/ Flickr / Karlis Dambrans / CCПод закон попадают мессенджеры, например Facebook Messenger, платформа WhatsApp, iMessage. Но есть проблема, которая заключается в том, что компании, использующие e2e-шифрование для защиты пользовательской информации, не могут предоставить желаемые правительством данные в доступной форме, поскольку они не обладают ключами, необходимыми для дешифровки.
Представители WhatsApp пока отказались комментировать ситуацию. Отказались от комментариев и в компании Apple. Но Apple известна своей политикой защиты пользовательских данных, когда не стала предоставлять доступ к заблокированным iPhone спецслужбам США.
Технические подробности реализации доступа к данным пока также остаются неясными. Один из рассматривавшихся сценариев — обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости. Однако от такого варианта развития событий, по словам представителей министерства, правительство отказалось. В какой-то степени этому поспособствовал технический отчет Keys Under Doormats от ученых экспертов, профессионально занимающихся проблемами защиты информации.
В нем отмечалось, что исключительный доступ к данным пользователей невозможен без появления неприемлемых рисков безопасности. Вот один из ключевых параграфов заключения:
«В этом случае придется поступиться вопросами безопасности, поскольку нельзя гарантировать доступ государственных агентств к данным, не создав при этом угрозу взлома злоумышленниками. Более того, организация доступа разных правоохранительных органов в нескольких странах — это невероятно сложная задача для интернациональной компании».
В связи с этим наиболее вероятным исходом кажется вариант, когда социальным платформам предложат воздержаться от использования сложных методов шифрования. Кроме того, этот вариант уже обсуждался в прошлом году.
«Судя по всему, закон обяжет провайдеров обеспечивать шифрование, которое может быть взломано — то есть шифрование не end-to-end», — так прокомментировал эту ситуацию парламентарий Пол Страсбургер (Paul Strasburger).
Возможно, многим сервисам, функционирующим на территории Великобритании, придется убрать из маркетинговых материалов слова «end-to-end шифрование». В любом случае голосование по этому вопросу будет проведено после 8 июня, когда новое правительство Великобритании официально приступит к исполнению обязанностей.
P.S. Еще несколько материалов по теме из нашего блога:
- SD-WAN как конкурент традиционному MPLS
- Интервью с Максимом Хижинским — C++ разработчиком системы DPI
- Как безопасно обмениваться паролями в вашей сети
- Профессор Гильермо Франсия о кибербезопасности национальной инфраструктуры
- СКАТ DPI против Cisco SCE 8000
- Что будет с интернет-провайдерами после 1 июля 2018 года
Комментарии (54)
YuryZakharov
30.05.2017 13:11+7Начать с того, что The Sun — тот еще источник достоверной информации…
Actee
30.05.2017 13:23+1Вроде как есть ссылки и на комментарии в techcrunch. Просто если смотреть только на первую ссылку в материале, то в целом из вас получится «тот еще аналитик степени достоверности информации».
OpenMan
30.05.2017 13:20Предложение «воздержаться от использования сложных методов шифрования» по сути тождественно «обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости». Соответственно, и злоумышленникам будет радость от такого решения.
xpancy
30.05.2017 13:26Англичане закон, конечно, не примут, но наши депутаты будут на него ссылаться каждый раз, когда захотят оттяпать ещё немножко приватности.
Idot
30.05.2017 13:37+5Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
Так что 1984 в котором рассказывалось про Британию — становится реальностью.
PS в одной из старейших конституционных монархий (старейшая — Япония), документ играющий роль конституции — Великая Хартия Вольностей, формально конституцией не является.
yadobr
30.05.2017 16:25Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
Не подскажите, где можно почитать об этом? А то найти не могу.
Labunsky
30.05.2017 19:38Тут выжимка, тут сам закон. В целом, ничего особенного, обычные требования выдачи информации, если того требует нацбезопасность, следствие и прочие экономические интересы
AllexIn
30.05.2017 20:36Божечке мои… У меня есть старый шифрованный True Crypt диск…
Я от него забыл пароль. Вернее, я уверен что помню пароль. Но по неизвестной мне причине диск монтироваться не хочет…
ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска…Labunsky
30.05.2017 20:55ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска
Если к вам придут — у вас жопа не из-за диска будет, не просто же так пришли-то :)
На самом деле, в законе (пункт 50.3) написано, что если человек не обладает ключом или информацией, которую нужно расшифровать, то закон обязывает его просто сотрудничать таким же образом со следствием в отношении других своих ключей и информации (если не так понял — поправьте)
kirillaristov
30.05.2017 17:29Зато в конце-концов они взорвут свой парламент, убъют канцлера, и снова заживут счастливо.
pewpew
30.05.2017 13:32+1Дстаточно открыть возможность писать плагины для приложений, позволяя осуществлять e2e-шифрование самим пользователям.
bubuq
30.05.2017 14:07+3Опять эпоха борьбы с PGP?
Запрещать провайдерам end-to-end шифрование абсурдно, поскольку по определению им занимается не провайдер, а пользователи. А если встроенные инструменты уберут, то пользователи все равно смогут пересылать зашифрованный контент.
Idot
30.05.2017 14:28В Британии уже есть уголовная статья за отказ предоставить пароль, значит будет и уголовная статья за PGP.
yuriv
30.05.2017 19:28А если на самом деле забыл пароль, что делать?
qw1
30.05.2017 21:25Использовать e2e без пароля.
В самом деле, приватный ключ должен использоваться только для удостоверения личности, а не для шифрования. Шифрование нужно делать механизмами Perfect forward secrecy, а сообщения автоматически удалять после 10 минут от прочтения (в случае голосового общения ещё проще — не вести запись).
Тогда и спросить с тебя будет нечего. Заберут устройство, получат удостоверяющий личность закрытый ключ, а ты тем временем пишешь в твиттер, что ключ скомпрометирован и если с вами связываюсь я, то это — не я.
Потом просто перевыпустишь идентификационные ключи, и всё.yuriv
30.05.2017 21:52Да я не про то, пароль ведь может быть от зашифрованных данных на диске. Я обязан его предоставлять? И если обязан и забыл, то тогда что? Нужно ведь доказать, что я пароль злонамеренно не говорю, а не забыл. Короче вся эта возня вокруг паролей такая же хрень как и с полиграфом. Ты можешь отказаться, но тогда тебя будут подозревать, что ты что-то скрываешь.
С технической точки зрения все будут пользоваться плагинами/софтом с нормальным шифрованием и всё. Чтобы к тебе пришли за паролем нужно попасть каким-то образом под подозрение, а чтобы попасть под подозрение нужно посмотреть твой трафик. А если куча людей будет пользоваться «запрещённым шифрованием» ко всем не набегаешься.pewpew
31.05.2017 14:27А почему собственно доказывать что «забыл». Не хочу и всё. Нельзя позволять государству принимать законы, ущемляющие гражданские свободы.
bubuq
30.05.2017 19:40- Отказ от сотрудничества с органами дознания.
- Использование некого программного обеспечения.
Вроде самую малость не одно и то же, и даже не в одной категории.
DistortNeo
30.05.2017 22:12А может, британские власти надеются, что после принятия данного закона законопослушные террористы и педофилы откажутся от end-to-end шифрования?
KonstantinSpb
30.05.2017 16:13+8Тот, кто отдаёт свою свободу за безопасность, не получает ни того ни другого (с)
miga
30.05.2017 20:11Мне все-таки интересно, когда до государевых мужей дойдет осознание того банального факта, что момент уже упущен и фарш назад не провернуть — сейчас любой босяк с телефоном может сделать себе мессенджер с шифрованием. И произойдет это примерно через 5 дней после запрета вацапа, телеги и других. Из которых три дня будет качаться android studio на плохом интернете.
0x9d8e
30.05.2017 21:30Проблема в том, что в таком случае полицаи придут уже к нему.
qw1
30.05.2017 21:38+1Автор софта может быть в юрисдикции другого государства. И вообще, в гугл маркете это не мессенджер, а бездарная игра типа 3-в-ряд, или тетрис, где мессенджер открывается после секретного жеста по экрану.
Удачи в поисках, полицаи-пограничники.0x9d8e
30.05.2017 21:44«К нему» в смысле к пользователю. И то, что пользователь вдруг не знает ключей и алгоритмов, используемых чатом внутри его тетриса окажется его личной проблемой. Была же история, когда за файл со случайными числами (шум с матрицы телескопа) посадили человека.
qw1
30.05.2017 22:29Читайте мой коммент выше про Perfect forward secrecy.
Пользователю не нужно знать никакой пароль. Приложение должно генерировать секретный ключ исключительно для идентификации абонента и он открыто лежит на устройстве.
Только он полезен полицаям только в одном сценарии — при попытке выдать себя за абонента в последующих сеансах связи. Что пресекается открытым распространением инфы, что аккаунт/устройство/ключ скомпрометированы.
iChaos
30.05.2017 23:17Проблема полицаев в том, что если этот месенджер будет пересылать фотографии котиков, содержащие в себе стеганограммы сообщений, то они, не то, что доказать, но, даже, обнаружить, такие сообщения, не смогут. А если, даже, и возникнут, у них, какие-то сомнения, то пускай приходят — пользователь без труда предоставит им фотографии котиков.
P.S.: Фотографии котиков могут передаваться и через обычные месенджеры…iCpu
31.05.2017 06:37Ввести обязательным сжимание жпегом на 80-90% качества. То же для MP3 и прочего. За подделку meta-информации или jpegrar — 5 лет строгача. За png — расстрел на месте.
Tujh
31.05.2017 12:04Фотографии котиков могут передаваться и через обычные месенджеры
Как показывает практика тот же Viber при передаче фотографии выполняет над ней некоторую обработку, в частности «пережимает» для снижения размера. Вот только клиент или серверная часть — не озадачивался.
miga
30.05.2017 21:44+1Для начала надо найти автора безымянного apk, распространяющегося по торрентам да файлопомойкам. Вы же не думаете, что кто-то будет заморачиваться с попаданием в стор? :)
maniacscientist
30.05.2017 21:38Вы переоцениваете людишек. Некоторые даже качать ленятся — слушают и смотрят потоки. Какой то процент босяков себе мессенджер конечно напишет, массы — нереально. А когда какой-то начнет распространяться — ну вы поняли
miga
30.05.2017 21:43На самом деле босяки уже написали себе мессенджер, и то, что о нем, возможно, пока мало кто из потенциальных террористов знает — это всего-лишь «недоработка» законотворцев, которые пока что не запретили более удобные вацап и ко.
Pakos
31.05.2017 09:47Ждём новости — Роскомнадзор внёс в список блокировок запрещённый мессенджер Alrawi (запрещено в РФ) от запрещённой организации ИГИЛ (запрещено в РФ), применяемый запрещёнными террористами (запрещены в РФ) для проведения переговоров (запрещённых в РФ).
И статьи с рекламой на ПониТудей о победе Роскомнадзора и указанием названия того что нужно скачать.
unabl4
30.05.2017 23:15«Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.» ©
fukkit
31.05.2017 08:08В UK это конечно выглядит глупо, но не так страшно, с их знаменитыми судами. Всякие же людоедские диктатурки с удовольствием такой опыт на свой людоедский лад переймут.
iCpu
31.05.2017 08:13Ассанжу это расскажите.
fukkit
31.05.2017 11:33Это тому, который мир с ног на голову перевернул и еще жив?
Издержки политического супергероизма к британскому суду отношения имеют мало.iCpu
31.05.2017 11:40А вы изучите вопрос подробнее, как там британский суд себя повёл.
fukkit
31.05.2017 11:51Если вы имеете в виду, что британский суд поступает по закону, а не по понятиям, так я вас удивлю: суд и должен так поступать.
iCpu
31.05.2017 12:01Нуок. Когда очередной политик или журналист в США, ЕС или Британии попадётся на обвинениях в изнасиловании, за что его превратят в гумус, а потом отпустят, просто повторите про себя: «он же доказал свою правоту в суде, их суды самые честные».
pavlick
31.05.2017 08:20Почему-то очень популярной становится борьба со следствием вместо причины. Или они думают, что кто-то в мессенджерах будет писать прямым текстом сообщения типа «завтра идем взрывать парламент в 15:00, собираемся у ларька с шаурмой»?
jetcar
31.05.2017 10:55разве это не бессмысленный закон, законопослушные граждане будут более открыты, а те кто хочет что-то натворить всё равно найдут способ скрыть свою переписку, за пару дней можно написать мессенджер с шифрованием и своим хостингом, но даже это не совсем нужно если можно писать плагины то текст можно на лету шифровать и отсылать через популярные мессенджеры, ну или клиент свой, а веб-апи от готовых мессенджеров.
если делать всё по уму то надо не за трафиком следить, а за самими устройствами, даёшь закон он обязательном наличие кейлоггера во всех электронных устройствах :D хотя даже это не поможет, только тупые попадутся
Labunsky