Президент подписал закон о повторном отказе передавать ФСБ ключи шифрования. Штрафы сильно вырастут


    Полный текст закона «О внесении изменений в отдельные законодательные акты Российской Федерации» размещен на официальном портале правовой информации

    Каждый новый отказ предоставить Федеральной службе безопасности ключи шифрования переписки пользователей теперь грозит многомиллионными штрафами для интернет-компаний. Соответствующий закон вчера подписал Владимир Путин.

    До 2 декабря 2019 года предусматривались только штрафы за первичный отказ сотрудничать со спецслужбой. Но федеральный закон от 02.12.2019 № 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» вводит дополнительные, куда более крупные штрафы за повторное нарушение требований ФСБ:

    • для юридических лиц — от 2 до 6 млн ₽,
    • для должностных лиц — от 100 тыс. до 500 тыс. ₽.

    До подписания закона максимальный штраф за отказ передать ключи шифрования составлял 1 млн ₽ для юридических лиц и до 50 тыс. ₽ — для должностных.

    Кроме того, обновления в законодательстве теперь предусматривают более жесткое наказание за хранение персональных данных россиян за пределами РФ. Первое такое нарушение для компаний будет чревато штрафом 1–6 млн ₽, повторное — 6–18 млн. Для должностных лиц — 100–200 тыс. и 500–800 тыс. ₽ соответственно.

    Кроме того, 2 декабря 2019 года президент подписал закон о предустановке российского ПО на гаджеты.

    Годом ранее мессенджер Telegram оштрафовали на 800 тыс. ₽ за отказ предоставить ключи шифрования для декодирования сообщений пользователей. Аналогичное нарушение стало причиной блокировки мессенджера на территории России.

    Минутка заботы от НЛО


    Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

    Как написать комментарий и выжить
    • Не пишите оскорбительных комментариев, не переходите на личности.
    • Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
    • Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

    Что делать, если: минусуют карму | заблокировали аккаунт

    Кодекс авторов Хабра и хабраэтикет
    Полная версия правил сайта
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 146

      +30
      Про статью 23 Конституции РФ, гласящую «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения», можно забыть. Как и про все остальные конституционные права тоже
        +1
        Про статью 23 Конституции РФ можно забыть.

        Ну давайте вместе почитаем:


        Ограничение этого права допускается только на основании судебного решения

        Ви так говорите, как будто получить нужное судебное решение ну ооооочень сложно. А как только получили — всё, Конституция соблюдена до буквы, и можно ограничивать Ваше право на тайну переписки во все отверстия в наиполнейшем соответствии с Конституцией. Так на что Вы жалуетесь-то?

          +25
          Если это несложно, то пусть получают, а не городят законы.
            0
            Они и получают, причем массово, просто им надоело.
            +8
            Получение судебного решения предполагает дополнительную защиту интересов объекта действия этой законодательной нормы от потенциального злоупотребления, в основном через необходимость индивидуального рассмотрения каждого отдельного случая. Когда же появляется желание делать это массово, пропускная способность судебной системы становится бутылочным горлышком. Таким образом ИМХО принятие подобных законов свидетельствует в основном о переходе на массовое применение методик, описанных в этих законах.

            P.S. Если хотите упоминать Конституцию в этой связи, то я про нее в курсе, стоит переадресовать это в КС РФ… ну или забыть про нее, кому-то так комфортнее.
              +1
              Получение судебного решения предполагает дополнительную защиту интересов объекта действия этой законодательной нормы от потенциального злоупотребления

              Это Вы про Басманный суд сейчас? :)


              Ну сделают резиновый штамп "ОДОБРИТЬ", если Вы так настаиваете.

                +4
                Теоретически про любой, но даже Басманный суд имеет пределы пропускной способности.
                  +1
                  Конвейерное штампование методом накатки печатей.
                  Элементарно масштабируется добавлением параллельных ниток.
                    0
                    Не всё так просто.
                    Данное решение окончательно дискредитирует судебную власть, на что нынешнее правительство пойти пока не готово.
                    0
                    «Начальник „Геркулеса“ уже давно не подписывал бумаг собственноручно. В случае надобности он вынимал из кармана печатку и, любовно дохнув на нее, оттискивал против титула сиреневое факсимиле. Проверив новое приспособление на практике, он пришел к выводу, что оно значительно упрощает его труд и нуждается в дальнейшем поощрении и развитии».
                  +1
                  Тут дело не только в массовости, концептуально, исполнительная власть не хочет иметь конкурента в виде судебной ветви власти. И поэтому всячески пытается либо её подчинить либо уменьшить её возможности (как в данном случае).
                  +1
                  Так, насколько я помню, вся эта эпопея с Телеграмом и началась с того, что у него потребовали предоставить ключи по запросу прокуратуры, а не по судебному решению. Это несколько разные вещи и не соответствует нормам Конституции.
                  0
                  Одно судебное решение разрешает доступ к абсолютно любой переписке? Или всё-таки на каждую переписку (ну пусть на небольшую пачку, чтоб сразу группу людей отслеживать) нужно отдельное?
                    +1
                    Ну сейчас по крайней мере (пока опять не поменяли законы) судебные решения должны быть публичными, по крайней мере сам факт решения (хотя вон с Голуновым все секретят по полной). Т.е. есть шанс узнать что ФСБ затребовало чьи-то ключи и их получило. А так как сейчас — сюрприз!
                      0
                      Там будет вот так примерно: решение о прослушивании ФИО1 удовлетворить. Причем так и будет написано, потому что решения выкладывают обезличенными.
                    +2
                    Про все это можно было забыть еще 4 года назад, когда был подписан закон Яровой. А все те законы, что сейчас принимаются, это все следствие, а не первопричина. Когда ФСБ-м разрешили слушать всех подряд, вот тогда то и надо было «бить во все колокола», требовать референдума, общественных реакций.
                      +2
                      Почему Вы говорите про какие-то 4 года? СОРМ появился гораздо раньше, а одно из требований к нему — сокрытие информации о том кто кого и когда слушал. Уже тогда все эти организации на три буквы могли бесконтрольно проводить прослушку кого угодно. А формальное требование иметь на это судебное решение при отсутствии какого-либо внешнего контроля — фикция.
                      +1
                      Де-факто, да и вроде де-юре ключи шифрования не считаются информацией, охраняемой тайной переписки. КС доверяет ФСБ, что он получит ключи, а на каждую «прослушку» будет просить судебное решение.
                        0
                        Де-факто, да и вроде де-юре ключи шифрования не считаются информацией, охраняемой тайной переписки.

                        Ладно де-юре. Де-факто же это один из элементов оебспечения тайны переписки. Не смущает?
                          0
                          Смущает, я просто к тому, что ссылаться в суде на 23 статью бесполезно, с этой стороны задницу тоже прикрыли. Какая слежка за неопределенным кругом лиц? Мы просто доверяем ФСБ и стремимся упростить им работу.
                        +1
                        Мне кажется что право тайной переписки не ограничивается. Ограничивается возможность у компаний организовывать эту самую тайную переписку. Например если собеседники самостоятельно зашифруют свои сообщения их же не будут штрафовать. Формально даже получается подстава, если кто-то отправит такое сообщение через чей-то мессенджер, а менты захотят его прочесть, где они возьмут ключи?)))
                          +1
                          В конечном итоге все-равно все сводится к пыткам.
                        +14
                        Конституция? Россия давно живёт по понятиям.
                          +4
                          Это что ж получается — телеграм теперь опять заблокируют? Да ещё и оштрафуют на целых шесть миллионов! Ай-ай-ай, как же так…
                            +1
                            Так он ведь уже заблокирован и не ведет свою деятельность в России, за что тут штрафовать?
                              +1
                              Ведёт. Он же заблокирован, а не запрещён, перестаньте путать.
                                0
                                Заблокирован, запрещен, и не ведет — это вообще три разных состояния
                            0
                            Интересно, наступит ли такое время, когда люди перестанут скрывать от других свои сообщения, а управляющие структуры общества перестанут интересоваться их содержанием? И что произойдёт первым?
                              +16
                              Апокалипсис
                                +9
                                Хм… а мне определённо нравится ваш оптимистичный настрой. =)
                                  +2
                                  Так после Апокалипсиса должен пойти суд божий, все дела, так что там наоборот управляющая структура в божием лице начнёт ворошить личные данные по полной
                                    0
                                    Спасибо всем ответившим. Тоже считаю, что это будет время апокалипсиса. Только что под ним понимать. Это будет идеальное общество — современная версия «тысячелетнего Царства Христова» или коммунизма. Человечество преобразится, сменит первичную международную формацию на более совершенную. Слежка за людьми прекратится, и сами люди не будут скрывать свои мысли от других людей. Человечество будет озабочено своим развитием во вселенской системе цивилизаций.
                                      0
                                      А произойдет это никогда. Потому что это противоречит самой природе человека. Как и коммунизм.
                                        0
                                        «Природа человека» не есть константа. Если смотреть на глубину веков — это особенно сильно заметно.
                                          0
                                          Природа человека и любого другого существа на Земле — это именно константа. Меняются какие-то внешние факторы, культура, но сам базис остается неизменным. Все попытки переделать человеческую природу заканчивались фейлом и кровавой мясорубкой (Пол Пот, Назинская трагедия и так далее) и пора уже признать что это плохая идея.
                                            0

                                            Вот только представления о том, что входит в константный базис, а что навешано культурой, тоже заметно менялись. А с развитием биотехнологий и базис становится не таким уж константным.

                                              0
                                              Возможно кто-то когда-нибудь и создаст «человека-пчелу», только это будет уже и не человечество вовсе. А представления о том что входит в базис не менялись никогда: еда, размножение, место для жизни и так далее.
                                              0
                                              Не соглашусь. Природа поведения одиночных организмов одна, социальных организмов — другая. Стремление социума, общества выжить во многом определяет поведение его членов. Сравните аналогичное поведение одиночных клеток и клеток многоклеточного организма. Просто люди ещё не сформировали совершенный глобальный организм — цивилизацию, готовую к взаимодействиям с иными цивилизациями Вселенной. А это обязательно произойдёт, и к этому надо заранее готовиться.
                                              Понятно, что люди и в самом совершенном обществе хотят есть-пить. Но чтобы они оскотинились и за еду стали резать друг другу глотки надо разрушить их общество. Однако они могут выбрать смерть ради его защиты. И это будет таким же естественным поведением, как защита муравьёв своего муравейника.
                                                0
                                                Вы сейчас описываете пчел. Эдакий разум улья. Может когда-то конечно кому-то удастся заставить людей жить по этому принципу, хоть я и сомневаюсь, но я бы лично не хотел жить в таком обществе, потому что это какая-то антиутопия. Более того, все попытки такое общество сделать заканчивались провалом, обнищанием людей и кровавой мясорубкой. А попыток таких было не мало.
                                          0
                                          Любая утопия всегда оборачивается антиутопией.
                                        +3

                                        А какая причина показывать другим свои соображения?
                                        Я лично не вижу подобной необходимости.

                                          +1
                                          Возможно, в будущем технологии позволят объединить наши сознания в некий hivemind, принимающий решения по любому вопросу совместно. Вот тогда наступит настоящий коммунизм. Вот тогда не будет смысла прятать друг от друга переписки.
                                          Хотя и переписок никаких не будет…
                                            +3

                                            По теории игр (частный случай естественного отбора), если кто-то может найти ваши слабости и уязвимые места из переписки и получить от этого преимущество, то он обязательно этим воспользуется

                                              +1
                                              Не знаю, говорит ли об этом теория игр, но логика подсказывает, что, как минимум:
                                              если кто-то думает, что может найти ваши слабости и уязвимые места из переписки и получить от этого преимущество, то он обязательно этим воспользуется
                                            0
                                            «Не прятать» и «показывать» — это разные вещи. Теоретически, если человечество эволюционирует и конкретные индивидумы или организации перестанут искать рычаги давления в словах других индивидуумов или организаций, то можно будет не прятать, потому что никто не будет смотреть. Практически для этого нужно принципиально другое человечество, хайв майнд выглядит более реальным честно говоря.
                                            +3
                                            Пока человек остается человеком с его примитивной мотивацией, доставшейся от стайных приматов. Мы так и будем наблюдать этот цирк, состоящий из нелепого «сплава» хайтека и желания угнетать собрата по планете, доказывая превосходство.

                                              0
                                              Крепись, сородичь. Это все часть плана по боевой подготовке к нашествию марсиан.
                                                +2
                                                Мы и без всяких марсиан отлично справимся с самоуничтожением.
                                              0
                                              наступит ли такое время, когда люди перестанут скрывать от других свои сообщения,

                                              Как только людям станет совсем-совсем нечего прятать от других (начиная, скажем, с *исек).


                                              (Как Вы понимаете, *иськи — одни из распространённых фоточек, которыми обмениваются люди, состоящие/намеревающиеся состоять в интимной связи, и которые они, как правило — во всяком случае, в данный исторический момент, — совершенно не стремятся продемонстировать кому-бы то ни было, кроме партнёра).


                                              *

                                              А какая буква заменена звёздочкой — это уже решать читателю в зависимости от его личной ориентации.

                                                +1
                                                совершенно не стремятся продемонстировать кому-бы то ни было, кроме партнёра
                                                С чего Вы это взяли? Для многих публичная демонстрация своих достоинств ограничена только некоторыми условными рамками приличия.
                                                  0
                                                  «Рамки приличия» — это эвфемизм для обозначения травли и объективного насилия со стороны других людей. То есть дилемма такая: либо публикуете * и сталкиваетесь с насилием и травлей, либо не публикуете. Выбора особо нет.
                                                    0
                                                    «Рамки приличия» — это граничные условия общепринятого протокола поведения в неком сообществе.
                                                      +3
                                                      Протокол не общепринятый (собственно, нет ничего общепринятого, сюрприз). Он устанавливается при помощи насилия некой частью людей в отношении тех, кто этому протоколу не следует. Например, некой частью верующих России при помощи законодательной и исполнительной власти в стране установлен запрет на игру в Покемон Го в храмах. То есть, либо играете и попадаете под действие УК, либо не играете. Также возможна ситуация, когда формального запрета на ваши действия нет, но вас просто затравят. Если угрозы насилия нет, то нет причины не «выходить за рамки приличия». Для людей, поставленных в такие прекрасные условия, естественно хотеть скрывать некие стороны своей жизни и противиться действиям президента и ФСБ, которые лезут повсюду, не опасаясь последствий (ведь последствия могут наступить вовсе не для президента с ФСБ).
                                                        0
                                                        Протокол не общепринятый

                                                        В рамках ограниченной популяции (а популяция всегда ограничена — сюрприз. этническими, культурными/субкультурными, возрастными рамками).

                                                        установлен запрет на игру в Покемон Го в храмах.

                                                        А можно пруфец с вынесением решения О запрете неопределенному кругу лиц играть конкретно в эту игру конкретно в храмах?

                                                        возможна ситуация, когда формального запрета на ваши действия нет, но вас просто затравят

                                                        дети бывают жестоки, да.

                                                        Если угрозы насилия нет, то нет причины не «выходить за рамки приличия»

                                                        А ненужно насилия. Человек, который не разделяет групповые нормы поведения просто оказывается парией. БОМЖи, например.
                                                          +2
                                                          дети бывают жестоки, да.
                                                          Да, да, дети. Если вас не сжигают как ведьму или колдуна, то это не говорит о том, что вокруг мир и порядок. Либо охотятся сейчас в другом селе, либо вы слишком безобразны, либо ничего не ведаете.
                                                          «Рамки приличия» — это граничные условия общепринятого протокола
                                                          Рамки приличия никогда не были и не будут общепринятыми, они будут регулярно отклоняться, и в довольно больших пределах. «Ромео и Джульетта» или «Гамлет» почему-то не запрещены за пропоганду суицида, а толстых обнажённых тётенек, с картин художников эпохи возрождения, без особых проблем печатают в школьных учебниках для лиц младше 18. С этти такой трюк не прокатит, наверное по тому, что оно не такое уродливое.
                                                            +2
                                                            Протокол не общепринятый
                                                            В рамках ограниченной популяции
                                                            Если бы никакая ограниченная популяция не тащила свои «общепринятые» правила за свои пределы, то было бы норм. Но это фантастика. Или в вашем мире казаки никогда не били нагайками никого кроме казаков?
                                                            А можно пруфец с вынесением решения О запрете неопределенному кругу лиц играть конкретно в эту игру конкретно в храмах?
                                                            Не утрируйте, пожалуйста. Есть статья 148 УК РФ и прецедент её применения конкретно по этой игре конкретно в храме. Угроза применения этой статьи в подобных случаях явно не ограничивается одним конкретным Русланом Соколовским.
                                                            А ненужно насилия. Человек, который не разделяет групповые нормы поведения просто оказывается парией.
                                                            Это тоже разновидность насилия. Бойкот или общественное порицание — это субъективное насилие, они — насилие только для вас и тех, кто оказался в идентичном положении, так как не имеет признаков нанесения материального ущерба, которые сложнее оспорить.
                                                              –1
                                                              Или в вашем мире казаки никогда не били нагайками никого кроме казаков?

                                                              В моем мире казаков в ближайших примерно 800 километров нет.

                                                              Не утрируйте, пожалуйста. Есть статья 148 УК РФ и прецедент её применения конкретно по этой игре конкретно в храме

                                                              Да. И это конкретный случай. Не надо с ним в обобщанку пожалуйста.

                                                              Это тоже разновидность насилия. Бойкот или общественное порицание — это субъективное насилие

                                                              Вы так договоритесь до пэссив-агрессив )
                                                                +3
                                                                В моем мире казаков в ближайших примерно 800 километров нет.
                                                                Да, это существенно облегчает игнорирование фактов, имевших место в других локациях.
                                                                Да. И это конкретный случай. Не надо с ним в обобщанку пожалуйста.
                                                                Видите ли, от того, что это один конкретный случай, угроза применения 148 УК РФ никуда не делась и действует в отношении неопределенного круга лиц. Или Вы гарантируете, что никто другой, совершивший поступки идентичные поступкам Соколовского, не будет иметь проблем с УК?
                                                                  0
                                                                  Или Вы гарантируете, что никто другой, совершивший поступки идентичные поступкам Соколовского, не будет иметь проблем с УК?

                                                                  В условиях необязательности исполнения российских законов — it depends.
                                                    +1
                                                    начиная, скажем, с *исек
                                                    Думаю обывателя больше напугают эксплоиты или средства шифрования. Одного математика в самолёте вообще чуть за террориста не приняли.
                                                    +5

                                                    Ну давайте попробуем. Выложите здесь весь архив своей переписки за, скажем, последние (ну я ж не изверг) 5 лет?

                                                      –3

                                                      Если у тебя нет переписок, то и скрывать нечего :D

                                                    +1
                                                    А если серьёзно — то я не понимаю сути происходящего.
                                                    Непослушный местный сервис необязательно штрафовать — там можно найти запрещенные вещества или картинки, и прикрыть именем РКН. Ну то есть рычаги влияния были и до этого, а теперь чуть меньше напрягаться нужно будет.
                                                    Зарубежный сервис может включить режим «а как насчет нет?» при сопоставимых репутационных издержках. Либо включить режим цифрового сопротивления и посвятить в тайны проксеводства ещё бОльшее количество простых граждан. А вот когда физлиц начнут штрафовать — будет ещё интереснее.

                                                    И никогда не будет лишним проверить наличие set pfs в своих crypto-map. Чтобы смело сдать все известные ключи в компетентные органы и с чистой совестью сесть в аэроэкспресс.
                                                      0
                                                      И никогда не будет лишним проверить наличие set pfs в своих crypto-map. Чтобы смело сдать все известные ключи в компетентные органы и с чистой совестью сесть в аэроэкспресс.


                                                      Не поможет. Заставят пропатчить софт, чтобы сессионные ключи писались в файлик или отправлялись по UDP прямиком товарищу майору.
                                                        0
                                                        Да хоть сейчас…
                                                        $ cat /dev/urandom | nc tovarisch.major 9999
                                                        0
                                                        Чтобы смело сдать все известные ключи в компетентные органы и с чистой совестью сесть в аэроэкспресс.

                                                        PFS не спасает от Man-in-the-middle, только от чтения уже записанного трафика.
                                                        +2

                                                        Дальше только ввод многомиллионных штрафов за обход блокировок.

                                                          +1

                                                          Им даже придумывать ничего не надо, уже давно есть образцы для подражания — If you get caught using a VPN in the UAE, you will face fines of up to $545,000

                                                            +3

                                                            It's fine.

                                                              0

                                                              VERY fine я бы тогда сказал.

                                                              0

                                                              Ну, закон направлен на использование ВПН для скрытия IP адреса при преступлении. По факту же пока не сообщалось о случаях штрафов обычных людей кто запрещенку смотрит или по VoIP говорит.

                                                            +9
                                                            Навеяло:
                                                            Как можно выиграть или не проиграть в игре, правила которой постоянно меняются и меняются не вами? (с)
                                                              0

                                                              В конце 20 века была занимательная настольная игра про сражения космических флотов. Так вот, 3 года подряд там выигрывала программа. После первой победы, в правила игры в добавили запрет на использование тактики, применённой программой. После второй — правила усложнили ещё раз. После третьей победы в правилах запретили использовать программы в принципе.

                                                              0
                                                              .
                                                                0
                                                                А много у нас компаний которые говорят нет РКН и ФСБ?
                                                                  –22

                                                                  Дело в том, что все компании всегда оставляют себе калитку. И у них эти ключи есть. И компания, если захочет, может расшифровать переписку пользователей. Или отдать ключи кому нибудь. Тайно или явно.


                                                                  Так что, этот закон по сути гласит: "Корпорации должны делитесь с государством".


                                                                  Если бы у компании не были ключи, не было бы и что передавать государству.

                                                                    +4
                                                                    Даже при таких раскладах у компании есть какое никакое имя, которым оно дорожит, в отличии от государства и любых его органов.
                                                                      –6

                                                                      Ну, ну! Это не так и никогда так не бывало. Не знаю откуда у вас такие идеалистические представления.


                                                                      В конце концов есть такие алгоритмы в которых компания просто не будет знать ключи шифрования. Но такие алгоритмы (ЕМНИП) не использует ни один мессенджер, разрабатываемым компанией. А там где такие алгоритмы были, их выпилили.


                                                                      Это мне о чем-то говорит.


                                                                      А вы верьте, верьте! Вера помогает. А я буду tox использовать.

                                                                        +3
                                                                        Так что и у биткоина есть бекдор если его не запрещают?
                                                                          0

                                                                          Причем здесь биткойн??? Биткойн это не средство коммуникации. И что значит "запрещает"???? Никто и ничего не запретил. Компании штрафуют именно за то что не предоставляют государству то чего у них есть. Нельзя отдать то, чего у тебя нет.

                                                                            0
                                                                            Биткойн это не средство коммуникации.

                                                                            С учетом API-шечного вызова, где в транзакции можно опубликовать данные в блокчейне — вполне себе средство коммуникации.
                                                                              0
                                                                              Нельзя отдать то, чего у тебя нет.
                                                                              Ну в случае с телеграмом это никого не остановило.
                                                                                0

                                                                                Да? А вы уверены что у телеграма нет ключей? Я например не уверен.

                                                                                  +3
                                                                                  Даже если у телеграма и есть ключи, это ещё не повод делиться с ими с государством.
                                                                                    0

                                                                                    Не-е-ет, это вообще принципиально! Если у телеграма ключи все-таки есть, то он в принципе ненадежный.


                                                                                    Потому что имея ключи, телеграм может отдать их, без лишнего шума, кому захочется. Например бандитам, которые угрожают убить там дети, жену и т.д.


                                                                                    И совсем не факт, что ключи не отдавали/продавали уже. Только в газетах об этом не пишут.


                                                                                    Грех государства в том, что делает все это публично и об этом пишут в газетах/на хабре.

                                                                                      +1
                                                                                      Не-е-ет, это вообще принципиально! Если у телеграма ключи все-таки есть, то он в принципе ненадежный.
                                                                                      Вопрос надёжности телграма и вопрос передачи ключей государству — это принципиально разные вопросы, и не следует их соединять воедино.
                                                                                      Потому что имея ключи, телеграм может отдать их, без лишнего шума, кому захочется. Например бандитам, которые угрожают убить там дети, жену и т.д.
                                                                                      Отлично, теперь кроме бандитов, ключи у которых могут быть, а могут и не быть, ключи гарантированно будут у спецслужб. У одного бандита сил на прочёсывание всего этого массива не хватит, а у государства наверняка найдётся.
                                                                                      Грех государства в том, что делает все это публично и об этом пишут в газетах/на хабре.
                                                                                      А чем оно тогда от бандитов отличаться будет? Бандиты, которые не пытаются получить деньги прямо сейчас, а дальше хоть трава не расти, тоже не будут вредить без необходимости. Поскольку вот сейчас он, конечно, отожмёт деньги, а завтра тот у кого он отжал разорится и кормить бандита перестанет.
                                                                                        0
                                                                                        Вопрос надёжности телграма и вопрос передачи ключей государству — это принципиально разные вопросы, и не следует их соединять воедино.

                                                                                        Все сводится к надежности шифрованной коммуникации. Так что эти вопросы отнюдь не "принципиально разные"!

                                                                                          0
                                                                                          Все сводится к надежности шифрованной коммуникации. Так что эти вопросы отнюдь не «принципиально разные»!
                                                                                          Тогда вам потребуется не только доказательство наличия дыры, но и доказательство эквивалентности доступа к данным государства и бандита. А вы, даже первую часть не выполнили.
                                                                                            0

                                                                                            Доказывать наличия дыры, как раз не нужно. Достаточно обоснованное сомнение что ее может быть.


                                                                                            Примерно так: Мои приватные ключи хранятся на сервере? Если да, то это не шифрование и там заведомо есть дыра в безопасности. Все.

                                                                                              0
                                                                                              Примерно так: Мои приватные ключи хранятся на сервере? Если да, то это не шифрование и там заведомо есть дыра в безопасности. Все.
                                                                                              Приватные чаты хранят приватные ключи на сервере? У вас точно есть доказательства этому?
                                                                                                –4

                                                                                                А какие "приватные чаты" имеете ввиду? Если телеграма, то я не знаю. Я его не пользуюсь совсем.


                                                                                                Но если они не хранятся на сервере, значит это не те ключи из за которых забанили телеграм.

                                                                                                  0
                                                                                                  А какие «приватные чаты» имеете ввиду? Если телеграма, то я не знаю. Я его не пользуюсь совсем.
                                                                                                  Секретные чаты
                                                                                                  Но если они не хранятся на сервере, значит это не те ключи из за которых забанили телеграм.
                                                                                                  А вы откуда знаете?
                                                                                                    –1
                                                                                                    А вы откуда знаете?

                                                                                                    Достаточно просто прочитать историю конфликта между Телеграм/Дуров и Роскомнадзором, чтобы увидеть, что дело там намного сложнее.


                                                                                                    Телеграм заблокировали из за многих причин. И ключи здесь просто одна из них.


                                                                                                    Кстати, Дуров никогда не утверждал, что не может отдать ключи, потому что у него их нет. Наоборот – из всех его высказывании подразумевается что: "Ключей не дадим."

                                                                                                      +1
                                                                                                      Кстати, Дуров никогда не утверждал, что не может отдать ключи, потому что у него их нет. Наоборот – из всех его высказывании подразумевается что: «Ключей не дадим.»
                                                                                                      Цитата из вашей же ссылки
                                                                                                      Вследствие этого Telegram обязан хранить ключи для расшифровки переписки пользователей и предоставлять их по запросу ФСБ России[3][4]. Руководство Telegram настаивает на том, что это требование технически неисполнимо, поскольку ключи хранятся на устройствах пользователей, а сервера мессенджера их не получают[5][6]
                                                                                                        0

                                                                                                        Да, я читал. Только это в силе только для секретных чатах. То есть, если захотели бы, то могли бы дать ключи/доступа к ту переписку, которая хранится у них на серверах.


                                                                                                        Надо понимать, что история с телеграмом, вообще выходит далеко за пределами закона Яровой, Роскомнадзором и РФ в целом. Дуров вообще строит империю и все что он делает направленно на этом. Получится ли у него – увидим.

                                                                                                          0
                                                                                                          То есть, если захотели бы, то могли бы дать ключи/доступа к ту переписку, которая хранится у них на серверах.
                                                                                                          А кто сказал, что ркн-тян интересует только не секретные чаты?
                                                                                                          0
                                                                                                          Руководство Telegram настаивает на том, что это требование технически неисполнимо, поскольку ключи хранятся на устройствах пользователей, а сервера мессенджера их не получают[5][6]

                                                                                                          К слову, вполне себе исполнимо — копированием ключей с устройств пользователя на сервер. Пока это не будет полностью открытый софт, никто не даст гарантий, что очередной апдейт не принесёт такую возможность — сделать копию ключей "для бэкапа" с устройств пользователей на сервер.


                                                                                                          Желательно конечно еще и иметь на пользовтаельских устройствах TPM, который физически не позволяет вытащить сам ключ.

                                                                                                            0
                                                                                                            Желательно конечно еще и иметь на пользовтаельских устройствах TPM

                                                                                                            так он там есть
                                                                                                              0

                                                                                                              TPM-то есть, но далеко не везде, это раз. И тем более закрытый софт не проконтролировать на предмет где он хранит пароли и как реализует шифрование, это два. Пока аппаратное хранение ключей без возможности извлечения не будет использоваться повсеместно, нет никакой гарантии, что ключи в один прекрасный момент не уплывают третьим лицам. Также нужен контроль над уже расшифрованными данными, чтобы они не уплывали куда не надо и не хранились в открытом виде.

                                                                                                                0
                                                                                                                TEE? Secure World? Verified Boot? Не, не слышал.
                                                                                                                  0

                                                                                                                  Ну знаю я про это, так как работаю как раз с security space. А теперь разверните мысль и расскажите, как вы можете заставить, например Телеграм, гарантировать вам то, что 1) сгенерированные e2e ключи сохранятся в HSM никогда не покинут устройства и 2) Ваши чаты расшифрованные и отображенные на вашем девайсе, внезапно после очередного апдейта не улетят "для бэкапа" в плейнтексте на сервер? Где у нас Телеграм хранит е2е ключи?
                                                                                                                  И да, приложение Телеграма при этом будет подписано всеми необходимыми ключами для запуска в системе. Поэтому, если перечитаете то, о чём я говорил — тут нужен контроль еще и над самим исходным кодом.

                                                                                                                    0
                                                                                                                    расскажите, как вы можете заставить, например Телеграм, гарантировать вам то, что 1) сгенерированные e2e ключи сохранятся в HSM никогда не покинут устройства

                                                                                                                    Так использование Android Keystore это гарантирует, не?
                                                                                                                    Чтобы ключи покинули устройство, необходим доступ из TEE к сетевой подсистеме. Который отсутствует by design.

                                                                                                                    Ваши чаты расшифрованные и отображенные на вашем девайсе, внезапно после очередного апдейта не улетят «для бэкапа» в плейнтексте на сервер?

                                                                                                                    Апдейта — чего именно?
                                                                                                                      0
                                                                                                                      Так использование Android Keystore это гарантирует, не?
                                                                                                                      Ну очевидно же, что я говорил о том, что сначала надо гарантировать, что приложение (e.g. Telegram) пользуется тем самым аппаратным TPM. Есть такие гарантии, что а) ключи хранятся и будут всегда храниться не в файлике на диске а в аппаратном устройстве и б) очередной апдейт приложения не заложит бэкдоры для отправки ключей на сервер, либо для отправки уже расшифрованного контента (для бэкапа ведь только, хехе). За этим заканчиваю, тема уже дохлая.
                                                                                          0
                                                                                          Вы сначала заявляете что ключи есть у любой компании, а потом говорите что это принципиально и ненадежно. Что на самом деле правда, но непонятно какую практическую ценность имеют такие заявления. Ну да, принципиально надежного нет ничего, как бы вы ни общались есть шанс что кто-то вас может при этом слушать. Вы же не предлагаете не пользоваться телеграмом просто из-за этой гипотетической возможности?
                                                                                            +1

                                                                                            Я утверждаю, что нужен такой "телеграм" в котором ключи не хранились на серверах компании.


                                                                                            Если его нет, то нужно создать. Или нажимать на производителей "телеграмов", чтобы сделали именно так. Ведь рынок, конкуренция, клиент всегда прав...


                                                                                            А если нельзя и не получается, то не лгать самого себя насчет честных бизнесменов и надежности коммуникации.

                                                                                              0
                                                                                              Создали, аж два, но в них регулярно находят дыры, как в ситечке, и пользуется ими полтора анонимуса. И старичок джаббер, с которым в общем-то с технической стороны всё ок, но которым тоже не пользуются, потому что часть реализаций не полностью совместима и он в принципе не может автоматом подсасывать контакты из телефонной книжке по номеру телефона.
                                                                                                0
                                                                                                Я утверждаю, что нужен такой «телеграм» в котором ключи не хранились на серверах компании.
                                                                                                При этом сами же раньше говорите что таких нет в принципе. Так какой рынок, какое нажатие если у вас все по определению плохие? Насколько я видел доказательств этого у вас нет, а значит не может и быть параметров по которым вы согласитесь что компания хорошая.
                                                                                                  –1
                                                                                                  а значит не может и быть параметров по которым вы согласитесь что компания хорошая.

                                                                                                  Почему? Вообще-то, презумпция невиновности в отношении компьютерной безопасности не работает. Здесь наоборот – презумпция виновности и тот, кто предлагает софт, протокол, шифрование, должен доказывать что это безопасно. Доказательства телеграма я считаю неубедительными.


                                                                                                  Вот, откроют код серверов, посмотрим, подумаем опять.

                                                                                                    +1
                                                                                                    Почему?
                                                                                                    Почему что? Почему у вас нет доказательств? Я не знаю, я только знаю что если бы они были, то вы бы их давно показали вместо того чтобы лить воду. Почему не может быть параметров без доказательств вашего текущего утверждения? Потому что утверждение крайне общо само по себе и любой параметр добавленный позже будет ему противоречить. Доказательства же показали бы какие на самом деле параметры вы используете и это уже можно было бы обсуждать.
                                                                                          +1
                                                                                          Я тоже. Но я ориентируюсь на следующее (в отношении секретных чатов):
                                                                                          Код клиента открыт, там должно быть видно как используются ключи.
                                                                                          Наверняка люди, гораздо лучше меня разбирающиеся в коде, проверяли его.
                                                                                          Раз нет сообщений о возможности вытащить ключи, то считаю, что Дуров не врет.
                                                                                          Понятно, что полная уверенность будет, если сам проверишь код и соберешь клиента из исходников.
                                                                                            0
                                                                                            А у государства есть доказательства того, что Телеграм сохраняет у себя ключи шифрования? Потому что если нет, то получается что государство ткнуло пальцем в небо, и требует от компании отдать то чего нет. А если доказательства есть, то почему государство их не обнародует? Это нанесло бы серьёзный урон по репутации Телеграма, и с другой стороны подкрепило бы позицию властей. А пока что власти в спорах с Телеграмом лишь выставляют себя невежественными дураками, злоупотребляющими своими полномочиями…
                                                                                              0

                                                                                              Ну насчет государство не знаю. А то что Дуров никогда на утверждал, что ключи у него нет написано даже в википедии:


                                                                                              Создатель мессенджера также подчеркнул, что требуемая ведомством дешифрация переписок противоречит Конституции РФ и никак не обезопасит мир от террористов, поскольку поставит под угрозу миллионы пользователей Telegram

                                                                                              В та же википедия написано, что:


                                                                                              Серверы Telegram не сохраняют сообщения из секретных чатов, но сохраняют историю обычных чатов и содержимое адресной книги пользователей на срок использования сервиса и на срок неактивности, указанный в настройках аккаунта (от одного месяца до года). Используемое в мессенджере шифрование не обеспечивает PFS во всех случаях[107][108][109].
                                                                                    +1
                                                                                    Для компании важно только одно — прибыль. Имя компании тоже важно только в этом аспекте. Если имя приводит к потерям, то наплюют на имя.
                                                                                    Тот же Цукерберг — то выступает против цензуры и за свободу слова, а как только замаячили потери, то вводит цензуру в ФБ. Дуров с телеграмм — он призывал запускать самолетики в свою поддержку потому что его начали «несправедливо» притеснять, потому что он забил на закон РФ. Но когда в США прикрыли его крипту, то что-то не слышно аналогичных призывов. Создал свободную крипту, хотел облагодетельствовать себя всех, но его свободное дерзание притушили и никаких призывов протестовать против посягательств на свободу.
                                                                                    Т.е. в обоих случаях имя перебила прибыль, которую можно потерять. И в этом случае имя отошло на второй план.
                                                                                      –2
                                                                                      Так было, так есть и так будет. Любое государство во все времена не стремалось шпионить не только за другими государствами, но и за своими гражданами. И это совершенно понятная позиция. Просто если в России святой Павел забил хрен и ему это сошло с рук, то с США такой номер не прокатит. И он прекрасно это знает. Не мытьём, так катаньем, а подчиниться заставят. Я больше чем уверен, что если меня по какой-то причине возьмут в оборот какие-нибудь чекисты, то почитают и посмотрят вообще всё, что я когда-либо писал в интернете. Будь то, всякие соцсети или мессенджеры. Вообще любые. Что телега, что остальные. Если придут и скажут «надо», то всё будет сделано быстро и без шума. И всё равно не понимаю, че вам та переписка сдалась? Че вы так возмущаетесь? Вам в открытую говорят: «да, если надо, мы найдём любую инфу». Про Сноудена уже все забыли? Там всё втихую делалось. Да и потом, если надо уж очень прям сильно, то сфабрикуется всё что надо, найдётся в карманах всё что надо, ну и прочие способы оказания давления на граждан всем известны ещё с давних-давних времен. Так что все эти законы — пустое, я считаю. Вообще не понимаю, зачем что-то ограничивать или блокировать.
                                                                                        +1
                                                                                        Создал свободную крипту, хотел облагодетельствовать себя всех, но его свободное дерзание притушили и никаких призывов протестовать против посягательств на свободу.
                                                                                        Протестов, очевидно, не требуется, поскольку 'притушение' пока еще оспаривается в законном порядке, если не ошибаюсь.
                                                                                      +11
                                                                                      Дело в том, что все компании всегда оставляют себе калитку. И у них эти ключи есть

                                                                                      Там где вы учились настолько плохо преподают математику?


                                                                                      Если бы у компании не были ключи, не было бы и что передавать государству.

                                                                                      Увы и ах, карателям математику, судя по всему, преподавали не лучше, чем вам…

                                                                                        +7
                                                                                        Дело в том, что все компании всегда оставляют себе калитку. И у них эти ключи есть. И компания, если захочет, может расшифровать переписку пользователей. Или отдать ключи кому нибудь. Тайно или явно.
                                                                                        Чем-то подкрепить это утверждение Вы, конечно же, не можете?
                                                                                          +1
                                                                                          image
                                                                                            0
                                                                                            Даже если принять за истину то, что переписка любого пользователя рано или поздно станет товаром (что в общем то не такая уж и паранойя), не очень понятно почему этим товаром корпорации обязывают делиться с государством на безвозмездной основе, ещё и обезличенно со стороны гос лиц.
                                                                                              0
                                                                                              «Been that way since one monkey looked at the sun his giant stick and told the other monkey, 'he said for you to give me your fucking share'.»
                                                                                            +4
                                                                                            Я думаю мы смело уже можем говорить, о том что к сожалению в текущих реалиях РФ, итальянская забастовка всех гос органов приведет только к улучшению порядка и ситуации. (несмотря на весь анекдотизм этого).
                                                                                              +3
                                                                                              А что делать, если технически и архитектурно такая возможность в системе не предусмотрена?
                                                                                                –12

                                                                                                А есть ли такие программы? Мне кажется, что нет.

                                                                                                  0

                                                                                                  На основе p2p запросто — нет юрлица, которое должно будет выдавать ключи. Есть одно НО — могут принять новый закон и по поводу этого.

                                                                                                    –10

                                                                                                    Компании п2п не разрабатывают.

                                                                                                      –1

                                                                                                      Судя по минусов, выходит что разрабатывают. Ссылочкой не поделитесь?

                                                                                                        +4

                                                                                                        Ни минусов ни плюсов ставить не могу, но есть такая открытая штука Keybase. С p2p или e2e, как удобнее, шифрованием для всех чатов. Это не p2p по протоколу, так как есть централизация и компания, которую можно оштрафовать и забанить, но ключей она выдать не может по определению.

                                                                                                          0

                                                                                                          Странно почему ее еще не забанили? И даже не отштрафовали. А потому что нельзя отдать то, чего не владеешь.

                                                                                                            +1
                                                                                                            на сайте статистика — Humans: 998,050 — то есть найти её на смартфоне у среднего юзера практически нереально.
                                                                                                            Я например до сегодняшнего дня про неё даже не слышал, и те кто могут оштрафовать скорее всего тоже.
                                                                                                              0

                                                                                                              Вот и я об этом! Есть кстати и tox, которого нереально забанить или расшифровать. И другие решения тоже есть. А неизвестно почему все пользуются по сути коммерческими программами у которых ключи хранятся на сервере.


                                                                                                              А потом ноют, что вот, плохое государство прижало "честных" бизнесменов отдавать ключи. А сами эти бизнесмены крутят-вертят, но ключи всегда держат у себя на серверах.


                                                                                                              Ведь был например skype в детстве p2p. А сейчас что? Весь трафик только через серверы MS.


                                                                                                              Притом, что это азбука безопасности – надежное шифрование возможно только если приватные ключи хранятся только локально.


                                                                                                              Все остальные варианты – по сути ненадежны и нечего ныть что их читает каждый кому это надо.

                                                                                                                0
                                                                                                                А неизвестно почему все пользуются по сути коммерческими программами у которых ключи хранятся на сервере.

                                                                                                                Всё известно, не нужно драмы. Используют, потому что удобно. Удобно, когда контакты можно написать в виде username, а не человеконечитаемого кода или QR. Удобно, когда переписки между устройствами синхронизируются. Удобно, когда сообщения доставляются без необходимости держать передающий клиент постоянно в сети.
                                                                                                                А кому (и когда) нужно е2е шифрование без ключей на сервере — пожалуйте в секретные чаты. Жаль, на десктопах их до сих пор нет (кстати, кто знает почему?)
                                                                                                                  0

                                                                                                                  Ну, конечно удобно. Но если выбрали удобство за счет надежности, то просто получаете ненадежное шифрование. А кто там будет вашу переписку читать уже неважно. Кто нибудь да прочтет. Ведь она ненадежная.

                                                                                                                    +1

                                                                                                                    В Keybase e2e везде, в том числе и на десктопах. По этой причине переполз на него.

                                                                                                      0
                                                                                                      Реализации HTTPS и SSL, в которых специально не добавлена возможность дампа одноразовых сеансовых ключей.
                                                                                                        +2
                                                                                                        HSM себя так ведут в частности. Ключи расшифровки и секретные ключи не покидают периметр устройства.
                                                                                                        0

                                                                                                        На примере телеграмм быть объявленными вне закона

                                                                                                        +2

                                                                                                        Зачем просить ключи у заблокированного мессенджера? И да, можно отдать ключи сегодня, а завтра «сменить замок»и пусть пробуют открыть

                                                                                                          +1
                                                                                                          Отправлять каждый день бумажной почтой ключи, которые меняются раз в сутки?
                                                                                                          +2
                                                                                                          Кстати, ничего нового тут нет и оригинального. Точно так же в США ФБР требовало у Apple предоставить ключи шифрования к переписке ряда личностей: посмотреть. При этом Apple частично пошла на сотрудничество и взбрыкнула лишь тогда, когда ФБР официально потребовал у компании встроить бэкдор специально для них, чтобы при необходимости спецслужбы могли прослушать переписку кого им вздумается. Это означало бы грандиозную уязвимость и весьма облегчило бы жизнь всяким киберпреступникам.
                                                                                                            0
                                                                                                            Этот закон им для «запаса прочности» нужен или как? Предустановленное для блага пользователей российское ПО вообще с клавиатуры все может им туда слать, без всяких ключей. Или вместе с ключами.
                                                                                                              0
                                                                                                              Если этим обязательным предустановленным ПО не будет сама операционная система, конечно.
                                                                                                              +1
                                                                                                              По-моему, в регуляторных статьях уже можно ограничиваться заголовком и плашкой о заботе НЛО.
                                                                                                                0
                                                                                                                Заголовок уже лишний. И так всё понятно ©
                                                                                                                0
                                                                                                                А вот такая, «чисто гипотетическая» ситуация: ФСБ запросили у компании N ключи для шифрования, а сервер с ключами вышел из строя неделю назад и все ключи затерлись. Если у компании N будут железные доказательства, что ключи они потеряли не намеренно, сможет ли она избежать штрафы и санкции?
                                                                                                                  0
                                                                                                                  Если у компании N будут железные доказательства, что ключи они потеряли не намеренно, сможет ли она избежать штрафы и санкции?

                                                                                                                  «Чисто гипотетически» — да. Но только «чисто гипотетически».
                                                                                                                  ИМХО.

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое