за рубежом информбезопасность технологии

3.12.2020

Золотой ключик к данным

Почему спецслужбам нужен доступ к зашифрованной переписке пользователей

Цифровые глобальные платформы усиливают меры по соблюдению конфиденциальности коммуникаций. Для защиты личных данных подписчиков гиганты используют сквозное шифрование. Но в политику соцмедиа из-за угроз террористических атак все чаще вмешиваются правительства. Представители властей считают, что IT-компании должны раскрывать информацию правоохранительным органам.

ПРИОРИТЕТ ПРИВАТНОСТИ

В конце ноября Google начала тестировать технологию сквозного шифрования (end-to-end encryption, E2EE). Функция стала доступна для альтернативы SMS – онлайн-диалога нового стандарта Rich Communication Services (RCS), в который включается более двух пользователей.

Концепция протокола E2EE заключается в том, чтобы предоставить доступ к передаваемым данным только отправителю и получателю сообщений. Даже сам сервер, через который проходит информация, не может получить таких прав, сообщил RSpectr консультант Центра информационной безопасности компании «Инфосистемы Джет» Александр Бакин. Ни операторы связи, ни разработчики платформ также не располагают этими возможностями.

Месяц назад о внедрении E2EE сообщила Zoom Video Communications. Сервис Zoom генерирует ключи шифрования для каждой видеоконференции с числом участников до 200 человек по мере их присоединения к онлайн-встречам. Одновременно компания проводит сбор отзывов пользователей об услуге. Генеральный директор компании Эрик С.Юань заявлял, что планирует сделать Zoom самой безопасной коммуникационной платформой в мире.

E2EE от Google и Zoom доступен пользователям по всему миру, за исключением некоторых стран, включая Россию и Китай.

Тренд на защиту личных данных в соцмедиа усиливается с каждым годом: свыше 50% всего интернет-трафика зашифровано

Об этом сообщала в прошлом году исследовательская компания Sandvine. Спрос на E2EE диктует и вступивший в силу в 2018 году европейский регламент по защите персональных данных General Data Protection Regulation (GDPR).

Мессенджер WhatsApp одним из первых получил поддержку полного сквозного шифрования в 2016 году. Вслед за ним это сделал Viber. В то же время в Facebook Messenger на мобильных устройствах была внедрена функция «секретной переписки» (Secret Conversations) – защищенного с помощью E2EE чата. Но пока этой технологии по умолчанию в мессенджере нет.

Facebook (владеет WhatsApp и Instagram) намерена внедрить инструмент E2EE на всех своих платформах, заявлял весной 2019 года глава корпорации Марк Цукерберг. Он уточнял, что перестроить работу сервисов планируется в течение нескольких лет. Осенью прошлого года IT-компания начала работать над приватностью видео- и аудиозвонков. Представители ряда стран тогда выступали против усиления мер безопасности платформы и опубликовали соответствующее открытое письмо.

Telegram в 2017 году подключил голосовые звонки к E2EE. В сообщениях мессенджер сделал ставку на создание секретных чатов между пользователями. VK Messenger завершил тестирование и предоставил защищенную E2EE связь в начале 2019 года.

В Twitter протокол не поддерживается. О проблемах из-за отсутствия E2EE в соцсети заговорили летом 2020 года после масштабного взлома платформы злоумышленниками. Тогда американский сенатор Рон Уайден публично упоминал о разговоре с главой Twitter Джеком Дорси, который уверял политика, что компания работает над внедрением сквозного шифрования с 2018 года.

ГОСУДАРСТВЕННЫЙ ПОДХОД

Власти многих стран сегодня требуют передачу ключей шифрования из-за угроз в сфере общественной безопасности.

Ради нее люди готовы поступиться приватностью, особенно в период пандемии, это становится во главу угла в глобальном мире, констатировал в разговоре с RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. Государства понемногу расширяют границы контроля, а люди по большей части выполняют требования властей, объясняет эксперт.

Алексей Дрозд, «СёрчИнформ»:

– Более решительный подход демонстрируют США, Великобритания, Китай. Идеи по поводу ужесточения законов о шифровании или даже отмены E2EE пришли оттуда. Министр внутренних дел Великобритании, выступая против использования технологии E2EE, говорила, что добропорядочному человеку нечего скрывать. Россия придерживается этого принципа.

В РФ компании, занимающиеся передачей информации, обязаны предоставлять ее в ФСБ для декодирования. Так называемый закон Яровой появился в 2016 году.

В США уже более двух лет действует Clarifying Lawful Overseas Use of Data Act (CLOUD Act), упрощающий правоохранительным органам доступ к данным пользователей IT-сервисов. Закон позволяет заключать договоры с другими странами о передаче информации с американских серверов.

В октябре 2019 года США и Великобритания подписали соглашение о доступе к данным, которое позволит органам правопорядка одного государства запрашивать сведения напрямую у цифровой компании другой страны, не обращаясь предварительно к властям. Договоренность подразумевает и значительное сокращение сроков получения необходимой для расследования информации.

В июле 2020 в Конгресс США поступил законопроект «О правомерном доступе к зашифрованным данным»

К запрету E2EE может привести и внесенный в Конгресс нынешней весной документ Eliminating Abusive and Rampant Neglect of Interactive Technologies (EARN IT Act) об ответственности крупных IT-корпораций за распространение вредоносного и противозаконного контента на своих площадках.

В октябре 2020 года в Германии также одобрили законопроект о допуске спецслужб к защищенной E2EE переписке пользователей. Немецкие власти считают, что правительства должны иметь в своем распоряжении технологии такого же уровня, как у злоумышленников.

ИНИЦИАТИВА ЕС

В ноябре 2020 года Совет Евросоюза разослал странам-участникам проект резолюции, обязывающей операторов мессенджеров создавать и передавать правоохранителям ключи шифрования. Инициатива появилась после совершенных в том же месяце террористических актов в Вене.

Документ предусматривает поиск технических решений для получения доступа к зашифрованным данным. При этом в резолюции говорится, что

Евросоюз поддерживает использование устойчивого шифрования на IT-платформах, но требует, чтобы криптография не мешала спецслужбам в поиске преступников

Данный проект решения Совета ЕС отражает общую тенденцию суверенизации цифрового пространства, отметил в беседе с RSpectr ведущий научный сотрудник Центра технологий госуправления РАНХиГС при президенте РФ Алексей Ефремов.

Алексей Ефремов, РАНХиГС:

– Тренд подразумевает не только и не столько определение национальных юрисдикций при реализации политики в сфере цифровых технологий, но, прежде всего, само государственное (а в ЕС – надгосударственное) регулирование.

Инициатива руководства ЕС о доступе правоохранителей к переписке в чатах – совершенно здравая и естественная, сказал в беседе с RSpectr представитель комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин.

Антон Горелкин, Госдума:

– Никого не удивляет, что в каждом государстве, даже в самом либеральном, полиция и спецслужбы могут для расследования преступлений прослушивать телефонные линии или вести слежку за гражданами. Право собственности и неприкосновенность жилища за границей – священные понятия. Но каждый полицейский при необходимости выбьет ногой дверь квартиры или частного дома и произведет обыск.

Ограничение права на приватность граждан ЕС для достижения целей общественной безопасности допустимо, однако подобные меры должны быть хорошо продуманы, взвешены, и подход по применению подобных концепций должен быть гармонизирован на территории всего ЕС, считает А.Бакин.

При эталонной реализации технологии сквозного шифрования у разработчиков нет возможности предоставить ключи безопасности надзорным органам, продолжает эксперт. Но, по его словам, E2EE может быть реализован и с программной закладкой. Что позволяет обладателю специального «секрета» – некоего приватного ключа – вычислить таковой у пользователя приложения, то есть расшифровать его переписку.

Александр Бакин, «Инфосистемы Джет»:

– Это можно реализовать так, чтобы внешние эксперты-аналитики не могли определить наличие закладки. Проект резолюции Совета ЕС обязывает операторов мессенджеров внедрить в свои приложения такой программный инструмент и отдать соответствующие приватные ключи регуляторам.

Если компании передали в спецслужбы ключи шифрования, это не значит, что кто-то будет постоянно читать вашу личную переписку, объяснил RSpectr основатель и технический директор ООО «Только Высокие Технологии» Даниил Ростовцев. По его словам, речь идет о специальных умных фильтрах, которые определят, что пользователь планирует или совершил преступление, о чем сообщат полиции.

ДЕМОКРАТИЯ И ЦЕНЗУРА

RSpectr поинтересовался у экспертов рынка, почему многие страны, где право человека свободно выражать свои мысли является непреложной ценностью, допускают спецслужбы к зашифрованной информации пользователей платформ.

Свобода слова тут не причем, ведь возможность доступа правоохранительных органов к обычной, бумажной переписке есть везде, говорит А.Ефремов. При этом эксперт отмечает, что

контроль цифровых способов коммуникаций должен быть основан на судебных решениях, что подтверждается решениями Европейского суда по правам человека

А.Горелкин также не видит никакого противоречия между правами человека, свободой слова и возможностью силовых ведомств иметь доступ к переписке – бумажной или электронной.

Антон Горелкин, Госдума:

– Объем сообщений в любой соцсети или мессенджере таков, что следить за всеми нет возможности даже у самой технически продвинутой спецслужбы. Возможна только точечная, избирательная слежка. А когда необходимо поймать террориста или торговца оружием – то лучше, чтобы правоохранители знали, о чем и кому он пишет.

Депутат объяснил, что руководство ЕС предлагает цифровую слежку в рамках закона, поэтому гражданам даже в голову не приходит протестовать.

А.Бакин опасается, что подтверждение факта наличия бэкдоров (точек входа в мессенджеры для полиции и спецслужб. – Прим. RSpectr.) приведет к тому, что не только правительства с продвинутыми подходами к защите приватности своих граждан будут требовать прав доступа к переписке, но и авторитарные и тоталитарные государства.

Эксперт «Инфосистемы Джет» считает сомнительной целесообразность реализации бэкдора для борьбы с терроризмом: «Во-первых, наличие такого скрытого функционала делает сервис потенциально более уязвимым. Во-вторых, преступники при публичном требовании внедрения бэкдоров в подсистемы шифрования популярных приложений перейдут на менее популярное ПО».

В ЕС пытались тормозить технологии, ущемляющие приватность граждан, но они отступают перед глобальным трендом на открытость перед государством, констатирует А.Дрозд.

Алексей Дрозд, «СёрчИнформ»:

– Этот подход в итоге возьмет верх и будет доминировать еще долго. В обществе недостаточно протестных настроений на этот счет. То меньшинство, которому нужна реальная анонимность, уйдет в подполье, создаст условный параллельный интернет.

Люди станут умнее и перестанут общаться на личные темы в социальных сетях и мессенджерах, добавляет Д.Ростовцев.

По мнению А.Горелкина, цифровая свобода воцарилась в мире слишком быстро, и законодатели практически всех государств просто не успели на нее отреагировать: «Стало ясно, что если в Сети не установить такие же правила человеческого общежития, как в обычной жизни, то свобода превратится в анархию. А жить в таких условиях опасно и некомфортно».

Изображение: Pixabay.com

ЕЩЕ ПО ТЕМЕ: