Российские ИТ-компании заявили об угрозе бизнесу из-за требования Госдумы раскрывать ключи шифрования
Российская ассоциация электронных коммуникаций (РАЭК), в которую входят Rambler&Co, «Ростелеком», Mail.Ru Group и другие, выступила с критикой поправок в «антитеррористический» закон депутата Ирины Яровой, которые обязывают ИТ-компании раскрывать властям ключи шифрования данных по запросу. Свое заявление организация опубликовала на официальном сайте.
Законопроект обязывает для операторов связи и организаторов распространения информации в сети интернет (практически все интернет-сервисы) хранить на территории России в течение трех лет «информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами».
Ко второму чтению, которое состоится 22 июня 2016 года, в него внесена поправка, которая обязывает интернет-сервисы передавать властям данные, «необходимые для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». При отказе предоставлять такие данные сервис может быть оштрафован на сумму до 1 млн рублей.
Поправки в том числе затрагивают мессенджеры, соцсети и сервисы электронной почты, «которые имеют кодировку и содержат большое количество посетителей, участников этого процесса».
РАЭК отмечает, что в большинстве стандартов шифрования такие данные не сохраняются. «Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллмана и никогда не пересылается по сети, после чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии», - отметили в организации. В p2p-сервиса вообще нет субъекта, который хранил бы пользовательские ключи, пишут представители РАЭК.
Ассоциация указывает на то, что законопроект ставит российские компании в неконкурентные условия - в частности, он может нарушать нормы других стран (так как документ действует на всех пользователей), а также дает возможность другим государствам предъявлять схожие требования к сервисам из России. Иностранные проекты могут отказаться от работы на российском рынке из-за этого закона, к тому же, возможность применения к ним санкций за невыполнение требований вызывает сомнение, отметили в РАЭК.
Поправки будут обсуждаться на заседании Госдумы 22 июня 2016 года. Комитет по безопасности нижней палаты парламента уже рекомендовал принять исправленный законопроект сразу во втором и третьем чтениях, ожидается, что он вступит в силу с 1 июля 2018 года.
