РАЭК и «Яндекс» раскритиковали требование раскрывать ключи шифрования

s7ranger · 23/06/2016

raek-i-yandeks-raskritikovali-trebovanie-raskryivat-klyuchi-shifrovaniya-0

Российская ассоциация электронных коммуникаций (РАЭК) и «Яндекс» выступили с критикой предлагаемых поправок к антитеррористическому закону, которые обязывают ИТ-компании раскрывать властям ключи шифрования данных по запросу.

Российская ассоциация электронных коммуникаций (РАЭК), в которую входят Rambler&Co, «Ростелеком», Mail.Ru Group и другие, опубликовала на своём официальном сайте отзыв на поправки к антитеррористическому законопроекту депутатов Ирины Яровой и Виктора Озерова, в рамках которого организаторов распространения информации хотят заставить предоставлять ключи для дешифрования (например переписки или звонков пользователей).

По мнению экспертов РАЭК, принятие текущей версии законопроекта приведет к катастрофическим последствиям для отрасли. В ассоциации уверены, что принятие законопроекта в текущем его виде может повлечь уход с российского рынка большого количества игроков и общую деградацию интернет-отрасли. В заявлении РАЭК также говорится, что требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создает угрозы для бизнеса и ставит российские компании в неравное положение, создает угрозы для национальной безопасности.

«Например, в современной реализации протокола HTTPS сессионный ключ генерируется с помощью алгоритма Диффи-Хеллмана и никогда не пересылается по сети, после чего, даже получив доступ к закрытому ключу сервера, невозможно восстановить сессионные ключи, которые использовались для шифрования пересылаемого контента. Сессионные ключи всех участников процесса обмена сообщениями удаляются сразу после завершения сессии», — отметили в РАЭК.

РАЭК отмечает, что в большинстве стандартов шифрования такие данные не сохраняются, а p2p-сервисах вообще нет субъекта, который хранил бы пользовательские ключи. Кроме того, часть игроков рынка просто не сможет выполнить требования закона, так как при end-to-end шифровании ключ вообще не передается оператору. Помимо ключей для дешифрования сообщений операторы, по мнению авторов законопроекта, обязаны также три года хранить переписку своих клиентов, что по оценкам экспертов потребует от компаний отрасли более $70 млрд. инвестиций.

В «Яндексе» также раскритиковали поправки к этом закону. Как отмечает пресс-служба «Яндекса», сейчас сложно оценить ни насколько требования законопроекта реализуемы на практике, ни насколько они помогут в достижении целей, ради которых он принимается. Законопроект вводит для интернет-компаний две новые обязанности: хранить все сообщения пользователей до шести месяцев, а также в случае использования кодирования интернет-компании должны предоставлять в правоохранительные органы информацию, необходимую для декодирование электронных сообщений. При этом остаются неясными следующие вопросы:

Неясен порядок и объем хранения сообщений пользователей — это будет утверждаться отдельно подзаконными актами правительства.
Непонятно, что именно понимает законодатель под кодированием, т.к. любая информация, передаваемая в сети, кодируется, в том числе с использованием стандартных интернет-протоколов. Например, когда вы открываете письмо, почтовый клиент выполняет декодирование данных, таких как приложенные к письму фотографии или документы, по стандарту MIME. Что в данном случае требуется предоставлять по закону? Каков порядок предоставления этих данных? Закон этого не объясняет.

С уверенностью можно сказать только одно — затраты интернет-компаний вырастут. Интернет-компаниям придется увеличить число серверов и подумать о перестройке внутренней инфраструктуры. Сокращение сроков хранения данных с 3-х лет до 6 месяцев только снизит дополнительные расходы, но не отменит сам факт новых затрат. Иным образом, бизнес получает какие-то новые обязанности и дополнительные расходы, однако в текущей редакции законопроекта данное регулирование избыточно, поскольку приводит к чрезмерному ограничению прав как бизнеса так и пользователей.

Однако приводят ли в итоге эти ограничения к тем целям, о которых говорят авторы законопроекта? Речь идёт об усилении регулирования ради безопасности. Процедуры контроля должны ставить всех в равные условия. В текущем варианте законопроекта равных условий или не будет, или их форсирование заставит кого-то из игроков уйти из России, что негативно повлияет на отрасль.

Напомним, что антитеррористический законопроект обязывает для операторов связи и организаторов распространения информации в сети интернет (практически все интернет-сервисы) хранить на территории России в течение трех лет «информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации и текстовых сообщений, включая их содержание, а также изображения, звуки или иные сообщения пользователей услугами».

Внесённые в него поправки обязывают интернет-сервисы, в том числе затрагивают мессенджеры, соцсети и сервисы электронной почты, имеющие кодировку и содержащие большое количество посетителей, участников этого процесса, передавать властям данные, «необходимые для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». При отказе предоставлять такие данные сервис может быть оштрафован на сумму до 1 млн. рублей.