Леонид Волков. Чем пока обернулся «сбор ключей шифрования»

volkovКраткое резюме про то, чем пока обернулся «сбор ключей шифрования».

И немножечко отделения мух от котлет.

1. Вышел приказ ФСБ, утверждающий «порядок предоставления организаторами распространения информации (ОРИ) информации, необходимой для декодирования сообщений», сам порядок крайне лаконичен (6 пунктов на полутора страницах) и ни на один вопрос не отвечает.

2. Важно понимать, что он не относится к провайдерам. Провайдеры — не ОРИ. Провайдеры и сейчас весь трафик собирают и передают в ФСБ в рамках СОРМ-3; сейчас хранится весь трафик за 12 часов, по «закону Яровой» будет храниться весь трафик за более длительное время, но пофиг — сейчас примерно 50% трафика это шифрованный https-трафик, его доля стремительно растет, сделать с ним ничего не могут ни провайдеры, ни ФСБ, которое его собирает: https шифруется между абонентом и сервисом, с которым он взаимодействует, в канале связи между ними данные никак не расшифровать (оставим за скобками ряд специальных случаев и весь MitM; это предмет отдельного поста).

3. Важно понимать, что он не относится и к мессенджерам. Потому что и мессенджеры — не ОРИ. Теоретически можно себе представить, как ФСБ запрашивает заказным письмом у условного Вайбера ключи конретных пользователей, а Вайбер, не уведомляя пользователей, присылает в ФСБ эти ключи, и пока пользователи, ничего не подозревая, обмениваются планами взрыва Кремля, ФСБ эти планы читает. Особенно легко это представить в отношении сервисов, где нет end-to-end шифрования, а есть шифрование только от пользователя до сервиса, но в принципе и про end-to-end можно представить не особо напрягаясь: рядовой пользователь же и не знает, откуда у него ключи берутся — генерируются на устройстве, или присланы сервисом, например? Может ли сервис показывать «замочек», а на самом деле выполнять предписание ФСБ и отдавать ключи (и переписку)? Может, почему бы нет. Но, повторюсь, к мессенджерам (а равно и к почтовым сервисам, к VoIP и т.д.) приказ ФСБ №432 от 19 июля 2016 года тоже не относится никак.

4. А к кому он относится? А относится он только и исключительно к ОРИ: то есть к очень странному перечню из примерно 65 веб-сервисов, сайтов и компаний. Реестр ОРИ возник на одной из волн внедрения интернет-цензуры; туда планировалось включить все сайты и порталы с посещаемостью более 3000 человек в день, нагрузить их обязанностями и ответственностью СМИ и, таким образом, не дать публиковать всякие нехорошие гадости про Владимира Владимировича Путина, да продлятся его благословенные дни. Реестр открыли, с помпой и почетом включили туда на первые четыре места Яндекс, ВКонтакте, Рамблер и Мэйл.Ру… а дальше что-то пошло не так и его попросту забросили. Остальные 60 записей в реестре — это какая-то странная сборная солянка из инициативных идиотов, которые, прослышав про реестр, зачем-то решили, что им нужно туда попасть — несколько городских порталов (и вы никогда не найдете логики в том, что, условно говоря, городской портал Орска там есть, а городского портала Нижнего Тагила нет), несколько информационных сайтов, несколько форумов, и еще какой-то хлам, которого в интернете немало. Но надо четко понимать, что сейчас в реестре ОРИ нет и 0.1% тех ресурсов, которые должны были бы туда попасть, если бы закон об этом реестре реально исполнялся.

5. Итак, сейчас, по своему порядку, ФСБ может писать заказные письма одному из 65 субъектов реестра ОРИ, и требовать «предоставить необходимую для декодирования информацию». Необходимую для декодирования чего? Это ж просто сайты.

6. Логически рассуждая (хотя рассуждать логически о приказах ФСБ и «пакете Яровой» довольно трудно), можно предположить, что запрашиваться могут ключи, с помощью которых эти сайты шифруют трафик по https. (Хотя, вероятно, далеко не все из сайтов из реестра ОРИ применяют https). И, если предположить, что сайты в ответ на заказное письмо отправят эти ключи «на магнитном носителе», то дальше ФСБ может взять трафик (из шестимесячного хранилища!) между пользователем и сайтом из реестра ОРИ и пытаться его расшифровывать этими ключами.

7. Удачи в этом нелегком деле и попутного ветра: это ж сколько надо долбиться и сил потратить, чтобы выяснить, что именно пользователь скачал с сайта Сыктывкар.Ру и с форума «Мамы Абакана» (реальные примеры из реестра ОРИ), пытаясь сопоставить сессионные ключи https (одноразовые на каждый сеанс связи) с гигантским хранилищем трафика, скачанным данным пользователем (а если он еще и через разных провайдеров ходил, а? с домашнего компьютера и с телефона?). Это в целом-то не очень тривиальная задача, сравнимая с поиском иголки в стоге сена — даже если все ключи на руках уже есть. И выхлоп от нее (как и от всего СОРМа сейчас) будет равен ровно нулю.

Резюме 1. Совершенно очевидно, что сейчас ФСБ выполнило поставленную руководством задачу откровенно «на *****». Им сказали разработать порядок — они разработали. И смысл, и структура и даже длина этого документа говорят о том, что никто не собирается по этому порядку работать. Это просто бумажка, которая нужна, для того, чтобы отчитаться, что бумажка написана. Ну и похоже на то, что ФСБ «сплавляет» весь этот «пакет Яровой» и не хочет им заниматься.

Резюме 2. Надо внимательно следить за реестром ОРИ. Если все-таки будут попытки выжать что-то из «пакета Яровой»; то их внешнее проявление будет заключаться в попытках насильственного включения в реестр ОРИ новых субъектов, которых там нет. Желтым флажочком будет, если он вдруг внезапно начнет пухнуть, с нынешних 65 сайтов до сотен и тысяч. Красным флажочком — если в него начнут включать (или если в него сами начнут включаться) мессенджеры и прочие коммуникационные сервисы.

Но пока что до этого бесконечно далеко.

Общайтесь сколько угодно, это безопасно.

Леонид Волков.

Поддержать проект:

PayPal:

Webmoney (рубли): R426908583431

Webmoney (доллары): Z153314657869

Loading...

Метки текущей записи:

, , ,
 

 

Статья прочитана 106 раз(a).
 

Здесь вы можете написать комментарий к записи "Леонид Волков. Чем пока обернулся «сбор ключей шифрования»"

Войти, чтобы написать отзыв.

Последние Твитты

Архивы

Наши партнеры

Бизнес-публикации

Читать нас

Связаться с нами

Вы можете отправить нам сообщение, воспользовавшись формой на странице Обратная связь