Nacho Doce / REUTERS
Яких популярних сервісів формально торкнеться закон?
Закон торкнеться всіх українських компаній, які так чи інакше пов'язані з передачею і зберіганням інформації. Це оператори стільникового зв'язку, інтернет-провайдери, інтернет-компанії: від Tele2, про чиє існування не знають профільні сенатори, до пошти Mail.ru, знайомої кожному. Будь-який бізнес, який визнають організатором поширення інформації.
Яке шифрування використовується в повсякденних засобах спілкування і як воно працює?
Електронні листи найчастіше передаються в незашифрованому вигляді, але іноді - по зашифрованих каналах. При цьому для зберігання на сервері повідомлення шифруються. Але вУкаіни використання неліцензованих коштів криптографії заборонено, значить, спецслужби цілком можуть отримати до них доступ через СОРМ-3. Це стосується всіх українських сервісів, а на закордонні ніяк не впливає.
У месенджерах все підходять до цього питання по-різному. Скажімо, Telegram зберігає чати на сервері, це дозволяє синхронізувати інформацію в додатку між декількома пристроями. Таке рішення виправдане заради зручності. Але будь-який зручність - вразливість.
Секретні чати Telegram не зберігаються на сервері, там застосовується шифрування end-to-end (англ .. від одного кінця до іншого; як і в WhatsApp, iMessage, Signal). Тобто ключ генерується на абонентських пристроях при кожній розмові. Це робить безглуздими спроби зробити врізку між співрозмовниками і підслухати. Якщо не вдаватися в подробиці, секретні чати в Telegram і вже тим більше в Google Hangouts найбільш безпечні. Google, наприклад, відразу попереджає про підозрілі дії, іноді навіть вказуючи. що злом намагаються здійснити хакери, за якими можуть стояти державна влада.
У якому вигляді і де зберігаються ключі в цих сервісах?
Треба розуміти, що ключ шифрування і пароль - не одне й те саме. Пароль використовується, щоб визначити, що в систему входить саме зареєстрований користувач. Ключ - один з елементів алгоритму шифрування вже всередині системи, ніяк не пов'язаний з паролем. І звичайно паролі не зберігається у відкритому вигляді, вони теж окремо зашифровані.
Ключі, як описано вище, в секретних чатах знаходяться в пристроях користувачів. У зворотному випадку, якщо повідомлення зберігаються в зашифрованому вигляді на сервері, там же зберігаються і ключі. Але це не завжди полегшує доступ до інформації без ідентифікації абонента. Наприклад, «злом iCloud», коли витікали фотографії знаменитостей, був все-таки підбором пароля. Ніхто не зламував шифрування Apple.
Важливіше не те, де зберігаються дані, а то, що в більшості випадків доступ до зашифрованої інформації отримати не можна. Якщо, наприклад, дані вдалося перехопити, то на злом підуть роки, навіть у потужного комп'ютера.
Чи може власник сервісу або провайдер сам дістати ключ і розшифрувати повідомлення?
Ні. Отримати доступ в більшості випадків може тільки сам власник даних. Якщо сервіс правильно вибудував систему безпеки, то можна піти тільки традиційним шляхом - поміняти пароль і ввійти під виглядом користувача. Але і там є свої нюанси. В цілому, так як наших особистих даних в Мережі стало багато: від пошти і фотографій до медичної карти і показників трекера, - вони стали добре захищатися. Адже, по суті, поведінка спецслужб складно відрізнити від поведінки кіберзлочинців.
Якщо сервіс відмовиться давати ключі, то як буде виглядати його блокування, щоб провайдеру не довелося платити штраф?
Потрібно спостерігати за реальною практикою застосування закону. Якщо мова йде про регіональний провайдера, то до блокування, швидше за все, не дійде - такі компанії будуть шукати діалог зі спецслужбами або прощатися з бізнесом на користь інших гравців. У зарубіжних сервісів є два шляхи. Або піти назустріч і зберегти обличчя Роскомнадзор, як це робить умовний Viber, який відразу переніс персональні дані Украінан в Україні. Або просто мовчки не дотримуватися закон.
Чи можна буде обійти таке блокування і як?
У законі ніде не сказано, що подібні сервіси будуть блокуватися на терріторііУкаіни. А говорячи про українських сервісах, єдиний спосіб обійти блокування - виконати вимоги і пару раз сходити на уклін до контролюючих органів - там пояснять, що робити.
Чи зможуть сервіси або провайдери придумати механізм, щоб в Рунеті їх дані шифрувалися не так, як в іншому світі?
Кількість зашифрованої інформації зростає, в багатьох випадках її розшифровка неможлива або безглузда. Особливий український шлях можливий тільки всередині органів державної влади і належать державі компанії. Тобто за межами Держдуми і "Ростелекома" світ все також підпорядковується земним законам. Історії про суверенний інтернет до реальності ніякого відношення не мають.
Створити окрему базу всіх повідомлень, які відправили ізУкаіни або отримали вУкаіни, щоб потім віддати ключ від цієї бази ФСБ, просто неможливо.