РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования

habr.png

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.
Согласно законодательству, Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

Как говорит источник РБК, между «Яндексом» и ФСБ идёт дискуссия в юридической плоскости. В частности, юристы «Яндекса» считают «слишкой широкой» трактовку «закона Яровой» сотрудниками ФСБ: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — сказал он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК.

Сессионные ключи шифруют только одно соединение между пользователем и сервером, в том числе логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке. Вероятно, именно это юристы называют «широкой трактовкой» закона.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис: «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно».

Один из собеседников РБК также добавил, что «Яндекс» озабочен своим имиджем в глазах пользователей. Компания беспокоится, что сотрудничество с ФСБ может привести к оттоку пользователей и потере доли на рынке: «ФСБ не принуждает к такому сотрудничеству иностранные компании, например Google, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — сказал собеседник.

Партнёр Центра цифровых прав Саркис Дарбинян считает позицию «Яндекса» довольно сильной в том смысле, что вряд ли ФСБ осмелится инициировать постоянную блокировку на территории России сервисов крупнейшей российской интернет-компании, но и у ФСБ есть рычаг давления, который спецслужба может использовать: «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — сказал он.

В реестр ОРИ на данный момент включено более 170 сервисов, в том числе Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и другие. В январе 2019 года в реестр включён сервис «Сбербанк Онлайн».

© Habrahabr.ru