По данным СМИ, ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать.

Фото: sourceinfo

Дело в том, что ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». Напомним, за аналогичный отказ ранее был заблокирован Telegram. Несколько месяцев назад ФСБ направила в компанию «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск». Об этом пишут СМИ, ссылаясь на источник на ИТ-рынке и собеседника, близкому к «Яндексу». Оба собеседника утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней.

Почему ФСБ потребовала от «Яндекса» ключи? «Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации, то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

В ФСБ не ответили на запросы СМИ. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.

По словам представителей пресс-службы «Яндекса», компания «работает в полном соответствии с действующим законодательством». При этом в компании не сказали, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

Источник на ИТ-рынке отметил, что в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса».

Бывший разработчик The Tor Project Леонид Евдокимов отметил, что сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил. При этом он отметил, что в случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер. По словам Евдокимова, таким ключом шифруются не только сообщения пользователя, но и все метаданные, а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации.

Евдокимов подчеркнул, что передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя.

При этом Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал.

По словам источника, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям.

Из всего вышесказанного возникает вопрос — чем грозит «Яндексу» отказ? Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 миллиона рублей. Об этом рассказал партнер Центра цифровых прав Саркис Дарбинян.

По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. Если же предписание не будет выполнено, Роскомнадзор может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить.

Но, по словам Дарбиняна, развитие событий блокировки сервисов «Яндекса» на территории России, как это было с Telegram, маловероятно. Специалист считает, что скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу.

По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 миллиона, а «Яндекс.Диск» — 27,32 миллиона.