Карикатура: Сергей Ёлкин, DW

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.

Согласно законодательству, Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

Как говорит источник РБК, между «Яндексом» и ФСБ идёт дискуссия в юридической плоскости. В частности, юристы «Яндекса» считают «слишком широкой» трактовку «закона Яровой» сотрудниками ФСБ: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — сказал он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК.

Сессионные ключи шифруют только одно соединение между пользователем и сервером, в том числе логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке. Вероятно, именно это юристы называют «широкой трактовкой» закона.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис: «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно».

Один из собеседников РБК также добавил, что «Яндекс» озабочен своим имиджем в глазах пользователей. Компания беспокоится, что сотрудничество с ФСБ может привести к оттоку пользователей и потере доли на рынке: «ФСБ не принуждает к такому сотрудничеству иностранные компании, например Google, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — сказал собеседник.

Партнёр Центра цифровых прав Саркис Дарбинян считает позицию «Яндекса» довольно сильной в том смысле, что вряд ли ФСБ осмелится инициировать постоянную блокировку на территории России сервисов крупнейшей российской интернет-компании, но и у ФСБ есть рычаг давления, который спецслужба может использовать: «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — сказал он.

Филипп Кулин, автор канала «Эшер II», согласен, что данный слив, скорее всего, происходит от самого «Яндекса», который таким образом просит о помощи.

Версию о сливе от «Яндекса» выдвинула Александра Баязитова, автор канала «Адские бабки»: «Глупо сомневаться, что раньше Яндекс не работал с ФСБ. Конечно, работал, и по их требованию всё им раскрывал и давал допуски к нашим небольшим тайнам, — пишет она. — Но не надо быть профи в технических нюансах, чтобы понять: теперь ФСБ требует такое, утечку чего Яндекс не может потом скрыть. Одно дело — предоставить временный допуск товарища капитана к вашей почте, другое — отдать им возможность доступа к миллионам паролей от всех сервисов. В лучшем случае эти пароли просто окажутся в продаже на Савеловском рынке, а ваши неудачные фотки с Яндекс.Диска — в свободном доступе. В худшем — пойдёт волна краж с кошельков Яндекс.Денег, или блокировки устройств, которые привязаны к аккаунтам Яндекса… До сих пор Яндекс был, пожалуй, единственным реальным достижением российской экономики за двадцать лет. Как быстро его угробят?»

Канал Roem.ru напоминает, что Медведев ещё в 2018-м году запретил интернетчикам обсуждать их общение с ФСБ, так что Яндекс оказался в патовой ситуации: «Заверять владельцев email и данных в безопасности сервисов — необходимо. Но сложно одновременно и молчать и строить PR-оборону от подозрений в сливе данных».

Пресс-секретарь президента РФ отказался прокомментировать ситуацию вокруг «Яндекса» и ФСБ: «Это не тема Кремля все-таки, нужно интересоваться в Федеральной службе безопасности или в правительстве, но это не тема Администрации президента», — сказал Дмитрий Песков.

В реестр ОРИ на данный момент включено более 170 сервисов, в том числе Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и другие. В январе 2019 года в реестр включён сервис «Сбербанк Онлайн».

Комментарии (113)


  1. Tzimie
    04.06.2019 09:22
    +4

    По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров.


    В России 150м народу, минус дети пенсионеры итд, кто активно флудит наверное 30 миллионов. А ходатайств почти миллион, то есть каждый тридцатый.


    Если убрать из активно флудящих неинтересных ФСБ инстаграм-губки-уточкой, тугосерь и "мы покакали" и котиков, то будет наверное каждый первый


    1. inspector1985
      04.06.2019 10:27
      -1

      Что такое «тугосерь»?


      1. BlackMokona
        04.06.2019 10:39

        Маленькие дети


      1. MTyrz
        04.06.2019 10:45

        Тугосеря — ребёнок, отказывающийся от осуществления акта дефекации
        (Лурк)


        1. sim2q
          04.06.2019 17:41

          Спецслужбам будет в будущем о чём потом напомнить :)
          Так что не исключаем


          1. MTyrz
            05.06.2019 12:52

            О том, что в детстве были запоры О_О?
            Я не очень хорошо отношусь к спецслужбам, но не настолько же :)


      1. koshi-dono
        04.06.2019 12:30
        +4

        Развитая форма пузожителя.


        1. sumanai
          04.06.2019 23:40

          Или личиночная форма Homo Erectus, смотря с какой стороны посмотреть.


    1. Valerij56
      04.06.2019 11:08
      +2

      Если убрать из активно флудящих неинтересных ФСБ инстаграм-губки-уточкой, тугосерь и «мы покакали» и котиков, то будет наверное каждый первый
      А вы сомневались?


    1. leshakk
      04.06.2019 13:05

      Offtopic ON

      минус дети пенсионеры итд,

      Не надо недооценивать ни детей (начиная с младшего школьного возраста), ни пенсионеров.
      Времена, когда «энти ваши антарнеты» были «закрытым» клубом IT-шников уже давно прошли.
      И те и другие в большинстве своём (по крайней мере, в городах) уже давным-давно активно являются активными пользователями сети.


      1. Umpiro
        04.06.2019 16:18

        Если б вы знали чего мне стоило научить свою мать яндекс.транспорт пользоваться…


        1. leshakk
          04.06.2019 16:38

          Конечно, всё от человека зависит.

          Но в последнее десятилетие замечаю резкое увеличение людей в возрасте среди пользователей интернета. Может, на хабре это не так заметно, но скажем, в «дачных» группах фейсбука таких пользователей большинство.

          Полагаю, основными факторами снижения «порога вхождения» стали распространение относительно недорогих планшетов, фактически не нуждающихся в предварительной настройке (ввод пароля на WiFi не в счёт) и доступность мобильного интернета.


          1. NetBUG
            04.06.2019 21:14

            Здесь ещё вопрос в сущности «пользования».
            Я (и, наверное, Вы) начинали пользоваться Сетью, когда нужно было помнить названия нужных ресурсов, поиск информации был работой с неопределённым результатом, а эйфория от наличия DNS-имён вместо незапоминаемых IP-адресов ещё не прошла.

            Для современного человека пользование интернетом — это открытие приложения на телефоне, имеющего доступ к Сети; приложения часто ставятся и настраиваются кем-то другим.
            Опять же, сложность стека, обеспечивающего работу приложения, заметно увеличилась, и глубинное понимание, скажем, TCP/IP не нужно для 90% задач.


        1. NightGhost
          05.06.2019 00:56

          Ну а моя мать без проблем пользуется сервисами яндекса, букинга, кучей сервисов для путешествия, ну и т.п. Всё это всего лишь личный опыт.


    1. amimotogo
      04.06.2019 13:35

      и контроле их телефонных переговоров

      В России 150м народу, минус дети пенсионеры итд, кто активно флудит наверное 30 миллионов.

      Речь же не только об интернете.


      1. sim2q
        04.06.2019 17:44

        Думаю чуть в будущем и весь траффик с IoT и всю эту «гаджет обвязку» с индивида обяжут в отдавать. Ну я бы так сделал даже как инженер — конечно-же во благо, Сансаре Матрице нужно больше-больше сенсоров…


    1. SkyLineGTR
      04.06.2019 15:33

      Ждем появления маски-шоу по домам Волжа&Co, с последующей срочной продажей их долей Усманову, эммиграцией упомянутых в Нидерланды и появления Яндексграмма… ))


  1. General_Failure
    04.06.2019 09:32

    последствия неподчинения можно наблюдать на примере Telegram
    А что случилось с Telegram? Или это шутка такая?


    1. AllexIn
      04.06.2019 11:12
      +1

      Как что? Он стал популярнее среди активной части населения. И люди пользоваться VPN научились немного. Это также способствовало развитию и других механизмов обхода блокировок.


      1. General_Failure
        04.06.2019 11:14

        Да, но звучало ведь как угроза


      1. korzhof
        04.06.2019 18:34

        Мне сейчас пришла в голову замечательная мысль: государство учит нас плавать кидая на глубину без жилета — жизни учит и выживанию.


        1. MTyrz
          05.06.2019 12:56

          – Когда ты еще не принял монашества – как обходились с тобой иноки в обители?
          – Ну… – Змееныш замялся.
          Скрытый смысл вопроса был ему неясен.
          – Старшие братья учили меня жизни, – наконец нашелся он.
          – Учили жизни? Ты служил в армии? – удивленно нахмурился преподобный Бань. – Когда? Где?
          И Змееныш проклял свой язык.
          Г.Л. Олди, «Мессия очищает диск».


    1. FenixFly
      04.06.2019 11:13
      -4

      Ну долгое время в телегу было не зайти, приходилось искать бесплатные прокси, только недавно обнаружил, что телега работает без проксей. А десктоп клиент приходилось качать либо через тор, либо с левых сайтов.


      1. isbcc
        04.06.2019 12:54

        Не помню такого. Как работал, так и работает.


      1. General_Failure
        04.06.2019 14:34

        Прокси, vpn и т.п. помогало и помогает оставаться на связи, и не только в телеге. Ну а десктоп-клиент — случайно не пробовали в виндовом маркетплейсе поглядеть? По крайней мере в макоси (как и на мобилах) клиенты из сторов не пропадали.


      1. fur_habr
        04.06.2019 15:08

        Что-то не поняла зачем человека минусят? Он где-то соврал? Может немного преувеличил, но проблемы реально были и периодически остаются в регионах.
        То, что человек только недавно обнаружил, что работает без проксей — ну он же сказал, что он это недавно обнаружил, а не то, что так у всех.
        То, что сейчас всё работает, ну так напишите про свой опыт.

        либо с левых сайтов.
        Если причина минусов в этом — ну так напишите, что лучше не качать с левых сайтов.
        Видимо, я чего-то не понимаю в культуре комментирования на хабре.


        1. tcapb1
          05.06.2019 00:35
          +1

          Скажу как разработчик сервиса, который активно использует Telegram для рассылки уведомлений пользователям. Многие обычные пользователи не пережили блокировку. У кого-то до сих пор стоит старая версия Telegram, которая не защищена от блокировок, у кого-то — вообще альтернативный клиент, кто-то при блокировках поставил себе прокси, который затем умер, и так и не может зайти. У кого-то работает, но время от времени отваливается, соответственно уведомления вовремя не приходят.

          Поэтому не могу сказать, что блокировка Телеграму как слону дробина. Думаю, если бы не блокировка, аудитория у Телеги в РФ была бы сильно больше.


      1. sumanai
        04.06.2019 23:42

        Скачал с Windows Store, использовал без проксей. Что я делал не так?


  1. Javian
    04.06.2019 09:33

    Кто-то поверит, что какая-то компания официально признает факт передачи ключей?


    1. suharik
      04.06.2019 09:36

      Можно канарейку выпустить, только в наших реалиях придется ее долго искать, замаскированную до неприличия.


      1. okeld
        04.06.2019 10:19

        Только в ней смысла не будет, так как она не будет чирикать с самого начала. Даже до своего появления ей чирикать смысла не было.


  1. cyber_roach
    04.06.2019 09:37
    +1

    Яндекс чуть в более выигрышном положении, т.к. у Яндекса большая база корпоративных пользователей (почта для домена, облака и пр..).
    И это действительно будет «кошмар», но уже для властей, если бизнес будет проблемы испытывать из-за отвалившихся сервисов.
    Многим компаниям это не понравится, e-mail это корпоративный стандарт для всего и вся в РФ, одно дело личная переписка, и совсем другое корпоративная. Будет прецедент с Яндексом, значит под угрозой все остальные, вот и здравствуйте «удобные» облака.


    1. nanshakov
      04.06.2019 09:54

      С телеграммом тоже у бизнеса много отвалилось — и ничего.


      1. dilukhin
        04.06.2019 10:53

        Если порассуждать логически (с), то приняв за Y — капитализация Яндекса, T — Телеграма, O(T) — то, что отвалилось у бизнеса в случае с Телеграмом, то можно оценить O(Y) (то есть то, что отвалится у бизнеса в случае с Яндексом) как O(T) * Y / T. Как думаете, тоже будет ничего?


        1. pavelpromin
          04.06.2019 10:56
          +4

          Аналитика от бога))


      1. vanxant
        04.06.2019 21:58

        Ну вот не надо сравнивать мыло и телегу, при всём уважении к Дурову там три порядка разницы.


        1. vics001
          05.06.2019 00:06
          +1

          Отвалившийся пользователь от Телеги прямой прибыли не приносит, а от Yandex очень даже. Учитывая, что Телега хочет быть международной и теряло 10%, оно может позволить играть в игры с Роскомнадзором, сможет ли Yandex хотя бы 1 месяц — это вопрос.


    1. remzalp
      04.06.2019 10:18

      Amazon тоже накрывало, пока телеграмм гоняли, бизнес страдал.


      1. ZetaTetra
        04.06.2019 23:11
        +1

        Бизнес уже давно прикупил корпоративных VPN'ов. Вообще, эта война с интернетом сильно подстегнула бизнес связанный с VPN'ами, жалко только что не в Россию деньги идут, а в Европу, Штаты и пр.


    1. POS_troi
      04.06.2019 10:26

      Госам по большей части наплевать, они прикроются «средства направленные на обеспечение нац.безопасности» и всё, а учитывая что большей части, легче дотянутся до яндекса чем до ФСБ, то яндекс отхватит все последствия в одно лицо.
      А кто решит погнать на гос. тому 30к штрафа :)


    1. inspector1985
      04.06.2019 10:31

      Вы действительно думаете, что у «властей» будет «кошмар», если пострадает бизнес? Мы сейчас, думаю, оба говорим про российскую федэрацию, а это не либертарианская страна, и в ней «власти» беспокоятся только о *собственном бизнесе*, а не о том, где у них нет доли. Вспомните, какие решения принимаются в области мясного импорта, субсидии и отдельные квоты для мираторга (если на пальцах упрощенно: останкинский мясокомбинат может импортировать 1 кг говядины, а мираторг — 18 кг), или отъемы портов, кошмары Миракс групп, Евросеть и т.д. Решения принимаются без оглядки на бизнес, или наоборот — с оглядкой *на свой бизнес*.


      1. vanxant
        04.06.2019 21:59

        Так свой бизнес тоже накроет. Тот же Яндекс плотно дружит со Сбером.


    1. q2digger
      04.06.2019 10:36

      мне кажется, что принимающие законы «яровых» и прочие нормативные акты аналогичного содержимого, плевать хотели на бизнесы и яндексы. их кормушка лежит в другой сфере экономики. надо будет прижать яндекс — прижмут, даже на минуточку не задумаются о последствиях.


    1. kaleman
      04.06.2019 10:58
      +1

      Наоборот в худшем положении. Он в РФ а значит в их власти. Можно устроить маски-шоу с изъятием серверов, ноутбуков, телефонов и вообще всего мало-мальски ценного. Просто блокировать работу компании. Яндекс безусловно выдаст ключи шифрования, а вся шумиха нужна только для того чтобы показать: «Мы пытались бороться, но не смогли..»


      1. bano-notit
        04.06.2019 20:26

        Можно узнать с каких это пор Яндекс в РФ?)


        1. Whuthering
          04.06.2019 22:44
          +2

          Пусть родительская компания у них в Нидерландах, но основная команда разработчиков, и, что гораздо важнее, основной рынок и следовательно основной источник доходов у них в РФ.


      1. Bombus
        04.06.2019 20:44
        +2

        Предположу, что вначале нагнут Яндекс, который будет в итоге передавать сессионные ключи (могут простимулировать или вынудить продать бизнес какому-нибудь Усманову). После этого, когда на рынке останется сильный подконтрольный игрок, можно будет уже попросить предоставить сессионные ключи от Google, и если он откажется, то власть может отказаться от Googlе'а.
        Еще один важный момент Сбербанк-Онлайн тоже входит в ОРИ (Реестр организаторов распространителей информации). И если он тоже предоставляет сессионные ключи, то считай логины/пароли от личных кабинетов доступны для ФСБ открытым текстом.
        И это все для чего? Особенно учитывая то, что Яндекс и так предоставляет данные по запросу. Тут явно не борьба с терроризмом.


        1. ibrin
          05.06.2019 04:36

          А разве нельзя сделать так, чтобы сессионный ключ становился бесполезным по окончании сессии?


          1. Whuthering
            05.06.2019 08:33

            Смотря что вы понимаете под "становился бесполезным". С одной стороны, следующую сессию "на лету" вы им уже не расшифруете, на то он и сессионный, и он действительно в этом плане станет бесполезным.
            С другой стороны, если данные переданные в прошедшей сессии уже записаны (см. пакет Яровой), то сессионный ключ от нее для расшифровки окажется очень полезным, и ничего с этим уже не сделать.


    1. tcapb1
      05.06.2019 00:41

      Яндекс это уже проходил, но не с российскими пользователями, а с украинскими. Насколько мне известно, на Украине Яндекс до сих пор заблокирован. На Украине эффективность блокировок сильно ниже, чем у нас, однако многие сайты и сервисы пострадали. Перестала работать Метрика, Яндекс карты на сайтах и т.д. Однако бизнес как-то пережил. И у нас переживёт. Куча всего поотваливается, будут огромные издержки, однако со временем перейдёт на альтернативные сервисы.

      Другое дело, что заниматься бизнесом и пилить веб-сервисы, зная что в любой момент либо тебя, либо сервис от которого ты зависишь могут заблокировать (и ведь не просчитать никак! это может быть Телеграм, Яндекс, Гугл, Фэйсбук, что угодно. И как правило внезапно) — это весьма такое. Трижды подумаешь перед тем, как начинать в России новый веб-проект.


  1. EvilGenius18
    04.06.2019 09:54
    +5

    Почему же заголовок не совпадает с текстом статьи?

    Заголовок:

    РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования

    Текст:
    Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

    По закону они как раз обязаны хранить и передавать все данные, раз уж подчиняются закону Яровой (поскольку они не заблокированы в РФ).

    Если бы они действительно не передавали информацию и защищали права граждан, они бы громко об этом заявляли при любой возможности, а не отказывались бы от комментариев, пытаясь замять не удобные вопросы


    1. Desiderio
      04.06.2019 12:47

      Этот «отказ представителя отвечать» — это и есть та самая канарейка?


    1. x67
      04.06.2019 14:26

      Не путайте информацию и ключи шифрования. В случае информации, фсб необходимо сформировать запрос на получение инфы. А ключи дают возможность выключить яндекс полностью и по сути качать все необходимое без оглядки на законные процедуры.
      Идеальным (но осуществимым) разрешением конфликта вижу создание специальных апи или сервисов, в которых у фсб будет возможность ограниченно смотреть необходимую им инфу. А не когда они могут "скачать яндекс" и продать его на черном рынке.
      Но для этого нужны компетентные люди по обе стороны, готовые решать проблему с оглядкой на права человека и возможность появления новых проблем в следствии некомпетентных или халатных решений.


  1. pavelpromin
    04.06.2019 09:57
    +1

    Подскажите альтернативы почты для домена кроме GSuit, Mailru и селфхостинга?!


    1. q2digger
      04.06.2019 10:18
      +1

      За денежку — www.fastmail.com


      1. suharik
        04.06.2019 10:27

        1. q2digger
          04.06.2019 10:32

          ну и что, в первоначальном запросе не было пункта «и чтобы меня правительство Австралии не читало».


          1. suharik
            04.06.2019 14:54

            Считаете, что они не сотрудничают и Интерпол в обеих странах просто так кресла занимает? Все будет зависеть от того, какие грехи навесят наши, местные, при обосновании запроса о разглашении переписки. Ищите почтовый сервис в стране, которая не имеет дел со Скрепляндией.


    1. iSlayer
      04.06.2019 10:31

      Zoho


    1. dmitrmax
      04.06.2019 10:33
      +1

      Zoho, Microsoft и т.д. Только зачем? Как только они станут популярны, их опять возьмут за жопу таким же способом. Селфхостинг и зимбра. Или что-нибудь аналогичное.


      1. kaman
        04.06.2019 11:25

        Если будут массовые селфхостинги (в виде продажи готовых контейнеров, например) — возьмут и их за это самое. Обязав провайдеров стучать на клиентов, пользующихся ssh, как один из вариантов.


        1. dmitrmax
          04.06.2019 11:32

          Ну будут стучать и что? Пользоваться ssh не запрещено. Дальше, что? Требовать лично у вас предоставить свои ключи? Основной момент, который нужен ФСБ — это не нагнуть лично вас, чтобы вы выдали свои ключи, а наблюдать за вами негласно, чтобы вы не знали, что конкретно вами интересуются.


          1. namikiri
            04.06.2019 11:46

            Пользоваться ssh не запрещено.

            Запретят. Или обяжут настраивать серверы так, чтобы был общий, сертифицированный(tm) алгоритм шифрования и дубликат ключа у тащмайора.


            1. dmitrmax
              04.06.2019 12:01

              Будем использовать ssh с рандомной дополнительной сигнатурой переменной длины в начале пакета, чтобы обламать все DPI и прочее. Тут можно только запретить интернет.


              1. tbl
                04.06.2019 12:10
                +1

                Или запретить рандомные пакеты, а разрешить только те, что в установленной форме, согласованной тащмайором


                1. dmitrmax
                  04.06.2019 12:20
                  +1

                  Если согласовывать протоколы вплоть до application уровня, то это примерно то же самое, что запретить интернет.


                  1. tbl
                    04.06.2019 12:29

                    Ну, кстати, Мегафон уже таким занимается: используемое ими решение DPI рубит пакеты SPDY (предшественник HTTPS/2), пришедшие по трансграничным линкам.


          1. alekseymarkov75
            04.06.2019 13:35

            Основной момент, который мы наблюдаем в данный момент — очередной раз создать миф о вездесущих органах. Это — не более чем мыльный пузырь.


            1. nadoelo
              05.06.2019 08:34

              органы больше всего заинтересованы в усыплении бдительности граждан


    1. Jeka_M3
      04.06.2019 17:07

      Подскажите альтернативы почты для домена кроме GSuit, Mailru и селфхостинга?!
      Швейцарская компания ProtonMail вроде что-то предлагает для бизнеса.


    1. Jipok
      04.06.2019 19:34

      Недавно нашёл хороший список почтовиков: dismail.de/serverlist.html
      Так же у самого dismail.de можно зарегистрировать почту.
      Сам я давно использую cock.li. Там большой список доменов на выбор. Названия конечно странные, но в остальном всё замечательно. Единственный проблемный случай — это сейчас при регистрации на хабре. Решил таки зарегистрироваться после стольких лет чтения, но хабр не принял ящики с airmail.cc и firemail.cc


    1. sumanai
      04.06.2019 23:45

      селфхостинга

      Самый надёжный вариант же, если домен заграничный.


  1. q2digger
    04.06.2019 10:16

    мм… вопрос от неспециалиста в SSL. а каким образом можно реализовать хранение сеансовых ключей SSL (ага и их последующую выдачу)?
    Я верно понимаю, что сеансовый ключ генерится на время сеанса между конкретным клиентом и сервером, и после завершения сессии «протухает»?


    1. remzalp
      04.06.2019 10:20

      Просто его надо аккуратно сохранять в БД с пометкой — когда и кому такой был сгенерён. Потом берём из пакета Яровой запись трафика, складываем с сессионным ключом из предоставленной БД. Profit!


      1. q2digger
        04.06.2019 10:23

        Ну… не уверен что так просто. Разве Яндекс должен хранить наш трафик согласно пакета Яровой? Или он (пакет) относится к операторам?


        1. remzalp
          04.06.2019 10:25

          Обязанность предоставлять ключи есть, из этого немного нелогично следует обязанность их хранить (чтобы предоставить) срок примерно похожий на срок хранения трафика другими участниками


          1. q2digger
            04.06.2019 11:55

            да, я понимаю это. у меня всеже вопрос несколько более практический.
            у меня есть сервис, nginx letsencrypt вот это все. каким образом я, как администратор этого сервиса могу организовать хранение сессионных ключей?
            это кого надо ковырять — nginx или строить еще какой то, прости господи, mitm между сервером и клиентами?


            1. remzalp
              04.06.2019 12:12

              1. Встречал рецепты для браузеров Chrome/Firefox, чтобы они сохраняли сессионные ключи в текстовый файл для анализа HTTPS трафика в Wireshark. Подозреваю для Nginx и аналогов такое или легко допиливается или уже даже встроено (про Nginx навскидку не нашел)

              2. Плох в криптографии, но буквально комментом ниже есть ветка, где идёт обсуждение, что достаточно отдать приватный ключ Яндекса и всем будет хорошо.
              habr.com/ru/news/t/454692/#comment_20240532

              Но и там сводится к тому, что если отдать приватный ключ — то в будущем задача облегчится. А вот если отдать старые сессионные ключи, то и к прошлому трафику можно легко применять анализ.


              1. q2digger
                04.06.2019 12:14

                спасибо за п.1, погуглю, это уже чтото.


    1. okeld
      04.06.2019 10:28

      Шифрование в вебе (до SSL v3) осуществляется с помощью асимметричной криптографии, когда у клиента есть

      1. сертификат удостоверяющего центра, (он проверяет подпись у открытой части пары, отправляемой сервером), который зашит в ОС или браузер,
      2. а также у провайдера (в нашем случае Яндекса) есть приватный ключ, который и нужен ФСБ,
      так как после его получения можно будет перехватить момент обмена ключа симметричного шифрования (сеансового), которое уже используется за счёт более быстрого процесса шифрования данных и меньшего их объёма, что критично при передаче по сети


      1. dmitrmax
        04.06.2019 10:40
        +1

        Из какого года вы нам пишете? en.wikipedia.org/wiki/Forward_secrecy


        1. okeld
          04.06.2019 10:46

          Спасибо, подправил комментарий, не знал, что уже в SSLv3 ввели эти протоколы. Тогда возможно Вы можете пояснить: насколько я понимаю, если у ФСБ будет возможность получить приватный ключ TLS сертификата, то они смогут получить всю цепочку генерируемых ключей, в том числе и долговременных ключей, что даст им возможность читать переписку/смотреть файлы/историю поиска и т.п.?


          1. dmitrmax
            04.06.2019 11:08

            уже в SSLv3


            Нет, всё-таки из какого года вы нам пишете? )) У нас уже TLS 1.3, в котором пропагандируется отказ от алгоритмов без PFS.

            если у ФСБ будет возможность получить приватный ключ TLS сертификата, то они смогут получить всю цепочку генерируемых ключей

            Асимметричные ключи в настоящий момент модно использовать только для того, чтобы понять, что сервер, к которому вы подключились по TLS, принадлежит тому, кому принадлежит домен. Выработка сессионных ключей осуществляется алгоритмом Diffie-Hellman'а (одной из разновидностей). Таким образом, если у ФСБ будет возможность получить приватный ключ сервера, то они смогут сделать атаку MITM и с этого момента иметь все сессионные ключи. Но это слишком хлопотно. Поэтому они хотят тупо сессионные ключи. Если нету атаку MITM, но есть приватный ключ, то это ничем не поможет.


            1. okeld
              04.06.2019 11:31

              Спасибо за пояснение! Действительно, до MITM атак под компании они вряд ли дойдут, но вот законодательно заставить внедрить корневой сертификат на устройства могут заставить, ведь заморачиваться с требованием сессионных ключей у каждого оператора ПД они тоже вряд ли начнут.


            1. vibornoff
              04.06.2019 11:32

              Ну попросят сессионные ключи. Тоже мне проблема. CloudFlare'ы всякие так и работают: делегируют TLS handshake серверу клиента, получают сессионные ключи и дальше с ними работают.

              Яйцеголовые специалисты от мира криптографии утверждают, будто невозможно доказать, что сессионный ключ был создан с использованием наперёд выбранного сертификата, а следовательно оба участника обмена информацией могут пойти в отказ и сказать что «не, это не наша сессия, вы всё сами выдумали».

              Но мы то знаем, что вопрос лежит в юридической плоскости. Будет сертификат-лицензия какая-нибудь на сервер хранения сеансовых ключей и закон-постановление из серии «что хранится в этой железяке, аз есмь истина в последней инстанции».


              1. dmitrmax
                04.06.2019 11:58

                > Ну попросят сессионные ключи. Тоже мне проблема.

                Вы точно прочитали начало этого треда, в котором ставился вопрос (на самом деле несколько иначе, но по сути так) почему уже просят именно сессионные ключи, а не приватные?


                1. vibornoff
                  04.06.2019 12:09

                  Потому что, сюрприз, от приватных нет практически никакой пользы. Городить глобальный MITM нашим правоохранителям не с руки, да и городилка не выросла.
                  А вот застравить других, у кого руки откуда надо растут, сделать «красиво» — это запросто.


  1. achekalin
    04.06.2019 10:20

    Ну да, и не соглашался еще номинальные две минуты?


  1. trueMoRoZ
    04.06.2019 10:29

    А вот ещё есть государственный sputnik, которому яндекс вроде как конкурент. А давайте зажмём яндекс и принудительно заставим всех пересесть на сервисы спутника. Чем не бизнес план для серьёзных мужчин?



  1. hippohood
    04.06.2019 10:36

    Хорошо сейчас напомнить о смеху#чках связанных с пакетом Яровой: " хаха, какой смысл хранить трафик защищённой сессии".
    Есть смысл, как видим: все серверы будут хранить сессионные ключи и будут выдавать по первому зову (скорее всего, будут просто записываться через СОРМ). Те кто не будут — рано или поздно перестанут быть доступны с территории России.
    На любые возражения на тему что это будет дорого, неудобно, не мешает преступникам и ударит по бизнесу можно отвечать: "Да, ну и что?"


    1. pvsur
      04.06.2019 12:28

      Рано или поздно весь интересный бизнес уйдет из РФ при таком раскладе, останутся только интернет-магазины АКИТ и Госуслуги… Как в Казахстане, к примеру,…


  1. saipr
    04.06.2019 11:24

    Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке.

    Отсюда следует, что сотрудники Яндекса имеют такой доступ. И дай бог, чтобы и последующем не пришлось обсуждать, что кто-то из них слил эту информацию.


  1. middle
    04.06.2019 11:39
    -2

    Сначала Телеграм отказался. Потом VPN-сервисы. Потом Яндекс. Пацаки совсем чатланам на голову сели!


  1. sergeyns
    04.06.2019 11:56

    Вау! Значит ли это что у Яндекса есть крыша, более мощная чем «товарищъ майор»?


  1. alz72
    04.06.2019 12:34

    Я так подозреваю что у Яндекса пока просто не реализовано ПО которое сессионные ключи может сохранять, ибо никто в здравом уме их не хранит ( а зачем ??? ).Простейшее решение — ssl плагин от Wireshark — но я так подозреваю что он не совсем подходит, ибо тормоза он точно обеспечит ...


    1. tbl
      04.06.2019 12:44

      Думаю, с их траффиком, у них железные http/https-балансеры, а это не про "ПО переписать".


      1. alz72
        04.06.2019 12:49

        ну на железках тоже ПО крутится — правда тогда это уже ПО совсем не Яндекса ...


        1. tbl
          04.06.2019 13:20

          Если ПО на них есть, то это больше про диагностику и настройку оборудования, а сам траф обычно через FPGA/ASIC гонится (алгоритмы шифрования затачиваются под то, чтобы их в железе было удобно реализовывать)


  1. jia3ep
    04.06.2019 12:49

    У меня только один вопрос — о чем эта новость? Варианты ответа:
    1. Это пиар акция Яндекса, который типа стоит на защите данных пользователей и не отдает их ключи. Как попытка реабилитироваться после отчета RDR.
    2. Яндекс хочет привлечь внимание общественности, чтобы не городить механизм хранения сессионных ключей, т.к. это лишние затраты.
    3. Все нужные ключи уже давно отдали. А это слив инфы от (не)правильно информированных сотрудников.
    4. Яндекс работает по HTTP («работает в полном соответствии с действующим законодательством»), а шифрованием занимается голландский CDN — вот к ним и обращайтесь.
    5. Свой вариант.


    1. ffs
      04.06.2019 14:06

      Публичная канарейка


  1. decomeron
    04.06.2019 12:54

    Не значит ли это, что скоро вопрос « Тебя что в Яндексе забанили?» будет актуален?


  1. YetAnotherSlava
    04.06.2019 12:55

    А не врёт ли Яндекс?


    1. tbl
      04.06.2019 13:08

      Тут пишут, что таким образом просит защиты, либо предупреждает, что данные могут утечь


    1. FreeBa
      04.06.2019 13:37

      Скорее всего яндекс эти самые ключи просто не сохранял. Сейчас допилят софт и начнут сотрудничать. Деваться им некуда.

      А новость так — чистый пиар.


  1. alecv
    04.06.2019 13:37

    У яндекса сертификат от поляков (т.е. страны NATO). Вполне возможно, что его просто отзовут, как скомпроментированный. И так много раз.

    Certificate chain
    0 s:/C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russia/CN=yandex.ru
    i:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
    1 s:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
    i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
    2 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
    i:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CA


  1. Scf
    04.06.2019 15:11

    Инициирует-не инициирует. Яндекс расположен в РФ, поэтому можно и штраф выписать, и конкретных ответственных найти.


    Гугл проиграл борьбу с ФБР, яндекс ждет та же судьба.


  1. dominigato
    04.06.2019 16:29

    Жаль Яндекс, был одним из редких примеров построения настоящего бизнеса с нуля и без воровства с распилами. Теперь ФСБ уже не отстанет, Яндекс лишится некоторой части сознательных пользователей и некоторых корпоративных клиентов, которым дорога приватность.
    Основная масса пикабушников и прочих "мне нечего скрывать" все захавает или даже не заметит.


  1. Eldhenn
    04.06.2019 18:37

    Яндекс вроде уже сказал, что работает в полном соответствии, и предоставит всё что требуется, но это будет совсем не больно для пользователей.


    1. dim2r
      04.06.2019 19:35

      Решили попиариться на сессионных ключах.
      Все остальное видимо давно сдали в СОРМ.


  1. shalm
    04.06.2019 19:13

    Вроде бы сегодня не первое апреля, к чему такие новости, всё равно никто не поверит.


  1. glowingsword
    04.06.2019 20:38
    +1

    У них ещё и шифрование есть? :)

    А я то думал, что они данные в не шифрованном виде хранят, что почту, что файлы на Диске… Так хранить дешевле и проще. В любом случае, конфиденциальные данные доверять Яндексу и Google — себя не уважать. Шифруете, потом на диск сохраняете. А не конфеденциальные, вроде фоточек с отдыха — пусть смотрим себе товарищ майор, смотрит и завидует.

    В любом случае, позиция Яндекс заслуживает уважения. Они понимают, насколько важно не перегибать палку и беречь репутацию. В бывшем СНГ это мало кто понимает. Чувствуется, что за ребятами стоит кто-то с западным менталитетом.


  1. KodyWiremane
    05.06.2019 00:18
    +1

    А если к сервисам Яндекса из-за рубежа коннектиться, трафик в Россию доходит, или где-нибудь в Европах приземляется?