ФСБ опубликовала приказ, по которому интернет-площадки предоставят ей ключи для расшифровки сообщений своих пользователей в соответствии с законом. При получении письменного запроса компании будут обязаны отправлять в ФСБ ключи шифрования на магнитном диске по обычной почте или дать прямой доступ ФСБ к IT-системам с данной информацией, а в случае отказа могут быть оштрафованы на 1 млн руб.
Согласно тексту приказа, появившемуся на сайте publication.pravo.gov.ru, организаторы распространения информации — физические и юридические лица, владеющие интернет-площадками, позволяющими отправлять электронные сообщения,— будут предоставлять ФСБ ключи шифрования после получения письменного запроса от организационно-аналитического управления научно-технической службы ФСБ. Запрос будет направляться заказным почтовым отправлением с уведомлением о вручении, в его тексте будут указаны формат предоставления данных и адрес, по которому их нужно отправить. Компании должны будут передать информацию для декодирования сообщений в ФСБ на магнитном носителе по почте и в форме электронного сообщения по e-mail или по согласованию с ФСБ организовать доступ уполномоченного подразделения ФСБ к информации для декодирования.
С 20 июля интернет-компании обязаны передавать ключи для дешифровки по требованию ФСБ под угрозой штрафов: до 5 тыс. руб. для граждан, до 50 тыс. руб. для должностных лиц и до 1 млн руб. для юрлиц. Такая норма появилась в антитеррористическом пакете депутата Ирины Яровой и сенатора Виктора Озерова, подписанного Владимиром Путиным 6 июля. У ряда интернет-компаний были вопросы к механизму передачи ключей шифрования, но вчера опрошенные "Ъ" игроки не стали комментировать приказ. Вместе с тем за отмену "пакета Яровой--Озерова" высказались на сайте "Российской общественной инициативы" уже более 100 тыс. человек.
"Ключи шифрования, которые нужны ФСБ для декодирования сообщений,— это просто набор идущих подряд символов. Несколько лет назад проводился эксперимент, в ходе которого 60 тыс. компьютеров по всему миру одновременно пытались подобрать ключ длиной 57 бит, на это им понадобилось три года. Сейчас чаще всего для шифрования используются ключи длиной 128 и 256 бит, и взломать их невозможно, поэтому ФСБ и нужно, чтобы их сдавали добровольно",— объясняет заместитель гендиректора Zecurion Александр Ковалев. Он полагает, что онлайн-сервисы, которые находятся вне российской юрисдикции, пойдут навстречу российским властям в случаях, когда речь идет о борьбе с терроризмом или наркоторговлей. "Они, может, и не дадут сами ключи, но доступ к уже расшифрованной переписке при расследовании каких-то серьезных преступлений дать могут. Многие сервисы, конечно, декларируют, что используют end-to-end-шифрование, в рамках которого ключи хранятся только на устройствах конечных пользователей. По факту, раз сервис инициирует выдачу ключа, значит, он у него тоже есть",— рассуждает господин Ковалев.
Куратор рабочей группы "Связь и информационные технологии" экспертного совета при правительстве Ирина Левова отмечает, что приказ ФСБ касается широкого круга граждан, а значит, сначала должен был пройти этап общественного обсуждения на портале regulation.gov.ru. "Теоретически иностранные, да и отечественные сервисы, получив такой запрос, могут сослаться на ст. 23 Конституции РФ, согласно которой ограничение тайны связи возможно только по решению суда, хотя по "закону Яровой" этого решения не нужно. Так что тут есть правовая коллизия",— рассуждает госпожа Левова.
Собеседник "Ъ" на рынке информбезопасности отмечает, что, согласно ГОСТ 28147-89 о симметричном шифровании, информация должна храниться на магнитных носителях. У ФСБ есть и другие каналы получения доступа к переписке интернет-пользователей, отмечает он. "В структуре ФСБ работает центр реагирования на компьютерные инциденты GOV-CERT, который взаимодействует с CERT других спецслужб по всему миру и в рамках этой работы может запрашивать данные по переписке пользователей. А уж своим спецслужбам иностранные интернет-сервисы доступ к переписке дают",— указывает собеседник "Ъ".