Грозит ли российским пользователям тотальная слежка в сети?
Президент России Владимир Путин 7 июля после подписания «пакета Яровой» поручил ФСБ до 20 июля 2016 года найти способ передачи ключей шифрования в интернете этой спецслужбе. Ответственным за это назначен глава ФСБ Александр Бортников. О том, грозит ли россиянам тотальная слежка, рассуждает BBC.
Чтобы отслеживать все действия россиян в сети, людям в погонах нужно обуздать электронный хаос, что математически невозможно. Но есть планы попроще: надавить на операторов, чтобы они блокировали зашифрованный контент (китайский сценарий) или обыскивать смартфоны на предмет запрещенных мессенджеров.
Само обсуждение этого вопроса стало возможным после принятия «антитеррористического» пакета законов в последние дни перед парламентскими каникулами.
Что такое зашифрованный интернет-трафик?
Трафик - это информация, которая передается во всемирной сети. Обмен информацией происходит каждый раз, когда пользователь переходит по ссылке, отправляет сообщение или запускает видеоролик.
Если трафик зашифрован, прочитать его смогут только отправитель и получатель (собеседник на другом конце провода или сервер, где размещена нужная информация), - и никто между ними, будь то государство или злоумышленники. Самый популярный способ шифрования трафика - протокол передачи данных HTTPS.
«Глобальная зачистка поляны, чтобы все читалось в интересах спецслужб, технически мне представляется нереализуемой или очень-очень труднореализуемой», - Андрей Масалович, эксперт по конкурентной разведке в интернете
Создатели интернет-сервисов, мобильных приложений и гаджетов конкурируют в том, чтобы разработать самый сложный для дешифровки способ передачи данных. Так, технология MTProto, лежащая в основе мессенджера Telegram, заимствует алгоритмы, открытые еще в 1976 году американскими криптографами Уитфилдом Диффи и Мартином Хеллманом.
В России, по данным Роскомнадзора, шифруется 15-20% трафика; на Западе этот показатель перешагнул уже за 50% и в ближайшие годы может достигнуть почти 100%.
Если трафик зашифрованный, злоумышленники и государство не могут видеть, что мы делаем в интернете?
У них есть множество способов получить нужную информацию - от программ-шпионов, которые делают снимки с экранов без ведома пользователей, до насилия в отношении владельца информации.
Нередко бастионы шифрования падают под натиском хакеров или спецслужб. В апреле 2016 года Федеральное бюро расследований США заявило, что смогло преодолеть защиту одного из смартфонов iPhone, заплатив хакерам более $1,3 млн.
Попытка министерства внутренних дел России взломать анонимную сеть TOR за 3,9 млн рублей в 2014 году завершилась неудачей. МВД подало в суд на институт, который вызвался освоить средства, но потом отказалось от иска.
Обычно срабатывает комбинация различных способов проникнуть в личное пространство пользователя, массовое же чтение запрещенного трафика в интернете пока невозможно, если возможно вообще.
«Как правило, трафик расшифровывается целевым образом, - говорит эксперт по конкурентной разведке в интернете Андрей Масалович. - Например, была задача расшифровать TOR - специалисты из MIT (Массачусетского технологического института) частично с ней справились. С какой-то степенью успешности получалось скомпрометировать некоторые варианты протокола [передачи данных между пользователем и сайтом] SSL. Это были отдельные, точечные проекты. Глобальная зачистка поляны, чтобы все читалось в интересах спецслужб, технически мне представляется нереализуемой или очень-очень труднореализуемой».
Значит, ФСБ должно найти способ расшифровать все методы шифрования к 20 июля?
Из поручений президента, опубликованных на сайте Кремля, это напрямую не следует. В течение двух недель ФСБ должно определить, какие средства шифрования можно, а какие нельзя использовать в России, а также определить порядок передачи ключей для дешифровки «уполномоченному органу в области обеспечения безопасности».
Интернет-сервисы (в законе Яровой они называются организаторами распространения информации), которые откажутся предоставить ФСБ ключи шифрования, могут быть оштрафованы на сумму от 800 000 до 1 млн рублей. Также предусмотрен штраф для частных лиц, которые будут использовать не сертифицированные в России средства шифрования, - от 3000 до 5000 рублей.
«ФСБ идет по традиционному для себя пути - пытается решить проблему с помощью сертификации, - отмечает основатель сайта Agentura.ru Андрей Солдатов. - Грубо говоря, в страну будут допущены только те технологии, которые сертифицированы российскими спецслужбами. Такая тактика могла быть более-менее эффективной в конце 1990-х - начале 2000-х годов, когда шифрование реализовывалось на аппаратном уровне. Можно было физически ограничить импорт ноутбуков с криптографией. В настоящее время многие механизмы шифрования реализуются на программном уровне. Можно запретить Apple ввозить смартфоны с криптографией, но потом человек просто загрузит новую версию программного обеспечения, и ФСБ останется ни с чем".
Солдатов отмечает, что зарубежные интернет-сервисы уже нарушают российские законы - о блогерах и о хранении персональных данных на территории страны, но на их работоспособности это не сказалось.
Сможем ли мы и дальше пользоваться сервисами, которые шифруют трафик?
Скорее всего, да. Поскольку закон Яровой будет действовать только в России, сдавать ключи шифрования будут обязаны лишь местные компании, иностранные (или формально иностранные) сервисы вряд ли будут сотрудничать с ФСБ.
«Я не представляю, чтобы сотрудники ФСБ ходили по улицам и проверяли смартфоны - есть ли там WhatsApp или Telegram, - говорит Андрей Солдатов. - В отсутствие таких методов, запретить нам пользоваться зарубежными сервисами невозможно. С конца прошлого года в китайской провинции Синьцзян проводится эксперимент по отключению смартфонов у тех, кто пользуется фильтрами и зарубежными мессенджерами. Я очень скептически к этому отношусь, тем более у нас операторов много, мы не в ситуации Казахстана и Узбекистана».
