Президент России Владимир Путин поручил ФСБ до 20 июля 2016 года утвердить порядок расшифровки сообщений граждан в интернете.
Чтобы отслеживать все действия россиян в сети, людям в погонах нужно обуздать электронный хаос, что математически невозможно. Но есть планы попроще: надавить на операторов, чтобы они блокировали зашифрованный контент (китайский сценарий) или обыскивать смартфоны на предмет запрещенных мессенджеров.
Само обсуждение этого вопроса стало возможным после принятия"антитеррористического" пакета законов в последние дни перед парламентскими каникулами.
Что такое зашифрованный интернет-трафик?
Трафик - это информация, которая передается во всемирной сети. Обмен информацией происходит каждый раз, когда пользователь переходит по ссылке, отправляет сообщение или запускает видеоролик.
Если трафик зашифрован, прочитать его смогут только отправитель и получатель (собеседник на другом конце провода или сервер, где размещена нужная информация), - и никто между ними, будь то государство или злоумышленники.
Самый популярный способ шифрования трафика - протокол передачи данныхHTTPS. Если адрес сайта начинается с такой аббревиатуры, ему, как правило, можно доверять банковские данные и личную переписку. Такой протокол используют, например, российский сайт госуслуг и социальная сеть "Фейсбук".
Создатели интернет-сервисов, мобильных приложений и гаджетов конкурируют в том, чтобы разработать самый сложный для дешифровки способ передачи данных. Так, технология MTProto, лежащая в основе мессенджера Telegram, заимствует алгоритмы, открытые еще в 1976 году американскими криптографами Уитфилдом Диффи и Мартином Хеллманом.
В России, по данным Роскомнадзора, шифруется 15-20% трафика; на Западе этот показатель перешагнул уже за 50% и в ближайшие годы может достигнуть почти 100%.
Если трафик зашифрованный, злоумышленники и государство не могут видеть, что мы делаем в интернете?
Увы, у них есть масса способов получить нужную информацию - от программ-шпионов, которые делают снимки с экранов без ведома пользователей, до насилия в отношении владельца информации.
Нередко бастионы шифрования падают под натиском хакеров или спецслужб. В апреле 2016 года Федеральное бюро расследований США заявило, что смогло преодолеть защиту одного из смартфонов iPhone, потратив при этом более 1,3 млн долларов.
А вот попытка министерства внутренних дел России взломать анонимную сеть TOR за 3,9 млн рублей в 2014 году окончилась ничем. МВД подало в суд на институт, который вызвался освоить средства, но потом отказалось от иска.
Обычно срабатывает комбинация различных способов проникнуть в личное пространство пользователя, массовое же чтение запрещенного трафика в интернете пока невозможно, если возможно вообще.
"Как правило, трафик расшифровывается целевым образом, - говорит эксперт по конкурентной разведке в интернете Андрей Масалович. - Например, была задача расшифровать TOR - специалисты из MIT (Массачусетского технологического института) частично с ней справились. С какой-то степенью успешности получалось скомпрометировать некоторые варианты протокола [передачи данных между пользователем и сайтом] SSL. Это были отдельные, точечные проекты. Глобальная зачистка поляны, чтобы все читалось в интересах спецслужб, технически мне представляется нереализуемой или очень-очень труднореализуемой".
Значит, ФСБ должно найти способ расшифровать все многообразие зашифрованного трафика к 20 июля?
Из поручений президента, опубликованных на сайте Кремля, это напрямую не следует. В течение двух недель ФСБ должно определить, какие средства шифрования можно, а какие нельзя использовать в России, а также определить порядок передачи ключей для дешифровки "уполномоченному органу в области обеспечения безопасности".
Интернет-сервисы (в законе Яровой они называются организаторами распространения информации), которые откажутся предоставить ФСБ ключи шифрования, могут быть приговорены к штрафу от 800 тыс. до 1 млн рублей. Также предусмотрен штраф для частных лиц, которые будут использовать не сертифицированные в России средства шифрования, - от 3000 до 5000 рублей.
"ФСБ идет по традиционному для себя пути - пытается решить проблему с помощью сертификации, - отмечает основатель сайта agentura.ru Андрей Солдатов. - Грубо говоря, в страну будут допущены только те технологии, которые сертифицированы российскими спецслужбами. Такая тактика могла быть более-менее эффективной в конце 1990-х - начале 2000-х годов, когда шифрование реализовывалось на аппаратном уровне. Можно было физически ограничить импорт ноутбуков с криптографией. В настоящее время многие механизмы шифрования реализуются на программном уровне. Можно запретить Apple ввозить смартфоны с криптографией, но потом человек просто загрузит новую версию программного обеспечения, и ФСБ останется ни с чем".
Солдатов отмечает, что зарубежные интернет-сервисы уже нарушают российские законы - о блогерах и о хранении персональных данных на территории страны, но на их работоспособности это не сказалось.
Сможем ли мы и дальше пользоваться сервисами, которые шифруют трафик?
Скорее всего, да. Поскольку закон Яровой будет действовать только в России, сдавать ключи шифрования будут обязаны лишь местные компании, иностранные (или формально иностранные) сервисы вряд ли будут сотрудничать с ФСБ.
"Я не представляю, чтобы сотрудники ФСБ ходили по улицам и проверяли смартфоны - есть ли там Whatsapp или Telegram, - продолжает Андрей Солдатов. - В отсутствие таких тоталитарных методов, запретить нам пользоваться зарубежными сервисами невозможно. С конца прошлого года в китайской провинции Синьцзян проводится эксперимент по отключению смартфонов у тех, кто пользуется фильтрами и зарубежными мессенджерами. Я очень скептически к этому отношусь, тем более у нас операторов много, мы не в ситуации Казахстана и Узбекистана".
Андрей Сошников