ФСБ еще несколько месяцев назад потребовала от компании «Яндекс» предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», но компания не хочет выполнять это требование спецслужбы. Об этом пишет РБК со ссылкой на источники на ИТ-рынке. Ранее отказ предоставить ФСБ ключи шифрования сообщений стал поводом для блокировки в России мессенджера Telegram.

В настоящее время сервисы «Яндекс.Почта» и «Яндекс.Диск» числятся в реестре организаторов распространения информации (ОРИ). Это означает, что ФСБ имеет право среди прочего требовать от сервисов предоставить «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет». Представитель «Яндекса» отказался комментировать информацию о поступившем от ФСБ требовании, но подчеркнул, что компания «работает в полном соответствии с действующим законодательством».

«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», – пояснил собеседник РБК.

Источник, близкий к «Яндексу», подтвердил, что речь идет о сессионных ключах. Такие ключи шифрования используются только для одного соединения между пользователем и сервером (одной сессии). «В случае с «Яндекс.Почтой» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», – пояснил бывший разработчик The Tor Project Леонид Евдокимов, уточнив, что этим ключом шифруются не только сообщения пользователя, но и все метаданные, а также логин и пароль, что дает возможность получить доступ к почтовому ящику пользователя при наличии такого ключа.

«Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», – считает Евдокимов.

В свою очередь консультант по информационной безопасности Cisco Systems Алексей Лукацкий пояснил, что компания использует метод Single Sign-On, при котором авторизация в «Яндекс.Почте» дает доступ к другим сервисам, включая «Яндекс.Музыку» и «Яндекс.Диск». По мнению Евдокимова, сессионные ключи дают доступ к данным, а также позволяют анализировать поведение пользователей. Так, наличие ключей позволяет видеть, кто и какие данные скачивал в «Яндекс.Диске».

Близкий к «Яндексу» источник РБК сообщил, что компанию беспокоят последствия сотрудничества с ФСБ, которое чревато оттоком пользователей, сокращением доли на рынке и финансовыми потерями. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», – отметил он.

Партнер Центра цифровых прав Саркис Дарбинян напомнил, что отказ передать ФСБ ключи шифрования является административным правонарушением, и суд может оштрафовать «Яндекс» на 1 млн рублей. Если же компания снова не предоставит ключи, то ей грозит блокировка. Такая схема уже была реализована на практике и привела к блокировке Telegram.

Однако такой сценарий Дарбинян считает маловероятным. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два – и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», – считает юрист.

Источник: hitech.newsru.com

  • Опубликовано 4. июня 2019
  • Автор: admin
  • Категории: технологии
Оставить комментарий

Еще нет никаких комментариев.

Добавить комментарий