Яндекс отказалась предоставить ФСБ ключи шифрования

Логотип компании
04.06.2019Автор
Яндекс отказалась предоставить ФСБ ключи шифрования
Подобный отказ в свое время привел к блокировке Telegram. ФСБ запросила ключи от Яндекс.Диска и Яндекс.Почты, но они могут дать доступ к паролям всей экосистемы Яндекс. Компания отказалась их предоставить.

Подобный отказ в свое время привел к блокировке Telegram. ФСБ запросила ключи от Яндекс.Диска и Яндекс.Почты, но они могут дать доступ к паролям всей экосистемы Яндекс. Компания отказалась их предоставить.

Требование было направлено в Яндекс несколько месяцев назад. Несмотря на то, что по закону на это отводится не более 10 дней, компания так и не сделала этого до сих пор.

Так как Яндекс.Диск и Яндекс.Почта являются интернет площадками, на которых пользователи могут обмениваться сообщениями, они находятся в ОРИ. А значит обязаны подчиняться так называемому закону Яровой. В нем говорится о том, что ФСБ может потребовать передать любую информацию, необходимую для декодирования как получаемых, так и передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей интернета.

ФСБ отказалась от комментариев и не объяснила, с чем связано такое внимание.

Представитель Яндекс заявил, что компания действует в рамках действующего законодательства, но отказался подтверждать, что в ответ на требование ключи не были переданы.

Как сообщает источник, Яндекс считает, что ФСБ слишком широко трактует данную норму закона. Получив сессионные ключи, служба получит доступ не только к сообщениям почты. Это позволит ей анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам Яндекса. К тому же это плохо скажется на безопасности.

Что именно требует ФСБ?

Сессионные ключи. Они используются только для одной сессии соединения между пользователем и сервером. В случае с Яндекс.Почтой он вырабатывается только когда человек заходит на mail.yandex. Срок окончания его действия зависит от настроек: это может быть момент, когда пользователь закрыл вкладку с почтой, или браузер, или вообще выключил устройство. Этим ключом шифруются не только сообщения пользователя, но и все метаданные. Сама идея состоит в его несохраняемости, а требование заключается в том, чтобы его хранить.

Алексей Лукацкий заметил, что Яндекс использует систему Single Sign-On. Это значит, что повторная аутентификация на других сервисах компании не нужна, когда он уже вошел в почту. Если при переходах ключи шифрования не меняются, то это может вылиться в открытие данных в этих сервисах.

Леонид Евдокимов также отметил, что на том же Яндекс.Диск таким образом можно проанализировать поведение пользователя, посмотрев, какие файлы он скачивал.

Так как отказ предоставить ключи – это нарушение законодательства, ФСБ должна будет составить протокол об административном правонарушении. В случае решения суда в пользу ФСБ, Яндекс получит штраф в размере до 1 млн руб. Если и это не подействует, в дело вступит Роскомнадзор. В теории он может потребовать блокировки сервиса на территории России. В законе прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации.

 

Читайте также
Какие отрасли и объекты инфраструктуры наиболее уязвимы для киберфизических атак? Какие сценарии наиболее вероятны и опасны? Насколько серьезные риски для безопасности могут представлять цепочки поставок оборудования и комплектующих? Как выстроить эффективное взаимодействие и обмен информацией между службами физической и информационной безопасности на предприятии? IT-world узнал о методах проверки и анализа безопасности электронных устройств, которые практикуют специалисты АКБ «Барьер».

Источник: rbc.ru

Журнал IT News

Похожие статьи