «интернет- компании, получившие такой запрос от ФСБ, могут сослаться на статью конституции о том, что ограничение тайны связи возможно только по решению суда».

«Вопрос в том, будут ли такие прецеденты. Пока непонятно, как это все будет исполняться», — добавил эксперт, уточнив, что такие компании, как Google, возможно, в первый раз будут принимать решение о раскрытии ключей шифрования очень долго.

РАЭК планирует организовывать консультации для компаний касательно применения требований документа с органами госвласти, в том числе с правоохранительными органами, с Роскомнадзором, отметил Плуготаренко.

В Минкомсвязи РФ не стали комментировать этот вопрос. Ранее глава ведомства Николай Никифоров отмечал, что одним из требований «пакета Яровой», «которые в существующем виде не позволяет его нормальное правоприменение», является вопрос передачи ключей шифрования.

Заместитель гендиректора Zecurion Александр Ковалев полагает , что онлайн-сервисы, которые находятся вне российской юрисдикции, пойдут навстречу российским властям в случаях, когда речь идет о борьбе с терроризмом или наркоторговлей. «Они, может, и не дадут сами ключи, но доступ к уже расшифрованной переписке при расследовании каких-то серьезных преступлений дать могут. Многие сервисы, конечно, декларируют, что используют end-to-end-шифрование, в рамках которого ключи хранятся только на устройствах конечных пользователей. По факту, раз сервис инициирует выдачу ключа, значит, он у него тоже есть».

Куратор рабочей группы «Связь и информационные технологии» экспертного совета при правительстве Ирина Левова отмечает: «Теоретически иностранные, да и отечественные сервисы, получив такой запрос, могут сослаться на ст. 23 Конституции РФ, согласно которой ограничение тайны связи возможно только по решению суда, хотя по «закону Яровой» этого решения не нужно. Так что тут есть правовая коллизия». Также госпожа Левова подтвердила тезис о том, что подобные инициативы сначала должны пройти этап общественного обсуждения на портале regulation.gov.ru.

Собеседник «Ъ» на рынке информбезопасности отмечает, что, согласно ГОСТ 28147-89 о симметричном шифровании, информация должна храниться на магнитных носителях. У ФСБ есть и другие каналы получения доступа к переписке интернет-пользователей, отмечает он. «В структуре ФСБ работает центр реагирования на компьютерные инциденты GOV-CERT, который взаимодействует с CERT других спецслужб по всему миру и в рамках этой работы может запрашивать данные по переписке пользователей. А уж своим спецслужбам иностранные интернет-сервисы доступ к переписке дают» ( и почему-то при этом источник «Ъ» не уточняет, что делается это исключительно по решению суда ).

Читайте также:

В ФСБ разрешили не сертифицировать шифрование, не касающееся гостайны
?
Директор ФСБ хочет раз и навсегда решить вопрос с анонимностью в интернете
?
ФСБ открывает сезон монетизации пакета Яровой на базе СОРМ

.
roskomsvoboda android

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.