30.05.2017 09:34
VASExperts 54 15100 Источник
Стало известно, что новое правительство Великобритании планирует вновь заняться вопросами шифрования в Сети. В парламенте рассмотрят нормативно-правовой акт, который обяжет социальные сети и провайдеров услуг связи предоставлять дешифрованные данные государственным организациям по требованию.

/ Flickr / Karlis Dambrans / CC

Под закон попадают мессенджеры, например Facebook Messenger, платформа WhatsApp, iMessage. Но есть проблема, которая заключается в том, что компании, использующие e2e-шифрование для защиты пользовательской информации, не могут предоставить желаемые правительством данные в доступной форме, поскольку они не обладают ключами, необходимыми для дешифровки.

Представители WhatsApp пока отказались комментировать ситуацию. Отказались от комментариев и в компании Apple. Но Apple известна своей политикой защиты пользовательских данных, когда не стала предоставлять доступ к заблокированным iPhone спецслужбам США.

Технические подробности реализации доступа к данным пока также остаются неясными. Один из рассматривавшихся сценариев — обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости. Однако от такого варианта развития событий, по словам представителей министерства, правительство отказалось. В какой-то степени этому поспособствовал технический отчет Keys Under Doormats от ученых экспертов, профессионально занимающихся проблемами защиты информации.

В нем отмечалось, что исключительный доступ к данным пользователей невозможен без появления неприемлемых рисков безопасности. Вот один из ключевых параграфов заключения:

«В этом случае придется поступиться вопросами безопасности, поскольку нельзя гарантировать доступ государственных агентств к данным, не создав при этом угрозу взлома злоумышленниками. Более того, организация доступа разных правоохранительных органов в нескольких странах — это невероятно сложная задача для интернациональной компании».

В связи с этим наиболее вероятным исходом кажется вариант, когда социальным платформам предложат воздержаться от использования сложных методов шифрования. Кроме того, этот вариант уже обсуждался в прошлом году.

«Судя по всему, закон обяжет провайдеров обеспечивать шифрование, которое может быть взломано — то есть шифрование не end-to-end», — так прокомментировал эту ситуацию парламентарий Пол Страсбургер (Paul Strasburger).

Возможно, многим сервисам, функционирующим на территории Великобритании, придется убрать из маркетинговых материалов слова «end-to-end шифрование». В любом случае голосование по этому вопросу будет проведено после 8 июня, когда новое правительство Великобритании официально приступит к исполнению обязанностей.

P.S. Еще несколько материалов по теме из нашего блога:

Поделиться с друзьями
-->

Комментарии (54)


  1. Labunsky
    30.05.2017 13:01
    #10240874
    -5

    Великобритания планирует запретить end-to-end шифрование
    обяжет предоставлять дешифрованные данные по требованию
    А кто-то еще на ализара ругается


  1. YuryZakharov
    30.05.2017 13:11
    #10240894
    +7

    Начать с того, что The Sun — тот еще источник достоверной информации…


    1. Actee
      30.05.2017 13:23
      #10240928
      +1

      Вроде как есть ссылки и на комментарии в techcrunch. Просто если смотреть только на первую ссылку в материале, то в целом из вас получится «тот еще аналитик степени достоверности информации».


  1. OpenMan
    30.05.2017 13:20
    #10240918

    Предложение «воздержаться от использования сложных методов шифрования» по сути тождественно «обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости». Соответственно, и злоумышленникам будет радость от такого решения.


    1. Nikobraz
      30.05.2017 14:42
      #10241148
      -1

      И спецслужбам и злоумышленника, пострадает как всегда только простой народ.


      1. postgree
        30.05.2017 20:35
        #10241894

        Простой народ обычно не парит шифрование. 95%… (ну вы поняли)


  1. xpancy
    30.05.2017 13:26
    #10240940

    Англичане закон, конечно, не примут, но наши депутаты будут на него ссылаться каждый раз, когда захотят оттяпать ещё немножко приватности.


    1. Idot
      30.05.2017 13:37
      #10240976
      +5

      Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
      Так что 1984 в котором рассказывалось про Британию — становится реальностью.


      PS в одной из старейших конституционных монархий (старейшая — Япония), документ играющий роль конституции — Великая Хартия Вольностей, формально конституцией не является.


      1. yadobr
        30.05.2017 16:25
        #10241414

        Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.


        Не подскажите, где можно почитать об этом? А то найти не могу.


        1. Labunsky
          30.05.2017 19:38
          #10241810

          Тут выжимка, тут сам закон. В целом, ничего особенного, обычные требования выдачи информации, если того требует нацбезопасность, следствие и прочие экономические интересы


          1. Alukardd
            30.05.2017 20:34
            #10241892
            +1

            И, что примечательно, ресурсы работают без https…


          1. AllexIn
            30.05.2017 20:36
            #10241896

            Божечке мои… У меня есть старый шифрованный True Crypt диск…
            Я от него забыл пароль. Вернее, я уверен что помню пароль. Но по неизвестной мне причине диск монтироваться не хочет…
            ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска…


            1. Labunsky
              30.05.2017 20:55
              #10241926

              ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска
              Если к вам придут — у вас жопа не из-за диска будет, не просто же так пришли-то :)

              На самом деле, в законе (пункт 50.3) написано, что если человек не обладает ключом или информацией, которую нужно расшифровать, то закон обязывает его просто сотрудничать таким же образом со следствием в отношении других своих ключей и информации (если не так понял — поправьте)


      1. kirillaristov
        30.05.2017 17:29
        #10241566

        Зато в конце-концов они взорвут свой парламент, убъют канцлера, и снова заживут счастливо.


  1. pewpew
    30.05.2017 13:32
    #10240962
    +1

    Дстаточно открыть возможность писать плагины для приложений, позволяя осуществлять e2e-шифрование самим пользователям.


  1. bubuq
    30.05.2017 14:07
    #10241054
    +3

    Опять эпоха борьбы с PGP?


    Запрещать провайдерам end-to-end шифрование абсурдно, поскольку по определению им занимается не провайдер, а пользователи. А если встроенные инструменты уберут, то пользователи все равно смогут пересылать зашифрованный контент.


    1. Idot
      30.05.2017 14:28
      #10241108

      В Британии уже есть уголовная статья за отказ предоставить пароль, значит будет и уголовная статья за PGP.


      1. yuriv
        30.05.2017 19:28
        #10241800

        А если на самом деле забыл пароль, что делать?


        1. qw1
          30.05.2017 21:25
          #10241960

          Использовать e2e без пароля.

          В самом деле, приватный ключ должен использоваться только для удостоверения личности, а не для шифрования. Шифрование нужно делать механизмами Perfect forward secrecy, а сообщения автоматически удалять после 10 минут от прочтения (в случае голосового общения ещё проще — не вести запись).

          Тогда и спросить с тебя будет нечего. Заберут устройство, получат удостоверяющий личность закрытый ключ, а ты тем временем пишешь в твиттер, что ключ скомпрометирован и если с вами связываюсь я, то это — не я.

          Потом просто перевыпустишь идентификационные ключи, и всё.


          1. yuriv
            30.05.2017 21:52
            #10241998

            Да я не про то, пароль ведь может быть от зашифрованных данных на диске. Я обязан его предоставлять? И если обязан и забыл, то тогда что? Нужно ведь доказать, что я пароль злонамеренно не говорю, а не забыл. Короче вся эта возня вокруг паролей такая же хрень как и с полиграфом. Ты можешь отказаться, но тогда тебя будут подозревать, что ты что-то скрываешь.

            С технической точки зрения все будут пользоваться плагинами/софтом с нормальным шифрованием и всё. Чтобы к тебе пришли за паролем нужно попасть каким-то образом под подозрение, а чтобы попасть под подозрение нужно посмотреть твой трафик. А если куча людей будет пользоваться «запрещённым шифрованием» ко всем не набегаешься.


            1. pewpew
              31.05.2017 14:27
              #10243068

              А почему собственно доказывать что «забыл». Не хочу и всё. Нельзя позволять государству принимать законы, ущемляющие гражданские свободы.


      1. bubuq
        30.05.2017 19:40
        #10241814

        1. Отказ от сотрудничества с органами дознания.
        2. Использование некого программного обеспечения.

        Вроде самую малость не одно и то же, и даже не в одной категории.


      1. DistortNeo
        30.05.2017 22:16
        #10242032

        А что дальше? Ведь есть ещё стеганография.


    1. geher
      30.05.2017 19:01
      #10241750

      Насколько я понимаю, требование не к провайдерам, а к владельцам мессенджеров.


    1. DistortNeo
      30.05.2017 22:12
      #10242028

      А может, британские власти надеются, что после принятия данного закона законопослушные террористы и педофилы откажутся от end-to-end шифрования?


  1. KonstantinSpb
    30.05.2017 16:13
    #10241398
    +8

    Тот, кто отдаёт свою свободу за безопасность, не получает ни того ни другого (с)


  1. miga
    30.05.2017 20:11
    #10241862

    Мне все-таки интересно, когда до государевых мужей дойдет осознание того банального факта, что момент уже упущен и фарш назад не провернуть — сейчас любой босяк с телефоном может сделать себе мессенджер с шифрованием. И произойдет это примерно через 5 дней после запрета вацапа, телеги и других. Из которых три дня будет качаться android studio на плохом интернете.


    1. 0x9d8e
      30.05.2017 21:30
      #10241968

      Проблема в том, что в таком случае полицаи придут уже к нему.


      1. qw1
        30.05.2017 21:38
        #10241978
        +1

        Автор софта может быть в юрисдикции другого государства. И вообще, в гугл маркете это не мессенджер, а бездарная игра типа 3-в-ряд, или тетрис, где мессенджер открывается после секретного жеста по экрану.

        Удачи в поисках, полицаи-пограничники.


        1. 0x9d8e
          30.05.2017 21:44
          #10241992

          «К нему» в смысле к пользователю. И то, что пользователь вдруг не знает ключей и алгоритмов, используемых чатом внутри его тетриса окажется его личной проблемой. Была же история, когда за файл со случайными числами (шум с матрицы телескопа) посадили человека.


          1. qw1
            30.05.2017 22:29
            #10242054

            Читайте мой коммент выше про Perfect forward secrecy.

            Пользователю не нужно знать никакой пароль. Приложение должно генерировать секретный ключ исключительно для идентификации абонента и он открыто лежит на устройстве.

            Только он полезен полицаям только в одном сценарии — при попытке выдать себя за абонента в последующих сеансах связи. Что пресекается открытым распространением инфы, что аккаунт/устройство/ключ скомпрометированы.


          1. iChaos
            30.05.2017 23:17
            #10242124

            Проблема полицаев в том, что если этот месенджер будет пересылать фотографии котиков, содержащие в себе стеганограммы сообщений, то они, не то, что доказать, но, даже, обнаружить, такие сообщения, не смогут. А если, даже, и возникнут, у них, какие-то сомнения, то пускай приходят — пользователь без труда предоставит им фотографии котиков.

            P.S.: Фотографии котиков могут передаваться и через обычные месенджеры…


            1. iCpu
              31.05.2017 06:37
              #10242294

              Ввести обязательным сжимание жпегом на 80-90% качества. То же для MP3 и прочего. За подделку meta-информации или jpegrar — 5 лет строгача. За png — расстрел на месте.


              1. qw1
                31.05.2017 16:59
                #10243392
                +1

                Стеганографический алгоритм можно адаптировать к любому проценту потерь, вопрос только в соотношении полезной нагрузки к переданной информации.


                1. iCpu
                  01.06.2017 06:11
                  #10244298

                  Why so serious?


            1. Tujh
              31.05.2017 12:04
              #10242718

              Фотографии котиков могут передаваться и через обычные месенджеры
              Как показывает практика тот же Viber при передаче фотографии выполняет над ней некоторую обработку, в частности «пережимает» для снижения размера. Вот только клиент или серверная часть — не озадачивался.


          1. Psychopompe
            30.05.2017 23:51
            #10242164

            А что за история?


          1. Pakos
            31.05.2017 09:42
            #10242452

            Вроде не посадили, а продержали в аэропорту.


      1. miga
        30.05.2017 21:44
        #10241990
        +1

        Для начала надо найти автора безымянного apk, распространяющегося по торрентам да файлопомойкам. Вы же не думаете, что кто-то будет заморачиваться с попаданием в стор? :)


    1. maniacscientist
      30.05.2017 21:38
      #10241980

      Вы переоцениваете людишек. Некоторые даже качать ленятся — слушают и смотрят потоки. Какой то процент босяков себе мессенджер конечно напишет, массы — нереально. А когда какой-то начнет распространяться — ну вы поняли


      1. miga
        30.05.2017 21:43
        #10241988

        На самом деле босяки уже написали себе мессенджер, и то, что о нем, возможно, пока мало кто из потенциальных террористов знает — это всего-лишь «недоработка» законотворцев, которые пока что не запретили более удобные вацап и ко.


        1. Pakos
          31.05.2017 09:47
          #10242464

          Ждём новости — Роскомнадзор внёс в список блокировок запрещённый мессенджер Alrawi (запрещено в РФ) от запрещённой организации ИГИЛ (запрещено в РФ), применяемый запрещёнными террористами (запрещены в РФ) для проведения переговоров (запрещённых в РФ).
          И статьи с рекламой на ПониТудей о победе Роскомнадзора и указанием названия того что нужно скачать.


  1. unabl4
    30.05.2017 23:15
    #10242114

    «Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.» ©


  1. fukkit
    31.05.2017 08:08
    #10242346

    В UK это конечно выглядит глупо, но не так страшно, с их знаменитыми судами. Всякие же людоедские диктатурки с удовольствием такой опыт на свой людоедский лад переймут.


    1. iCpu
      31.05.2017 08:13
      #10242352

      Ассанжу это расскажите.


      1. fukkit
        31.05.2017 11:33
        #10242646

        Это тому, который мир с ног на голову перевернул и еще жив?
        Издержки политического супергероизма к британскому суду отношения имеют мало.


        1. iCpu
          31.05.2017 11:40
          #10242664

          А вы изучите вопрос подробнее, как там британский суд себя повёл.


          1. fukkit
            31.05.2017 11:51
            #10242680

            Если вы имеете в виду, что британский суд поступает по закону, а не по понятиям, так я вас удивлю: суд и должен так поступать.


            1. iCpu
              31.05.2017 12:01
              #10242698

              Нуок. Когда очередной политик или журналист в США, ЕС или Британии попадётся на обвинениях в изнасиловании, за что его превратят в гумус, а потом отпустят, просто повторите про себя: «он же доказал свою правоту в суде, их суды самые честные».


              1. fukkit
                31.05.2017 12:11
                #10242736

                В изначальном тезисе лишь относительная оценка, давайте без максимализма.


                1. iCpu
                  31.05.2017 12:19
                  #10242782

                  Вы ещё скажите, что под «людоедскими диктатурками» вы имели в виду Турцию и Саудовскую Аравию. Мы тут в большинстве своём не дети, и далеко не глупые люди.


  1. pavlick
    31.05.2017 08:20
    #10242360

    Почему-то очень популярной становится борьба со следствием вместо причины. Или они думают, что кто-то в мессенджерах будет писать прямым текстом сообщения типа «завтра идем взрывать парламент в 15:00, собираемся у ларька с шаурмой»?


  1. ustas33
    31.05.2017 10:31
    #10242532

    Таки и BBM (blackberry messenger) нагнут на ключи?


  1. jetcar
    31.05.2017 10:55
    #10242588

    разве это не бессмысленный закон, законопослушные граждане будут более открыты, а те кто хочет что-то натворить всё равно найдут способ скрыть свою переписку, за пару дней можно написать мессенджер с шифрованием и своим хостингом, но даже это не совсем нужно если можно писать плагины то текст можно на лету шифровать и отсылать через популярные мессенджеры, ну или клиент свой, а веб-апи от готовых мессенджеров.
    если делать всё по уму то надо не за трафиком следить, а за самими устройствами, даёшь закон он обязательном наличие кейлоггера во всех электронных устройствах :D хотя даже это не поможет, только тупые попадутся