ФСБ еще несколько месяцев назад потребовала от компании "Яндекс" предоставить ключи для дешифровки данных пользователей сервисов "Яндекс.Почта" и "Яндекс.Диск", но компания не хочет выполнять это требование спецслужбы. Об этом пишет РБК со ссылкой на источники на ИТ-рынке. Ранее отказ предоставить ФСБ ключи шифрования сообщений стал поводом для блокировки в России мессенджера Telegram.
В настоящее время сервисы "Яндекс.Почта" и "Яндекс.Диск" числятся в реестре организаторов распространения информации (ОРИ). Это означает, что ФСБ имеет право среди прочего требовать от сервисов предоставить "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет". Представитель "Яндекса" отказался комментировать информацию о поступившем от ФСБ требовании, но подчеркнул, что компания "работает в полном соответствии с действующим законодательством".
"Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам "Яндекса". Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности", – пояснил собеседник РБК.
Источник, близкий к "Яндексу", подтвердил, что речь идет о сессионных ключах. Такие ключи шифрования используются только для одного соединения между пользователем и сервером (одной сессии). "В случае с "Яндекс.Почтой" он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку "Яндекс.Почта", либо полностью закроет браузер, либо выключит компьютер", – пояснил бывший разработчик The Tor Project Леонид Евдокимов, уточнив, что этим ключом шифруются не только сообщения пользователя, но и все метаданные, а также логин и пароль, что дает возможность получить доступ к почтовому ящику пользователя при наличии такого ключа.
"Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски", – считает Евдокимов.
В свою очередь консультант по информационной безопасности Cisco Systems Алексей Лукацкий пояснил, что компания использует метод Single Sign-On, при котором авторизация в "Яндекс.Почте" дает доступ к другим сервисам, включая "Яндекс.Музыку" и "Яндекс.Диск". По мнению Евдокимова, сессионные ключи дают доступ к данным, а также позволяют анализировать поведение пользователей. Так, наличие ключей позволяет видеть, кто и какие данные скачивал в "Яндекс.Диске".
Близкий к "Яндексу" источник РБК сообщил, что компанию беспокоят последствия сотрудничества с ФСБ, которое чревато оттоком пользователей, сокращением доли на рынке и финансовыми потерями. "Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому "Яндекс" тут видит угрозу своему конкурентному положению", – отметил он.
Партнер Центра цифровых прав Саркис Дарбинян напомнил, что отказ передать ФСБ ключи шифрования является административным правонарушением, и суд может оштрафовать "Яндекс" на 1 млн рублей. Если же компания снова не предоставит ключи, то ей грозит блокировка. Такая схема уже была реализована на практике и привела к блокировке Telegram.
Однако такой сценарий Дарбинян считает маловероятным. "Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если "Яндекс" совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два – и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе", – считает юрист.