В соответствии с законом Яровой спецслужба потребовала у компании ключи шифрования переписки пользователей.

О том, что несколько месяцев назад ФСБ направила в “Яндекс” требование предоставить ключи для дешифровки данных пользователей сервисов "Яндекс.Почта" и "Яндекс.Диск", Об этом рассказали РБК источник на ИТ-рынке и собеседник, близкий к "Яндексу". Оба собеседника РБК утверждают, что за прошедшее время "Яндекс" так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.

Как известно, "Яндекс.Почта" и "Яндекс.Диск" находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет".

В “Яндексе” считают, что ФСБ слишком широко трактует норму "закона Яровой". "Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам "Яндекса". Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности", — говорит он. 

Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. "В случае с "Яндекс.Почта" он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку "Яндекс.Почта", либо полностью закроет браузер, либо выключит компьютер", — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы "Яндекса" в процессе авторизации. "Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя", — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. "Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски", — отметил он.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что "сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя". Он указал, что "Яндекс" использует систему Single Sign-On, при которой, авторизовавшись в "Яндекс.Почта", можно без повторной аутентификации перейти в "Яндекс.Музыка", "Яндекс.Диск" и любой другой сервис. "Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах "Яндекса". Тогда передавать сессионный ключ, конечно, небезопасно", — рассуждает Лукацкий.

Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в "Яндекс.Диск", завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.

По словам собеседника РБК, близкого к "Яндексу", компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. "Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому "Яндекс" тут видит угрозу своему конкурентному положению", — говорит он.

На наш взгляд, получение практически неограниченного доступа к сервисам “Яндекса” открывает возможностm для представителей спецслужбы не только и не столько для борьбы с террористами, а скорее для продажи информации заинтересованным лицам. То есть, банальной коррупции, которая, увы, поражена контора.
Вот чего больше всего опасается национальная поисковая система, которая конкурирует с компанией  Google на рынке высоких технологий.  То есть чекисты объективно помогают американцам вытеснять  “Яндекс”  с рынка в пользу мирового  гиганта Google.

 
 Тем временем
 

Закон, по которому ФСБ запрашивает ключи для дешифровки сообщений, можно соблюдать без нарушения приватности данных пользователей, говорится в пресс-релизе "Яндекса". Так компания прокомментировала публикацию РБК, согласно которой ФСБ запросила у "Яндекса" ключи для дешифровки переписки пользователей в "Яндекс.Почте" и "Яндекс.Диске".Как отметил "Яндекс", в законе говорится о предоставлении информации, необходимой для декодирования сообщений. Из него не следует, что нужно передавать ключи, необходимые для расшифровки всего трафика, подчеркнула компания. "Цель закона — соблюдение интересов безопасности, и мы полностью разделяем важность этой цели. При этом исполнение закона возможно без нарушения приватности данных пользователей", — констатировал "Яндекс".