Ключи следует предоставлять в ФСБ на магнитном носителе или по электронной почте
В чёрный день для России 7 июля 2016 года, вместе с подписанием пакета поправок Яровой, президент Путин поручил правительству обратить внимание на применение норм закона «об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети интернет несертифицированных средств кодирования (шифрования)», а также на «разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования».
ФСБ было поручено утвердить порядок сертификации средств кодирования при передаче сообщений в интернете, определить перечень средств, подлежащих сертификации, а также порядок передачи ключей шифрования в адрес уполномоченного органа в области обеспечения госбезопасности. Это нужно для того, чтобы спецслужбы могли получить ключи и расшифровать трафик HTTPS и другие зашифрованные данные пользователей, в случае необходимости. Данная мера вступает в силу уже сейчас, то есть за полтора года до вступления в действие нормы об обязательном хранении всего трафика сроком до шести месяцев.
12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 № 432 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».
Этим приказом устанавливается процедура получения ключей шифрования у владельцев серверов и других интернет-сервисов. Процедура вполне логичная и простая.
1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
2. Запрос направляется заказным письмом с уведомлением о вручении.
3. В запросе указаны формат и адрес предоставления информации для декодирования.
4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.
Уполномоченным подразделением ФСБ по получению ключей шифрования назначено Организационно-аналитическое управление Научно-технической службы Федеральной службы безопасности Российской Федерации.
Для справки, к магнитным носителям относятся магнитные диски, магнитные карты, магнитные ленты и магнитные барабаны.
Магнитный барабан типа МБ-11. Загорский электромеханический завод. Загорск, Московская обл., СССР. 1972 г.
Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.
Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.
Но, как говорится, проблемы индейцев шерифа не волнуют. Процедура установлена — её нужно соблюдать.
Комментарии (217)
Lordick
14.08.2016 09:39+4Кстати, петиция на РОИ таки набрала 100 тыс. голосов — https://www.roi.ru/28432/
crmMaster
14.08.2016 09:50+21Очередная петиция, которую никто всерьез рассматривать не собирается. Сейчас к сожалению, механизм петиций в России не работает
AleXP3
14.08.2016 11:06-3Вроде как иногда работает: „Решение принято“.
iliar
14.08.2016 12:15+29А ты посмотри внимательно на список инициатив. Среди тех кто набрал 100к нет ни одной у которой принято положительное решение. Все инициативы по которым было принято положительное решение все не набрали необходимого количества голосов. Как же так получилось? А очень просто правительство принимает решение о принятии какого то решения. Вместе с этим оно создает на roi инициативу с текстом идеально соответствующим тому решению которое они хотят принять, и идут оформлять все документы, а через некоторое время когда все документы оформлены, они помечают соответствующую инициативу как успешную и пофиг сколько там за нее проголосовало.
Например инициатива № 11М2671 «Изменить надпись на фасаде Ледового Дворца имени Капустина Сергея Алексеевича (город Ухта) с „Ледовый Дворец“ на надпись: „Ледовый Дворец имени Сергея Алексеевича Капустина“». Всего за инициативу проголосовало 5 (пять) человек, двое за, трое против. Принято положительное решение. То есть люди даже поленились попросить еще пару бугалтеров проголосовать за, что бы хотя бы положительных голосов перевешивало.
Да это самый вопиющий пример. Но с остальтыми инициативами тоже самое. В правительстве решают отменить мобильное рабство, создают инициативу, не спорю решение здравое поэтому за инициативу голосуют. Но смысла это не меняет, так как инициатива появилась на рассмотрении уже после того как в правительстве все определились «с курсом партии». Инициативы подразумевают, что они должны исходить из народа.
kenoma
14.08.2016 12:20-2Правильно, лучше ничего не делать.
Rivethead
14.08.2016 12:40+16Почему же, можете еще помолиться. Итог будет ровно таким же.
kenoma
14.08.2016 17:51-2Еще в рейтинге шутеечек есть Поросенок Петр. дерзайте.
Rivethead
14.08.2016 19:26+1А я не шутил. Я вам на полном серьезе предложил помолиться. Вы же уверены в том, что петиции у нас работают, видимо вы любите любые бездейственные методы. Главное чтобы пятую точку со стула не поднимать и не заниматься реальными делами.
kenoma
14.08.2016 19:49-1Типичный прием демагога, молодец. Я ничего не говорил про действенность или бездейственность петиций. А вот про пятую точку отрывать и заниматься реальными делами это вы интересно загнули. Неужели сейчас проследует хохмочка про поравалить?
0xd34df00d
14.08.2016 19:56Почему вы называете это хохмочкой?
Rivethead
14.08.2016 20:06Это ему покоя не дает, судя по всему, второй раз уже упоминает без каких-либо оснований на то.
kenoma
14.08.2016 20:19-1Конечно не дает покоя. Ведь по сути дела ваш высокопарный выпад на тему действий-связанных-с-отрыванием-задницы-со-стула-но-эффективнее-молитв остается ничем не подкрепленным. Нечего вам предложить-то.
0xd34df00d
14.08.2016 20:26+1Экзистенциальный образ трактора в культуре современного россиянина, ясно.
kenoma
14.08.2016 20:09+1Потому что те кто серьезно об этом задумываются особо не распространяются об этом. Для большинства же это что-то то навроде спасительной мантры оправдывающей бездействие.
0xd34df00d
14.08.2016 20:27+1Ну почему. Я задумался, в какой-то мере осуществил, но все еще считаю, что по ряду критериев это лучший выход.
kenoma
14.08.2016 20:36+1Выход и в самом деле неплохой для отдельно взятого индивида.
0xd34df00d
14.08.2016 21:06+1Я в свое время натыкался на одну теоремку, показывавшую, что неплохие выходы для отдельных индивидов вполне максимизируют всеобщее счастье. Для некоторого определения неплохих выходов и всеобщего счастья, конечно же, и некоторых дополнительных условий на эти выходы.
Такие дела.
jex
14.08.2016 20:08+1Ну наличие различных петиций в некотором роде легализует массовые выступления народа. Есть формальный повод типа «вот столько то петиций со 100к голосов, ни одна не принята, правительство действует против интересов народа». Тоесть польза от этого есть: очередное доказательство действия правительства против интересов старны (народа), что намекает на нелегитимность.
Rivethead
14.08.2016 20:12+1Неужели всему населению страны это и без петиций было непонятно, за столько то лет? Ну вот пусть даже доказали, а дальше то что? А ничего. Поэтому петиции не работают. Потому как когда можно плевать на мнение народа, то и считаться с ним нет необходимости. А мы просто продолжаем коллекционировать признаки нелегитимности.
vasiliysenin
14.08.2016 20:43А на сколько я помню при СССР был референдум по его сохранению ( https://ru.wikipedia.org/wiki/Всесоюзный_референдум_о_сохранении_СССР ) 77,85 % проголосовали за.
А немного позже, те же люди проголосовали за принятие конституции России ( https://ru.wikipedia.org/wiki/Всенародное_голосование_по_Конституции_России )
Это же логично!!! сначало проголосовать за сохранение СССР, а затем за создание такого государства как Россия. ( сарказм :) )
С таким народом как у нас, Власть может не обращать внимание не только на петиции, но и вообще на мнение народа.alhor
14.08.2016 21:26-1Это была попытка создать Русское государство, к сожалению, неудачная. В СССР не было Русской республики, края, АО и т.д., если Вы помните.
Valerij56
14.08.2016 13:29+5Петиция — это одна из форм отрицательной обратной связи. А у нас в стране все отрицательные обратные связи аккуратно оборваны, в лучшем случае заменены на имитации. Так что, собственно, как и следовало ожидать. Сама система петиций превращается в очередную имитацию.
dydyman
14.08.2016 15:04+1Если бросать все после первой же неудачи, то боюсь, ни один механизм не заработает. Были ли в истории случаи, когда людям приносили на блюдечке право что-то решать, и оно сразу бы работало? Сидеть и ждать, что кто-то это сделает, как и возмущаться на форуме, не совсем продуктивно.
Удивляет, что айтишники (а это люди, далеко не глупые) обладают средствами для объединения и синхронных действий, средствами получения и распространения информации, и не малым количеством, и совсем этими средствами не пользуются, не собираясь отстаивать свои права и интересы. Сколько еще лет закручивания гаек должно пройти, чтобы IT среда задумалась о профессиональном объединении?
aliencash
14.08.2016 15:43+2IT среда как никто лучше понимает, что бороться с децентрализованной структурой сложнее чем с централизованной. Случись какое-то профессиональное объединение IT среды, мнение которого власти нельзя было бы игнорировать, его тут же возглавил бы куратор или иной специально назначенный человек.
dydyman
14.08.2016 16:33Будь оно так, профсоюзы в развитых странах давно бы вымерли. От одного понимания того, какая должна быть структура вряд ли что-то поменяется. Можно так всю жизнь просидеть понимая, но ничего не делая. Да и что мешает изначально сделать прозрачную систему управления и принятия решений?
Garbus
14.08.2016 22:19Децентрализация — не панацея. Один человек «за зарплату» сформирует мнение для гораздо большего количества заходящих «иногда почитать». А учитывая анонимность, то ситуация в принципе печальна.
Как с алгоритмами коррекции при чтении с диска. При превышении определенного порога шумов, на выходе получим что угодно, но не нужные данные.
Foxcool
14.08.2016 17:49Выученная беспомощность и пофигизм
http://darkfox.info/2016/03/%d0%b7%d0%b0%d1%87%d0%b5%d0%bc-%d1%8f-%d0%b4%d0%b5%d0%bb%d0%b0%d1%8e-%d0%b8%d0%bd%d0%b8%d1%86%d0%b8%d0%b0%d1%82%d0%b8%d0%b2%d1%8b-%d0%bd%d0%b0-%d1%80%d0%be%d0%b8/
Ряд инициатив прошел у меня.
ohw
14.08.2016 22:01+1Александр Амзин на старой Ленте.Ру в свое время не поленился объяснить, зачем подписывать петиции в Интернете (если даже, о ужас, после петиции злая Яровая немедленно не уходит в отставку, рыдая).
Грубо говоря, это способ коммуникации не между обществом и начальством, а между обществом и обществом для начала. В первую очередь – способ пересчитаться и понять, что по какому-то поводу вы солидарны не с 15 фриками, а с довольно большой массой людей.
Во-вторых – это такое объявление для неопределенного круга адресатов: вот на повестке жирная тема, которая мобилизует сто тысяч человек (и еще десять миллионов в уме, с поправкой на CTR любой петиции в один процент).
И как только (а) начальство захочет сыграть в свои аппаратные игры под предлогом ослабления гаек (например, отменить какой-нибудь особо людоедский закон) или (б) госдеп будет искать повод включить очередные десять человек в список Магнитского, чтобы это начальство нагнуть, то такие инициативы, в отличие от глухого недовольства на форумах, отлично подсказывают заинтересованных лицам, какие гайки откручивать первыми и какой Яровой отказать в визе.
VenomBlood
14.08.2016 09:53+8Это просто плевок в лицо какой то. Тем, кому действительно нужно совершить теракты — могут собрать End to End шифрование из говна и палок на базе практически любого мессенджера. Так же как и защититься от MITM. Да даже одноразовые телефоны при небольшой сноровке оставят всех правоохранителей с носом. Жаль закон направлен не против них.
VenomBlood
14.08.2016 10:00+1Даже больше можно сказать. Этот закон сделает только хуже. Потому что если действительно начнут с его помощью ловить кого либо — это приведет к тому что террористы раньше поголовно начнут пользоваться шифрованием, и уже поймать дальше будет еще сложнее.
boingo-00
14.08.2016 11:09+2Террористы достаточно умны, чтобы общаться устной речью в непрослушиваемом здании
Alexey2005
14.08.2016 13:36+1Да с учётом скорости реакции наших госорганов террористы могут спокойно общаться хоть по мобильнику, хоть даже через SMS: к тому времени, когда бюрократические шестерёнки наконец провернутся, теракт уже давно будет совершён.
Vitalez
14.08.2016 12:30+1Я вот раньше тоже думал, разве шпионы или террористы мирового уровня будут общаться по телефону/почте/ВК/мессенджером? Может они и бандеролью устройства будут доставлять? О чем думают сверху, неужели им просто лень отправлять запросы на предоставление информации (как было с владельцем крупного торрент-трекера + те кто не собираются отдавать просто уйдут из России). Да и вообще, в маркете полно приложений из Японии/Китая для общения, серверов которых нету у нас. Как тогда? Просить эти страны давать нам все данные? Но уже на флоппи-диске, чтобы надёжнее.
Valerij56
14.08.2016 14:05+9Вы наивный человек.
.
Во времена перестройки была опубликована одна интересная цифра. Выяснилось, что 85% сотрудников КГБ работали в Пятом Управлении, то есть не ловили шпионов и диверсантов, а боролись с инакомыслием. Это даже не все, потму, что с инакомыслием среди вояк боролись ещё и контрразведчики.
.
Для нашей власти шпионы и диверсанты не опасны. Ну что интересного, в реальности, может рассказать шпион? Кого, в реальности, может взорвать диверсант? Для нашей власти опасны люди, реально пытающиеся заниматься настоящей политической деятельностью. Вот их у нас и давят, превращая политическое поле в асфальтированный плац без единого росточка. А иначе у электората появится ответ на вопрос «Если не имярек, то кто?»Vitalez
14.08.2016 16:38Тогда нам с вами пора идти в подполье, иначе «случайно» найдутся экстремистские данные на компьютерах.
Вообще, всеобщая слежка уже давно, и меня и большинство пользователей она не волновала, ибо все было секретно (сервера, оборудование и сам факт этого). Теперь же будут создаваться огромные дата-центры с данными всех россиян. Оборудование частично будет иностранным, экспертов пригласят, обслуживающий персонал найдут как нибудь, но как Такое защитить? Это не просто база данных страниц соцсетей или таблица входящих/исходящих вызовов, это записи разговоров и содержание СМС и бог знает, что ещё. На хабре есть пара статей, как данные с дисков доставали по воздуху (шуму). Просто репутация у России не как у ведущей стране в IT-разработках, поэтому народ волнуется. Раньше ЕГЭ-ответы воровали, сейчас всю твою жизнь могут украсть, конечно есть повод бунтовать.
Хотя все может быть хорошо, и мы зря волнуемся.geisha
14.08.2016 20:29Все УЖЕ плохо причем давно. Просто когда государство ТОЛЬКО закручивает гайки ты этого не замечаешь.
andy_p
14.08.2016 09:59+4> Но, как говорится, проблемы индейцев шерифа не волнуют.
Интересная аналогия.
Шерифа избирали граждане. Но индейцы в этом процессе не участвовали.
maaGames
14.08.2016 10:05+1А есть ли у ФСБшников дисководы, чтобы магнитные носители считывать?
A-Stahl
14.08.2016 10:13+7Попросят на SATA(SCSI)HDD присылать — как раз будет на чём данные Яровой хранить.
Charg
14.08.2016 11:20-1Тендерок на пару *cough*десятков*cough* миллиончиков на разработку такого и пошло поехало :)
Revertis
14.08.2016 10:05+1Оформляем сервер и домен на другое имя и/или другой адрес. Никаких писем нам не приходит. Профит.
Noeren
14.08.2016 10:14+3… И вас закрывают по поправкам, которые в соседней новости описаны — https://geektimes.ru/post/279402/
Revertis
14.08.2016 11:52-1А при чём тут это?
Например, гипотетически, я хочу открыть сайт «организатор распространения информации». Я же могу анонимно арендовать кучку VPS, оплачивая хостеру биткоинами (да-да, сейчас многие уже их стали принимать)? Плюс, взять домен в зоне, где на предписания из России срут с большой башни.
Как они придут ко мне и закроют?
П.С.: Плюс, конечно, открываю зеркало в TOR, делаю канал в Telegram и специальный клиент, работающий через TOR (чтобы не просить юзеров устанавливать TOR-браузер).
M_AJ
14.08.2016 12:05Домен ваш сразу улетит в списки Роскома, а ваш клиент будут банить всеми силами. В принципе то ясно, что пока что варианты есть, но нормальный честный бизнес так не сделаешь.
lexore
14.08.2016 12:51+3Вы забыли главный пункт — поменять страну проживания и отказаться от гражданства РФ.
am_devcorp
14.08.2016 18:42+1Почему-то это самое важное правило ведения безопасного IT-бизнеса в России находится на последнем месте в списке правил ведения безопасного IT-бизнеса в России
KivApple
14.08.2016 14:48Домен заблокируют. Что вам вполне возможно ничего не будет — не важно, потому что один фиг ваш сервис никто не будет использовать. А значит цель достигнута.
am_devcorp
14.08.2016 18:44А какая разница, собственно говоря? Будь домен в.ру/.рф — его бы просто разделегировали, что еще хуже. А так просто заблокируют
aram_pakhchanian
14.08.2016 10:11+1Как я понимаю, все держатели серверов будут обязаны передать ФСБ свой секретный ключ, включая Google, Facebook и др. Плюс банки. Если исчезнут деньги, отследить будет невозможно. Забавно все это.
ArtCuffs
14.08.2016 11:26Я может чего то не понимаю, но все же… Есть вот Русский Гугл в виде регионального подразделения или дочки, который может чего то и должен… А есть просто Google (тот что вне юрисдикции России и никому ничего не должен). Что ему помешает сделать двухуровневое шифрование? Региональные ключи они скажем выдадут, а международные нет.
M_AJ
14.08.2016 11:54+2Тогда российский Гугл будет оштрафован на миллион, потому что ФСБшники не смогли расшифровать.
savostin
14.08.2016 12:19а они не обязаны оказывать помощь в расшифровке — только предоставить ключи.
Noeren
14.08.2016 12:42+1А ФСБ не обязано разбираться с тем кто чьё представительство. Они прописали, что им по запросу должны предоставить информацию по декодированию, а что эта формулировка означает их не сильно-то волнует. Если они в итоге не получают информацию в расшифрованном виде, то те, кто им недовыдал ключи, получают штраф и повторный запрос и так до победного. В гугле это тоже достаточно быстро поймут, поэтому сливать региональные ключи тоже не будут. Ну и тут получается та же ситуация, что и с википедией — вроде как закрыть гугл и влом, но и сотрудничать они не будут.
iborzenkov
14.08.2016 12:51+1У гугла большой опыт работы с такими неадекватами, как собственно у любой it компании со штатом юристов, и даже в этом фсб прекрасно понимают куда они пойдут с такими запросами
aram_pakhchanian
14.08.2016 13:39Тут ещё пойдёт интересная игра: у кого первого нервы сдадут. Первый потеряет много, потому что многие переметнутся к остальным. Таким образом, чем менее зависима Компания от наших властей, тем больше она на этом заработает: каждый полученный пользователь — добавка если и не к рекламному бюджету, то к valuation точно.
Radjah
14.08.2016 15:41Ну так есть же. Помнят про «Честным людям скрывать нечего», но про «У любого есть, что украсть» как-то забывается.
nikitastaf1996
14.08.2016 10:13Нужно найти самый большой физический носитель информации который можно использовать.Еще туда что нибудь плохое про зайцев положить.И просто завалить их.
Noeren
14.08.2016 10:18+9Ооооо, неееееееееет, только не это, ФСБ в ужасе…
Ну серьёзно, вы неправильно понимаете отношения властей и народа в этой стране. В лучшем случае, с такой шуткой, ФСБ сделает вид что ничего не получало и вас закроют за неподчинение ФСБ. В худшем случае получите N лет строгача за препятствование оперативно-розыскной деятельности.
serg65535
14.08.2016 10:14+6Интересно, а они и шпионов ловят на таком же уровне адекватности и профессионализма? В данном случае маразм ситуации нам с вами бросается в глаза, ведь мы айтишники и понимаем суть вопроса. А они, похоже, и все прочие законы так же принимают, «хренак, хренак, и в продакшен»… Ребята в параллельной реальности живут, а тут жди беды…
Noeren
14.08.2016 10:22+5Я не совсем айтишник, так что я не совсем понимаю — в чём собственно проблема? ФСБшники просто написали что ключи им должны предоставлять по запросу. Форма предоставления вас смутила? Ну с магнитными носителями — да, как всегда схалтурили с формулировкой, но тут же указали электронную почту или даже возможность согласовать с ФСБ их доступ к вашим сетям — сливайте как хотите.
Честно говоря совсем уж халтуры не вижу. То что это по факту местами реализовать банально невозможно — не проблема ФСБ. Вы же не ждали, что они каждый такой уникальный случай в своих правилах пропишут?sviterov
14.08.2016 10:35+1Как бы электронная почта не самый защищённый канал для таких важных вещей
Noeren
14.08.2016 10:41+3Как и концепция передачи ключей шифрования как таковая. ФСБ-то плевать. Это же не для комфорта шифрующих придумано.
BigBeaver
14.08.2016 11:02+6Пересылка магнитных барабанов выгдядит сравнительно надежной альтернативой.
ARD8S
14.08.2016 12:40+1Только не удивляйтесь, когда по трекингу почты ваш «носитель» будет «где-нибудь в канаве, а может быть в болоте, а может быть в вагоне… (с металлоломом)»… Мало того, что посылку оплатили, так ещё и, получив письмо счастья «за непредоставление», доказывай, что не индюк.
BigBeaver
14.08.2016 13:10Юридически важные вещи отправляются с описью. В случае утери почта обязана вернуть сумму обьявленной ценности, не? Срок предъявления претензий — 6 месяцев. Ну и да, вы же не подумали, что я это серьезно? =)
Romiro_Orimor
14.08.2016 11:09+10Ключи утекут в сеть как и всё, что когда-либо брало на себя государство.
M_AJ
14.08.2016 11:09Передача таких данных по электронной почте это «по секрету всему свету».
avost
14.08.2016 13:21Ну, не все пользуются почтой на мейлру. Сделать достаточно защищённый почтовый канал не проблема даже для кагебешек.
psylostlife
14.08.2016 15:52А как безопасно передать ключи шифрования зашифрованного канала в ФСБ перед тем, как отправлять по этому зашифрованному каналу свои ключи шифрования?
serg65535
14.08.2016 11:10+6Смущает то, что эти начальники живут в мире конца 70х годов, когда основные силы брошены на борьбу с инакомыслием, очернением советского строя и холодную войну, а упоминание слов «зас» и «криптография» гарантирует вызов на беседу.
В районе 70х годов был примечательный случай, когда одно флотское издательство решило перевести и издать на русском языке научно-популярную (для любителей) американскую книжку по основам криптографии, о чём напечатало анонс в подписном каталоге на год. Догадались, какова была реакция КГБ? Правильно, тираж изъяли и направили для служебного пользования, а за список подписавшихся на новинку читателей благодарили особо.
Вот это всё, наверное и смущает.
hurtavy
14.08.2016 11:39Для служебного пользования?
serg65535
14.08.2016 11:52+6Вот, нашёл источник истории (пардон, напутал с годами):
Книга Масленникова «Криптография и свобода», где этот случай описан:
[...] В 1986 году издательство «Радио и связь» в плане изданий на 1987 год опубликовало анонс книги Д.Конхейма «Основы криптографии». Книга зарубежного автора, в ней содержались только общеизвестные понятия, описание американского DES, самые тривиальные подходы к его криптографическому анализу. Реакция 8 ГУ КГБ СССР была однозначной: запретить. Весь тираж был объявлен ДСП (Для служебного пользования) и направлен в закрытые спецбиблиотеки управлений КГБ. Но план издательства был уже широко опубликован и в издательство начали приходить заявки на эту книгу. Все эти заявки издательство пересылало в 8 ГУ КГБ СССР.
iliar
14.08.2016 12:33Вот как раз передача инфомрации на магнитном барабане мне кажется более защищенной чем передача по электронной почте. Мне кажется незаметно прочитать информацию с такого раритета, пока его будут передавать транспортной компанией гораздо сложнее, чем перехватить незашифрованное электронное сообщение.
Но если серьезно, то это тут вообще не главное. Оговорка про передачу на магнитных носителях не так уж плоха сама по себе (формально HDD это магнитный носитель, так что почему бы не передавать на USB-HDD), а это просто показатель того, что в разработке закона технические специалисты участия не принимали, а этот текст писал "упереный пользователь ПК" все образование которого в этой области закончилось на том, что когда то давно ему в школе рассказывали про магнитные носители.
lexore
14.08.2016 13:04-2Просто на данном уровне приходится играть скрытно, осторожно пропихивая законы, чтобы получить нужные инструменты.
А когда они ищут шпионов, у них нет ограничений — прослушка, запросы в инстанции, «фсб, откройте», маски шоу, допросы и т.д.
Представьте, что бандит отобрал сумочку у женщины и давай бежать. В обычной ситуации вы можете крикнуть «полиция, посторонитесь!».
А теперь попробуйте поймать бандита так, чтобы никто вас не заметил. Так и появляются с виду странные, но очень полезные для этого законы — «ограничить скорость пешеходов», «обязать пешеходов носить кандалы» и т.д.Valerij56
14.08.2016 13:49+2Смешно.
.
Вы действительно верите, что сплошная перлюстрация всего трафика предназначена для поимки шпионов?
.
На самом деле это инструмент шантажа, позволяющий держать всех на крючке. Ах, вы хотите выставиться на выборах? А мы сейчас спросим у вашей жены, как ей нравится ваша прошлогодняя случайная любовница. А аш начальник будет знать, что вы говорили о нём по телефону.
.
Мы специально приняли такие законы, что выполнить их все невозможно, но пока вы молчите мы тоже молчим. Не высовывайтесь!
.
История показала, что такие страны долго (в историческом масштабе) не живут.
tyomitch
14.08.2016 14:01«В историческом масштабе» — это сколько? КНДР живёт уже 68 лет, например.
Valerij56
14.08.2016 14:10Союз прожил немного дольше.
.
КНДР плохой пример, территория небольшая. Когда банда захватила территорию, рано или поздно их лидер уходит, обычно в иной мир. И начинается драка за то, кто теперь самый главный.lexore
14.08.2016 14:31Посмотрите историю Китая и Индии. Там тысячи лет была абсолютная монархия. Правда, сейчас так сделать уже не получится.
Valerij56
14.08.2016 14:37+2Понимаете, абсолютная монархия не синоним государства, не имеющего обратных связей, там они просто иначе работали. Если же присмотреться к государственному устройству современной России, то вы не найдёте ни одного государственного института, работающего так, как это предписано Конституцией.
lexore
14.08.2016 14:21> Вы действительно верите, что сплошная перлюстрация всего трафика предназначена для поимки шпионов?
Нет. Вы сейчас по своему поняли мои слова. Перечитайте, пожалуйста, пост, на который я ответил. А именно предложение:
> Интересно, а они и шпионов ловят на таком же уровне адекватности и профессионализма?
Я сказал о том, что когда они действуют на публике, они вынуждены идти кружным путем.
Ну не могут они пока издать закон «вне закона объявляются все, кто будет упомянут в специальном реестре».
А не на публике руки развязаны — там вполне профессионально проводятся розыски, маски-шоу, допросы и т.д.
Понятное дело, что применять это можно для достижения разных целей.Valerij56
14.08.2016 14:25Ну не могут они пока издать закон «вне закона объявляются все, кто будет упомянут в специальном реестре».
А как иначе можно понять слова судьи, говорящей, что у сотрудников милиции не было мотива для фальсификации доказательств, и отметающей по этой причине все доводы защиты, доказывающей, что нет, не был, не состоял, и вообще находился в другом месте?
AntiForeZz
14.08.2016 11:11Настучать железной линейкой по пальцам тем кто писал слово «кодировать» в понимании «шифровать». Какого они лезут в болото не зная брода?
d1f
14.08.2016 15:43+1> «кодировать» в понимании «шифровать»
шифрование — вид кодирования.
Ну и у них написано «дополнительное кодирования».
DenVdmj
14.08.2016 11:15Ну допустим, хоть это и из области фантастики, сервера перепишут, и будут хранить ключи, но ведь браузеры тоже генерят свою пару. То есть, будет уголовка за использование обычных браузеров? Спутник — наш будущий пожизненный спутник?
Meklon
14.08.2016 11:23Про форк Firefox закрытый с ГОСТ криптой уже слышали?
ITLav
14.08.2016 13:07+1А про открытые исходники патча, добавляющего поддержку ГОСТ-криптографии в firefox, слышали?
https://packages.altlinux.org/ru/Sisyphus/srpms/firefox-gost/patches
sinenomine
14.08.2016 12:55-2Не думаю, что им потребуются сессионные ключи, для расшифровки TLS трафика им нужны приватные ключи, которыми обладает владелец сервера. Имея приватные ключи, им по сути уже не нужен будет доступ к самому интернет сервису, так как его трафик будет расшифровыватся магистральными операторами.
Calvrack
14.08.2016 11:23А факт передачи ключей можно обнародовать или уже сейчас надо заготавливать свидетельства канарейки?
dollar
14.08.2016 11:26+1Объясните, пожалуйста.
Если я, к примеру, соберу самодельный мессенджер для двоих с End To End и поставлю его себе и родной бабушке, то мы сможем переписываться, не нарушая закон? Или теоретически мы становимся преступниками? Где проходит граница дозволенного?
Я честный гражданин (по крайней мере, хочу им быть или хотя бы казаться). И готов предоставить переписку по запросу ФСБ. Но должен ли я это делать и какие должны быть основания для этого согласно новым правилам? Остается ли право на личную переписку, личную жизнь, коммерческую тайну, NDA и т.д.?
Вопрос касается не технической реализации, с ней и так всё ясно, а правовой допустимости и границ применения нового закона.
azShoo
14.08.2016 12:05Границы применения фактически следующие: когда ваша бабушка ударится в политику\журналистику\общественную деятельность — перешлите, пожалуйста, ключи шифрования вместе с свидетельскими показания на Лубянку.
eoffsock
14.08.2016 14:31+2Не понимаю, какая политика? Мы обсуждаем засолку огурцов. Хотите ключ — вот вам ключ.
«И привези еще три банки огурцов утром на Лубянку, 11 декабря будем угощать серых крутым посолом. Оставь огурцы у черного входа».
AleXP3
14.08.2016 13:07+4ИЗВЕЩЕНИЕ
по вопросу использования несертифицированных средств кодирования
(шифрования) при передаче сообщений
в информационно-телекоммуникационной
сети «Интернет»
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети «Интернет», на соответствие требованиям по безопасности информации не требуется.
ИсточникValerij56
14.08.2016 13:55-2А теперь, пожалуйста, представьте нам весь текст вашей переписки, чтобы мы провели экспертизу и выдали вам заключение о том, что ваша переписка не содержит государственной тайны. Экспертизу необходимо проводить дважды в год, в связи с изменениями в списке сведений, относящихся к государственной тайне, причём содержавшими государственную тайу могут быть признаны и сведения переданные вами ранее, в течении пяти лет.
ivan386
14.08.2016 14:03Если человек не имеет доступа к гостайне и не подписывал соглашение о неразглашении какие основания ваших подозрений?
Valerij56
14.08.2016 14:16Я не могу так быстро найти ссылку, но сейчас носителем государственной тайны считается не только тот, кто узнал её официально, но и тот, кто узнал её случайно. А в связи с изменениями в списке сведений, составляющих гостайну, и тот, кто знал что-то, вдруг ставшее государственной тайной.
.
Так что, если вы ничего не подписывали, вы всё же принесите нам, пожалуйста тексты вашей переписки и разговоров с женой в спальне. Мы прочитаем, и дадим вам заключение.
Оплата через кассу.ivan386
14.08.2016 14:36Ну дык надо сначала доказать что человек является её носителем.
Valerij56
14.08.2016 14:44+1Вот вы, когда подходили к нашему зданию, видели, как от подъезда отходила машина с военными номерами? Ну и что, что не помните, мы вам сейчас и видео покажем. Она всегда здесь ездит, как раз для такого случая. Значит, теперь вы уже носитель военной тайны о воинских перевозках.
slopestyler
14.08.2016 15:42Не знаю, как там именно с гостайной, но секретные сведения не имеют таких свойств.
Т.е., с ними возможно даже большее — проходит 5 лет после окончания допуска — и человек может что хочет говорить, и носителем не является.
Хорошо, а если всё происходит, как вы утверждаете, и гостайну проговорили говорящему попугаю.
А он улетел и теперь по улице летает и про эту гостайну на всю улицу кричит.
Что, все на улице теперь носителями стали?Valerij56
14.08.2016 16:28-1Если коротко — да.
.
Если немного длинней, то этот закон только по названию имеет отношение к гостайне. Он принят для того, чтобы любого можно было назвать её носителем, независимо от того, расписывался он за то, что стал секретоносителем или нет. Это такой способ выдачи разрешений на выезд.
pnetmon
14.08.2016 18:13+1>>Т.е., с ними возможно даже большее — проходит 5 лет после окончания допуска — и человек может что хочет говорить, и носителем не является.
С чего вы взяли что он может разглашать сведения составляющие гостайну через 5 лет с момента прекращения допуска к сведеньям составляющим гостайну? Некоторе остается гостайной десятилетия.slopestyler
14.08.2016 18:21-1Ну, как я уже писал, как с именно гостайной — не знаю, но с секретными сведениями это так.
А взял с того, что как-то раз, когда мы только поступали на военку и не подписывали ещё допуск, нам один препод что-то рассказывал, а потом добавил, что, конечно, часть того, что он рассказывал, секретна, и ему по идее это было бы нельзя рассказывать, но т.к. он уже более 5 лет не имеет допуска, то ему всё равно ничего за это не будет.pnetmon
14.08.2016 18:48+1Вы не правы.
Секретные сведения отнесенные госструктурами к разным видам секретных сведений относятся к гостайне.
Сведения полученные на военной кафедре во время обучения в большинстве это просто обучение работы с такими сведениями.slopestyler
14.08.2016 22:26Это именно секретные сведения, такие, как принципы работы механизмов и людей в боевом коллективе, а также засекреченные технические характеристики.
Их разглашение серьёзно подорвёт безопасность этой работы и даст другому государству/организации преимущество в бою.
avost
14.08.2016 18:39+1А вы помниете судили женщину, которая передала украинцам разговор в трамвае какого-то военного о передислоцировании войск в сторону этой самой Украины? Ещё даже до того, как пудинг с Украиной разосрался.
AleXP3
14.08.2016 19:20+2Так ее не за обладание секретами привлекли, а за активные действия в интересах стороннего государства. Она не просто «разгласила», а нашла телефон, позвонила, передала данные и проч. И статья ей вменялась не «разглашение гос.секретов», а «измена родине».
И её, кстати говоря, не осудили, а оправдали: https://slon.ru/posts/49308 За отсутствием состава преступления.avost
14.08.2016 19:44+1За обладание сведениями не судят даже, наверное, в северной корее, это вы уже что-то совсем оруэловское придумали. Все статьи — за разглашение. Ну, да, за разглашение сведений о которых ты не давал подписку статьи нет. Поэтому для этого есть статья об измене. Суть одна всё-равно.
Оправдали, да. Военных действий тогда не велось. Сейчас бы вряд ли.AleXP3
14.08.2016 20:09+1На самом деле всё тоньше несколько. Получить срок за измену родине можно и без знания каких-либо секретов. Вполне достаточно просто обрабатывать общедоступные данные «в интересах спецслужб другого государства». В общем работать на ЦРУ или аналоги. И это, в общем и целом, вполне логичная позиция правоохранителей. Работаешь на чужие разведки = изменник.
Военных действий с Украиной и сейчас не ведётся. Завод в Липецке пашет в три смены, дип.отношения есть. Режим безвизовый. И т.д. Это всё явно свидетельствует об отсутствии состояния войны. Любой адвокат подтвердит это в суде.avost
14.08.2016 20:42Ну, кто этих адвокатов сейчас слушает, в самом деле? Подберут состав статей какой надо. Савченко вон, втч за незаконный переход границы судили и ничего. Совесть обвинителей ничуть не возмутилась. Как молчит совесть путина, принимающего политические решения на основе откровенно подтассованной связи идиотов со взрывчаткой в пластиковых бутылках с якобы официальной спецоперацией.
Думаю, той даме просто повезло тогда и, скорее всего, не повезло бы сейчас. Хотя любой адвокат говорил бы ровно те же слова что тогда, что сейчас. ;(
FatLamer
14.08.2016 22:19+1На самом деле все еще тоньше. Собрав открытые данные можно ненароком получить сведения, составляющие гостайну. Причем тот факт, что этот сбор и обработка проводился не «в интересах спецслужб другого государства» никого не волнует, волнует сбор и передача данных за бугор. Надо заметить, что такая практика была всегда, это не изобретение последнего времени.
servermen
14.08.2016 17:35-1>Я честный гражданин (по крайней мере, хочу им быть…
В нашей стране, особенно будучи честным гражданином, прожить нормально — это просто нереально!
ModoStudio
14.08.2016 11:38+1Гениально! :D Интересно посмотреть, кто первый, и как скоро, первый «счастливиц» попадёт на этот штраф в миллион рублей?
Для справки, к магнитным носителям относятся магнитные диски, магнитные карты и магнитные барабаны.
Магнитные ленты ещё! Как можно было забыть про бабины 80-х, и кассеты лихих, и как сейчас выясняется свободных 90-х?
svavil
14.08.2016 11:40Я там немного отстал от жизни, поэтому расскажите: я пишу письмо по электронной почте с помощью интернет-сервиса Gmail. Кто там в этом случае считается организатором распространения информации в сети «Интернет»?
M_AJ
14.08.2016 11:41Мне еще интересно, а кто будет отвечать, если магнитный носитель дойдет по почте уже в не читаемом виде?
SergeyDeryabin
14.08.2016 12:02+3Я так полагаю Вам влепят штраф в миллион, а вы уже потом в "Басманном" суде будете доказывать что отправляли рабочую дискету с данными
Starfury
14.08.2016 11:57-2Как я рад что живу не в россии, украине или Белоруссии и т.д.
PretorDH
14.08.2016 12:26+1А чем тебе Белорусия или Украина повинились, у них таких законов нет и в Украине скорее всего не будет. Но и бацька думаю ничего такого вводить не собирается — градиент недовольства в небольшой европейской стране слишком резкий будет. А на просторах родины он размазывается и нивелируется.
vvadzim
14.08.2016 15:41+1Здесь, в Белоруссии, похоже, такое пока просто не нужно. Пространство зачищено раньше и другими методами.
Насчёт недовольства в европейской стране — преувеличение. Такие розовые очки уже сослужили плохую службу оппозиции.
География сама по себе не есть преимущество. Любые преимущества нужно уметь использовать.
saboteur_kiev
14.08.2016 12:20+2Как скоро появятся в продаже базы ключей?
l27_0_0_1
14.08.2016 23:11Интересно, когда это произойдет, они поймут что сами в этом виноваты или как обычно? Вопрос риторический.
kostein
14.08.2016 12:30+3Всегда думал, что спецслужбы используют спецсредства и спецметоды оставаясь при этом незамеченными, теперь любой террорист знает что «защищённые» каналы связи скомпрометированы.
Кстати под одеждой можно носить пояс шахида. Сдать одежду в ФСБ… или ходить в прозрачной. Если такую идею подкинуть Яровой, можно было бы стать свидетелем батла Яровая VS Мизулина. :)
Temych
14.08.2016 12:53+2К слову напомню, что Хабр уже внесен в реестр организаторов распространения информации.
Так что — всех нас если что уже на магнитные носители перенесли ))M_AJ
14.08.2016 13:01Забавно, российские почтовики там есть, а Gmail нет.
Temych
14.08.2016 13:05+2Там пока нет НИ ОДНОГО иностранного сервиса.
Наверное просто пока не знают, как требовать от них дешифрованные магнитные носители по почтеM_AJ
14.08.2016 13:13+3Похоже дело в том, что почта не доставляет туда заказные письма с уведомлением о вручении.
Temych
14.08.2016 13:25Похоже, наши компетентные органы всё же предполагают, что всякие фейсбуки, гуглы, signal`ы, protonmail`ы и иже с ними будут отправлять их в обратные пешие прогулки по известному адресу.
Survtur
14.08.2016 14:25+2Зачем составлять реестр сайтов — распространителей, если любой сайт распространитель?
Temych
14.08.2016 14:50+1Существует определенная 97-ФЗ (о блогерах и организаторах распространения информации) процедура, это делает РКН.
Есть определение, кто такой организатор (и да — это не только сайт, но может быть и ПО и любой другой вид сервиса), есть порядок ведения реестра и т.д.
Hello1
14.08.2016 13:03+1Вот и звёздный час Let's Encrypt в России.
Копируем ключ на магнитный носитель и отправляем по почте. На следующий день генерируем новый сертификат.
mwizard
14.08.2016 13:22+4И получаете штраф, т.к. ваш трафик не смогли расшифровать.
ivan386
14.08.2016 13:34Помоему это уже их проблемы. Ключь то предоставлен.
sviterov
14.08.2016 13:48+1Только неверный
ivan386
14.08.2016 13:51Почему? На момент отправки он правильный.
sviterov
14.08.2016 13:53+1А как это докажете? С таким же успехом можно отправить случайный набор букв, назвать это ключом и сказать что на протяжении пары секунд он был верен.
ivan386
14.08.2016 14:00Доказывать обязана сторона обвинения.
AleXP3
14.08.2016 14:15Эксперт даст заключение, что ключ не подходит для расшифровки трафика прошедшего через систему к которой он должен подходить. В общем нарушение есть: ключ сменился, а новый экземпляр не был предоставлен в органы.
ivan386
14.08.2016 14:28+1Вот бумажка о том что новый ключь был отправлен почтой России.
AleXP3
14.08.2016 14:34Ну если он придет и им можно будет расшифровать трафик то все хорошо.
ivan386
14.08.2016 14:40+2Ждите. Скоро будет. Мы сегодня ещё один отправим.
JediPhilosopher
14.08.2016 18:32Скорее всего введут какую-нибудь практику проверки хранения траффика и валидности ключей. Типа сперва делают «контрольную закупку» — оставляют сообщение какое-нибудь. А затем через определенный период обращаются и просят предоставить ключи и содержимое этого сообщения. Если их нет или после расшифровки сообщение не совпадает с исходным — кладите миллион на бочку.
Vindicar
14.08.2016 14:50+1А вообще с HTTPS это работает? Там же вроде сессионные ключи, т.е. имея сертификат, расшифровать старый трафик не удастся?
darkdaskin
14.08.2016 15:49+4Это зависит от выбранной сервером cipher suite. Обычно для обмена ключами используется алгоритм Диффи-Хеллмана, и сессионный ключ из трафика достать нельзя. Однако сервер может выбрать и обмен ключами на основе RSA, в этом случае все компоненты ключа присутствуют в трафике и при доступе к приватному ключу сертификата можно вычислить сессионный ключ.
arteast
14.08.2016 15:40В сочетании с требованием к провайдерам хранить весь трафик ФСБ это можно устроить. Если надо, расшифруют постфактум.
qwertyhp
14.08.2016 14:50Барт Симпсон пишет мелом на школьной доске:
Триллион рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей рублей Триллион рублей Триллион рублей Триллион рублей Триллион рублей
************************
«Господи! Если бы вы знали, как вы мне все надоели!.. Да поймите же — барон Мюнхаузен славен не тем, что летал или не летал… а тем, что не врет...»
© «Тот самый Мюнхгаузен». «Мосфильм», 1979 г.
Отрывок из финала:
https://new.vk.com/video45581137_170395298
Премьера фильма состоялась 1 января 1980 года на ЦТ СССР.
(Да-да — когда-то начало года ознаменовывалось не повышением тарифов ЖКХ, а совсем-совсем даже иначе!)
andy_p
14.08.2016 15:16-1> Да-да — когда-то начало года ознаменовывалось не повышением тарифов ЖКХ, а совсем-совсем даже иначе!
Вы это имели ввиду?
22 января 1980 года по дороге на работу А.Д.Сахаров был задержан, а затем вместе с женой Еленой Боннэр без суда сослан в Горький.
Dark_Shadow
14.08.2016 15:41Что-то разрыв шаблона какой-то. Они (ФСБ) вроде как совсем не давно разрешили не сертифицировать шифрование, не касающееся гостайны. Следовательно и ключи не требовались…
«Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется».
Переиграли назад? Вполне в духе конторы
https://rublacklist.net/19189/M_AJ
14.08.2016 16:59+1Это не про всех, а про неких «организаторов распространения», то есть сервисы. На всех это не распространяется. Пока.
inkvizitor68sl
14.08.2016 17:25+2Русские сервисы решили оставить вообще без возможности выхода на мировой рынок.
Правильно, зачем нам создавать свой гугл (развить один из наших поисковиков до мирового уровня), свой facebook (развить свой вк до мирового уровня), свои платежные системы… да много на чем такой «приказ» ставит крест. По-хорошему, я бы теперь и русские антивирусы не стал себе ставить ни в коем случае, ведь и у них свои сертификаты есть, весьма критичные в корпоративной инфраструктуре.
Зарабатывать на IT? Зачем, мы же живем в семидесятых прошлого века, нам не нужен приток денег потребителей из-за границы. Да и вообще общаться с иностранными гражданами вредно.
А самое обидное, что это не только делает невозможным выход на мировой рынок, это ещё и окончательно убивает возможности на локальном рынке — все будут выбирать иностранные сервисы просто потому, что «майор милиции, который за мной ухаживал и которого я отшила не сможет посмотреть мои голые фоточки для моего парня, которые я шлю в facebook».
gluck59
14.08.2016 18:33+2Кстати да, общаться с иностранцами стало вредно. Не так давно человек шел по Москве и разговаривал по телефону на немецком. Взяли, отвезли в отдел и слегка побили.
fivehouse
14.08.2016 18:43-1Эхха, допрыгаются местные бездельники от спецслужб до того, что стеганография станет в этой стране такой же обыденностью как и VPN или tor.
vasiliysenin
14.08.2016 20:06Анатолий, что-то Вы всё напутали. При чём здесь 7 июля 2016 года, если в приказе написано " В целях реализации положения… закона от 27 июля 2006 года.
2006 год закончился 9 лет назад. Тогда у ФСБ были компьютеры как раз с магнитными дисководами и возможно до сих пор они новые себе не купили, поэтому и просят информацию на магнитных носителях.
А распростанители информации в интернете это те кто например ведёт блог, который читают больше 3000 человек. Если ФСБ сможет расшифровать сообщения пользователей в блоге, который и так можно прочитать без всяких ключей, то что в этом страшного? Или может быть я не правильно Вас понял?
sumanai
14.08.2016 20:16+1Суть в том, что с этими ключами ФСБ может расшифровать хоть вашу личку на Хабре, хоть банковские транзакции.
Farxial
14.08.2016 20:06Все срочно закупаемся дискетами, лентами и барабанами! Поддержим российского производителя! :3
Digriz
14.08.2016 23:26Инициатива очень напоминает по характеру http://www.anekdot.ru/an/an0309/o030902.html#10
Запасаемся попкорном.
skylevels
Ага, передача ключа шифрования по электронной почте! наверное еще на ящик fsb@mail.ru