Надзорные органы (возможно) требуют логгировать сессионные TLS-ключи
Вчера в известном telegram-канале «IT уголовные дела СОРМ россиюшка» было опубликовано интересное наблюдение. В списке рассылки разработчиков веб-сервера Nginx, человеком, по его собственным словам имющим отношение к организации, входящей в реестр ОРИ (организаторов распространения информации), был задан вопрос касаемо логгирования сессионных TLS-ключей при использовании веб-сервера Nginx. По словам автора вопроса, необходимость в этом возникла в связи с тем, что они «обязаны предоставлять в надзорный орган ключи».
Разработчики Nginx откликнулись и помогли с решением проблемы.
Сохранение сессионных ключей выполняется с помощью известного механизма LD_PRELOAD, позволяющего загружать указанные разделяемые библиотеки раньше других, в результате чего можно перехватывать какие-либо функции и заменять их собственной реализацией. В данном случае, отдельные функции бибилотеки OpenSSL подменяются «обертками», которые логгируют интересующие данные в файл, после чего вызывают «настоящие» функции оригинальной библиотеки.
В контексте данной новости интересен тот факт, что известный сетевой эксперт Леонид Евдокимов в своём нашумевшем докладе про случайно обнаруженные в открытом доступе панели управления СОРМ, упоминал про «код для расшифровки трафика и для получения ключей шифрования из некоторого сервера в пакетах от МФИ-софт».
Приказ, обязывающий ОРИ передавать ФСБ «информацию, необходимую для декодирования принимаемых, передаваемых или обрабатываемых электронных сообщений» действительно существует.
Со списком (реестром) интернет-сервисов, относящихся к «организаторам распространения информации» можно ознакомится на портале Роскомнадзора, либо в более читаемом виде на сайте Роскомсвободы.
