Федеральная служба безопасности ещё несколько месяцев назад потребовала от «Яндекса» предоставить спецслужбам ключи шифрования от аккаунтов пользователей на «Яндекс.Почта» и «Яндекс.Диск. Но на данный момент этого так и не было сделано, хотя по закону дедлайном является срок в 10 дней.
Учитывая, что «Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), они обязаны подчиниться «закону Яровой» и передать ключи ФСБ. На данный момент спецслужба не прокомментировала ситуацию. Однако отметим, что аналогичное поведение Telegram привело к попыткам его блокировки в апреле 2018 года. Насколько успешными они были — другой вопрос.
В «Яндексе» заявили, что компания «работает в полном соответствии с действующим законодательством», но отказались отвечать на вопрос о требовании ФСБ и ключах. При этом источник РБК заявил, что в спецслужбе слишком вольно трактуют норму «закона Яровой».
«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса. Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несёт значительные риски в плане безопасности», — заявил он.
А бывший разработчик The Tor Project Леонид Евдокимов уточнил, что сессионный ключ шифрует данные только в пределах одного соединения. Если закрыть вкладку или выключить компьютер, ключ станет неактивным.
«Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя. Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — утверждает Евдокимов.
А специалист по информационной безопасности Cisco Systems Алексей Лукацкий заявил, что передача ФСБ сессионного ключа даст доступ к аутентификационным данным пользователя. Он также согласился, что передавать такие данные небезопасно.
Кроме того, один из источников, близкий к «Яндексу», считает, что сотрудничество с ФСБ негативно отразится на репутации компании. При этом, если спецслужбы возьмутся за российский поисковик всерьёз, то минимум, что ему грозит — штраф до 1 млн рублей. Если же ключи не передадут и после этого, то Роскомнадзор, в теории, может обратиться в суд с требованием блокировать сервис в России. Правда, в законе полномочия РКН не прописаны, но ситуацию с Telegram, теоретически, может повториться.
Впрочем, вероятнее всего государство «надавит» на компанию тем или иным способом.
