Яндекс отказалась предоставить ФСБ ключи шифрования

Яндекс отказалась предоставить ФСБ ключи шифрования

Подобный отказ в свое время привел к блокировке Telegram. ФСБ запросила ключи от Яндекс.Диска и Яндекс.Почты, но они могут дать доступ к паролям всей экосистемы Яндекс. Компания отказалась их
предоставить.

Требование было направлено в Яндекс несколько месяцев назад. Несмотря на то, что по закону на это отводится не более 10 дней, компания так и не сделала этого до сих пор.

Так как Яндекс.Диск и Яндекс.Почта являются интернет площадками, на которых пользователи могут обмениваться сообщениями, они находятся в ОРИ. А значит обязаны подчиняться так называемому закону
Яровой. В нем говорится о том, что ФСБ может потребовать передать любую информацию, необходимую для декодирования как получаемых, так и передаваемых, доставляемых и (или) обрабатываемых электронных
сообщений пользователей интернета.

ФСБ отказалась от комментариев и не объяснила, с чем связано такое внимание.

Представитель Яндекс заявил, что компания действует в рамках действующего законодательства, но отказался подтверждать, что в ответ на требование ключи не были переданы.

Как сообщает источник, Яндекс считает, что ФСБ слишком широко трактует данную норму закона. Получив сессионные ключи, служба получит доступ не только к сообщениям почты. Это позволит ей
анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам Яндекса. К тому же это плохо скажется на безопасности.

Что именно требует ФСБ?

Сессионные ключи. Они используются только для одной сессии соединения между пользователем и сервером. В случае с Яндекс.Почтой он вырабатывается только когда человек заходит на mail.yandex. Срок
окончания его действия зависит от настроек: это может быть момент, когда пользователь закрыл вкладку с почтой, или браузер, или вообще выключил устройство. Этим ключом шифруются не только сообщения
пользователя, но и все метаданные. Сама идея состоит в его несохраняемости, а требование заключается в том, чтобы его хранить.

Алексей Лукацкий заметил, что Яндекс использует систему Single Sign-On. Это значит, что повторная аутентификация на других сервисах компании не нужна, когда он уже вошел в почту. Если при переходах
ключи шифрования не меняются, то это может вылиться в открытие данных в этих сервисах.

Леонид Евдокимов также отметил, что на том же Яндекс.Диск таким образом можно проанализировать поведение пользователя, посмотрев, какие файлы он скачивал.

Так как отказ предоставить ключи – это нарушение законодательства, ФСБ должна будет составить протокол об административном правонарушении. В случае решения суда в пользу ФСБ, Яндекс получит штраф в
размере до 1 млн руб. Если и это не подействует, в дело вступит Роскомнадзор. В теории он может потребовать блокировки сервиса на территории России. В законе прямо не указаны полномочия
Роскомнадзора и ФСБ в данной ситуации.

 

Источник: http://www.it-world.ru/it-news/security/145907.html