Краткое резюме про то, чем пока обернулся «сбор ключей шифрования».
И немножечко отделения мух от котлет.

1. Вышел приказ ФСБ, утверждающий «порядок предоставления организаторами распространения информации (ОРИ) информации, необходимой для декодирования сообщений», сам порядок крайне лаконичен (6 пунктов на полутора страницах) и ни на один вопрос не отвечает.

2. Важно понимать, что он не относится к провайдерам. Провайдеры — не ОРИ. Провайдеры и сейчас весь трафик собирают и передают в ФСБ в рамках СОРМ-3; сейчас хранится весь трафик за 12 часов, по «закону Яровой» будет храниться весь трафик за более длительное время, но пофиг — сейчас примерно 50% трафика это шифрованный https-трафик, его доля стремительно растет, сделать с ним ничего не могут ни провайдеры, ни ФСБ, которое его собирает: https шифруется между абонентом и сервисом, с которым он взаимодействует, в канале связи между ними данные никак не расшифровать (оставим за скобками ряд специальных случаев и весь MitM; это предмет отдельного поста).

3. Важно понимать, что он не относится и к мессенджерам. Потому что и мессенджеры — не ОРИ. Теоретически можно себе представить, как ФСБ запрашивает заказным письмом у условного Вайбера ключи конретных пользователей, а Вайбер, не уведомляя пользователей, присылает в ФСБ эти ключи, и пока пользователи, ничего не подозревая, обмениваются планами взрыва Кремля, ФСБ эти планы читает. Особенно легко это представить в отношении сервисов, где нет end-to-end шифрования, а есть шифрование только от пользователя до сервиса, но в принципе и про end-to-end можно представить не особо напрягаясь: рядовой пользователь же и не знает, откуда у него ключи берутся — генерируются на устройстве, или присланы сервисом, например? Может ли сервис показывать «замочек», а на самом деле выполнять предписание ФСБ и отдавать ключи (и переписку)? Может, почему бы нет. Но, повторюсь, к мессенджерам (а равно и к почтовым сервисам, к VoIP и т.д.) приказ ФСБ №432 от 19 июля 2016 года тоже не относится никак.

4. А к кому он относится? А относится он только и исключительно к ОРИ: то есть к очень странному перечню из примерно 65 веб-сервисов, сайтов и компаний. Реестр ОРИ возник на одной из волн внедрения интернет-цензуры; туда планировалось включить все сайты и порталы с посещаемостью более 3000 человек в день, нагрузить их обязанностями и ответственностью СМИ и, таким образом, не дать публиковать всякие нехорошие гадости про Владимира Владимировича Путина, да продлятся его благословенные дни. Реестр открыли, с помпой и почетом включили туда на первые четыре места Яндекс, ВКонтакте, Рамблер и Мэйл.Ру… а дальше что-то пошло не так и его попросту забросили. Остальные 60 записей в реестре — это какая-то странная сборная солянка из инициативных идиотов, которые, прослышав про реестр, зачем-то решили, что им нужно туда попасть — несколько городских порталов (и вы никогда не найдете логики в том, что, условно говоря, городской портал Орска там есть, а городского портала Нижнего Тагила нет), несколько информационных сайтов, несколько форумов, и еще какой-то хлам, которого в интернете немало. Но надо четко понимать, что сейчас в реестре ОРИ нет и 0.1% тех ресурсов, которые должны были бы туда попасть, если бы закон об этом реестре реально исполнялся.

5. Итак, сейчас, по своему порядку, ФСБ может писать заказные письма одному из 65 субъектов реестра ОРИ, и требовать «предоставить необходимую для декодирования информацию». Необходимую для декодирования чего? Это ж просто сайты.

6. Логически рассуждая (хотя рассуждать логически о приказах ФСБ и «пакете Яровой» довольно трудно), можно предположить, что запрашиваться могут ключи, с помощью которых эти сайты шифруют трафик по https. (Хотя, вероятно, далеко не все из сайтов из реестра ОРИ применяют https). И, если предположить, что сайты в ответ на заказное письмо отправят эти ключи «на магнитном носителе», то дальше ФСБ может взять трафик (из шестимесячного хранилища!) между пользователем и сайтом из реестра ОРИ и пытаться его расшифровывать этими ключами.

7. Удачи в этом нелегком деле и попутного ветра: это ж сколько надо долбиться и сил потратить, чтобы выяснить, что именно пользователь скачал с сайта Сыктывкар.Ру и с форума «Мамы Абакана» (реальные примеры из реестра ОРИ), пытаясь сопоставить сессионные ключи https (одноразовые на каждый сеанс связи) с гигантским хранилищем трафика, скачанным данным пользователем (а если он еще и через разных провайдеров ходил, а? с домашнего компьютера и с телефона?). Это в целом-то не очень тривиальная задача, сравнимая с поиском иголки в стоге сена — даже если все ключи на руках уже есть. И выхлоп от нее (как и от всего СОРМа сейчас) будет равен ровно нулю.

Резюме 1. Совершенно очевидно, что сейчас ФСБ выполнило поставленную руководством задачу откровенно «на *****». Им сказали разработать порядок — они разработали. И смысл, и структура и даже длина этого документа говорят о том, что никто не собирается по этому порядку работать. Это просто бумажка, которая нужна, для того, чтобы отчитаться, что бумажка написана. Ну и похоже на то, что ФСБ «сплавляет» весь этот «пакет Яровой» и не хочет им заниматься.

Резюме 2. Надо внимательно следить за реестром ОРИ. Если все-таки будут попытки выжать что-то из «пакета Яровой»; то их внешнее проявление будет заключаться в попытках насильственного включения в реестр ОРИ новых субъектов, которых там нет. Желтым флажочком будет, если он вдруг внезапно начнет пухнуть, с нынешних 65 сайтов до сотен и тысяч. Красным флажочком — если в него начнут включать (или если в него сами начнут включаться) мессенджеры и прочие коммуникационные сервисы.

Но пока что до этого бесконечно далеко.

Общайтесь сколько угодно, это безопасно.

Оригинал

Комментарии

102

Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий.
>
Не заполнено
Не заполнено

Не заполнено
Не заполнено минимум 6 символов
Не заполнено

На вашу почту придет письмо со ссылкой на страницу восстановления пароля

Войти через соцсети:

X Q / 0
Зарегистрируйтесь

Если нет своего аккаунта

Авторизируйтесь

Если у вас уже есть аккаунт


riwerti 18 августа 2016 | 13:08

Тут либо автор агент кгб и успокаивает всех, что бы побольше узнать, а о чем таком народ болтает втихаря от власти, а заодно и указывает кгб, где собака в интернете зарыта.
Либо автор недальновидный и раскрывает для кгб , что народ знает их слабые места. А зачем это? Пусть кгб думало бы себе, что их все бояться.


(комментарий скрыт)

aadz69 18 августа 2016 | 20:07

riwerti: при чем тут раскрытие слабых мест? Авторы этого закона просто не знают, что ключи HTTPS га каждой стороне соединения - свои, и если на стороне сервера обычно какой-то стабильный ключ, привязанный к доменному имени, то на стороне клиента - ключ любой и генетярся эти ключи за секунду! При этом для расшифровки трафика нужны оба ключа и серверный, и клиентский. И где тут слабое место, короме слабости мозгов депутатов?


riwerti 18 августа 2016 | 13:10

- Если у вас нет паранойи - это не значит, что они за вами не следят !


arissov 18 августа 2016 | 15:40

riwerti:
Если у вас паранойя, это ещё не значит, что за вами не следят!


ivanko2 18 августа 2016 | 18:31

arissov:
Сам-то понял что сказал???


arissov 19 августа 2016 | 09:50

ivanko2:
Не всякому среднему уму дано меня понять.


riwerti 18 августа 2016 | 21:57

arissov: )))))) Я привёл цитату Жванецкого, которая у всех нормальных людей, наделённых элементарным чувством юмора, вызывает улыбку.
А вы что написали ? Где смеяться?


arissov 19 августа 2016 | 09:59

riwerti:
Шутка Жванецкого проста, моя - сложнее, не всякому "по зубам".


arissov 19 августа 2016 | 10:06

riwerti:
Простая шутка это когда смеяться.
Хорошая шутка это когда смех сквозь слёзы.
Гениальная шутка это когда не знаешь, плакать или смеяться.


riwerti 20 августа 2016 | 00:10

arissov: от вашей шутки - ни плакать, ни сиеяться.... Только плечми пожимаешь : чудак , что ли ?


18 августа 2016 | 13:29

1. Гебня идёт под трибунал за антиконституционную деятельность, ибо сей "приказ" впрямую попадает под уголовную ответственность по самой грязной и жёсткой статье о посягательстве на государственный и конституционный строй.

2. Балбесы яровая и озеров и кто там еще писал эту хренотень по приказу администрации "президента" ПОКА не садятся, они будут нужны чуть попозже. Но статьи у них в том числе и те самые будут, что и у рьяной гестапни.

Вот так, ребятки. Всё в соответствии с вами же принятыми законами, ага? Как вы там любите говорить - "перед законом все равны"? Ну вот стройся в колонну по одному, разбор с вами будет точно так же, как вы устроили с "болотниками", только статьи УК у вас пожёстче..


patefonov 18 августа 2016 | 21:29

anton_luzgin: Закон, что дышло. А посему его всегда могут извратить провластные умельцы, как им надо.


plat32 18 августа 2016 | 13:45

Обязать Яровую со своим пакетом работать. Нечего другим её работу подсовывать. Пусть сама всё расшифровывает, если такая Ярая Яровая.


18 августа 2016 | 15:09

plat32: Энигму ей в руки, арифмометр, и логарифмическую линейку.


(комментарий скрыт)

alger 18 августа 2016 | 20:08

alpako: а линейку зачем, просто задумался


18 августа 2016 | 21:53

alger: Ну еще массажер-счеты. Чтоб уж точно расшифровало(а).


alger 18 августа 2016 | 22:13

alpako: а...
а то вспомнился анекдот про морковку и монашек


wlnw 18 августа 2016 | 21:34

alpako: И таблицу Брадиса еще.


untyputin 18 августа 2016 | 14:47

Хотели как лучше. А получилось - как всегда...))))))))))))))))))))


galina68753 18 августа 2016 | 15:02

Ждём нового пакета от Яровой о подснежниках в декабре...))


18 августа 2016 | 15:07

Эти дебилы Яровая, ФСБ и иже с ним думают ( ой), что Интернет - это Одноклассники и фсе. А как насчет онлайн банк клиентов? Тайна там вкладов? Опять с Авизо в банк ездить. Путин ( не Яровая) ты дебил!!!!!!!!!


(комментарий скрыт)

woodworld 18 августа 2016 | 15:50

При известном КПД "спустя рукава" или "халтура" среди российского трудового населения, а тем более чиновников, представить, что закон будут исполнять и он будет работать - невозможно.


ivanko2 18 августа 2016 | 18:34

woodworld:
Ну и чего радоваться???
Деньги-то на финансирование выделяться будут по прежнему (за наш счет)


woodworld 18 августа 2016 | 23:02

ivanko2: было б что на том счету...


serge3leo 18 августа 2016 | 16:29

"Но пока что до этого бесконечно далеко." - это правда, всех подряд ещё сканировать немогут.

"Общайтесь сколько угодно, это безопасно." - а вот это, сомнительно. Точнее возможность гарантированного безопасного общения существует даже если Вами прямо интересются, но требует, как всегда, некоторых усилий.


nostradam 18 августа 2016 | 18:42

Когда разрабатывали систему шифрования - с КГБ не советовались. С ФБР.и ЦРУ, между прочим, тоже.
Но там депутаты не такие идиоты.


alger 18 августа 2016 | 20:10

nostradam: боюсь пока, но эффект Трампа может быть заразительный


vnb 18 августа 2016 | 18:55

вот один американский товарищ, который второй год живет в Москве, утверждает, что в штатах читают всё...


yasnovilyashi 18 августа 2016 | 19:19

vnb:
Дык! Так если он прав, то многим из дружбанов Путина да и ему самому пора качать шею. Ну чтобы петля не сумела её продавить.


kaplan911 18 августа 2016 | 19:55

Спят и видят что оседлали интернет.......


jr114 18 августа 2016 | 21:26

Простой смартфон и дешевая программка легко шифрует и дешифрует тексты или звукозапись.


mechanizator 18 августа 2016 | 22:50

Ну да, TOR наше МВД уже взламывало. Задолбалось пыль глотать. На подходе очередная эпопея про взлом всего Интернета. Мне интересно, а за что мифические хакеры, якобы работающие на ФСБ, получают свое мифическое бабло, если во всем ФСБ, Госдуме и т.д. не нашлось ни одного грамотного спеца, чтобы объяснить что к чему? О_о

Ответ, соответственно, один: ищи кому выгодно. Иными словами кто под эту лавочку украдет еще немерено бабла из нашего многострадального бюджета, в очередной раз ограбив нас с вами.


sixthincolumn 18 августа 2016 | 23:15

такое чувство, что в России пытаются сотворить все мыслимые и немыслимые глупости/дурости/низости/преступления..мир смотрит на это немного с опаской и интересом: докуда можно зайти..

Самое обсуждаемое

Популярное за неделю

Сегодня в эфире