Приказ ФСБ 432: пока что никто не собирается реализовывать «пакет Яровой»

Одно из самых интригующих и опасных нововведений «пакета Яровой» — это, наряду с полугодовым хранением трафика, идея об обязательной передачи в ФСБ ключей шифрования, необходимых для «декодирования информации в интернете» (так в законе). Но если про хранение трафика всем было понятно, как и кем это за наш счет будет реализовываться, и сколько (очень много) будет стоить, то с «декодированием» интрига заключалась в том, что никто не понимал, о чем, собственно, в «пакете Яровой» идет речь; формулировка закона, безграмотная юридически и технически, оставляла огромный простор для интерпретаций. ФСБ было поручено до 20 июля разработать «порядок передачи ключей», и была надежда, что какая-то ясность появится.

Ждать пришлось долго: хотя приказ ФСБ России номер 432 формально датирован 19 июля, опубликован он был только вчера. И никакой ясности не внес: сам порядок (прочитайте!) крайне лаконичен (6 пунктов на полутора страницах) и ни на один вопрос из тех, которые задавались специалистами, не отвечает.

Передача ключей на магнитных носителях (автор картинки неизвестен)

Тем не менее, определенные выводы сделать можно. В конце концов, мы не зря долго учились читать между строк, и хорошо понимаем, что ненаписанное может иногда быть даже важнее написанного. Итак, читаем вместе приказ ФСБ России «Об утверждении Порядка представления организаторами распространения информации (ОРИ) в информационно-телекоммуникационной сети "Интернет" в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет» (не бойтесь, сам порядок едва ли не короче названия).

1. Приказ ФСБ 432 не относится к интернет-провайдерам.
Провайдеры — не ОРИ. Провайдеры и сейчас весь трафик собирают и передают в ФСБ в рамках СОРМ-3; сейчас хранится весь трафик за 12 часов, по «закону Яровой» будет храниться весь трафик за более длительное время. Уже сейчас примерно 50% трафика это шифрованный https-трафик, его доля стремительно растет, сделать с ним ничего не могут ни провайдеры, ни ФСБ, которое его собирает: https шифруется между абонентом и сервисом, с которым он взаимодействует, в канале связи между ними данные никак не расшифровать (пока государство не научилось реализовывать атаку типа «человек посередине» — но оно пока не научилось).

2. Приказ ФСБ 432 не относится и к мессенджерам и прочим коммуникационным сервисам.
Потому что и мессенджеры — не ОРИ. Теоретически можно себе представить, как ФСБ запрашивает заказным письмом у условного Вайбера ключи конкретных пользователей, а Вайбер, не уведомляя пользователей, присылает в ФСБ эти ключи, и пока пользователи, ничего не подозревая, обмениваются планами взрыва Кремля, ФСБ эти планы читает. Особенно легко это представить в отношении сервисов, где нет end-to-end шифрования, а есть шифрование только от пользователя до сервиса, но в принципе и про end-to-end можно представить не особо напрягаясь: рядовой пользователь же и не знает, откуда у него ключи берутся — генерируются на устройстве, или присланы сервисом, например? Может ли сервис показывать «замочек», а на самом деле выполнять предписание ФСБ и отдавать ключи (и переписку)? Может, почему бы нет. Но, повторюсь, к мессенджерам (а равно и к почтовым сервисам, к VoIP и т.д.) приказ ФСБ 432 от 19 июля 2016 года тоже не относится никак.

3. А к кому он относится?
А относится он только и исключительно к ОРИ: то есть к очень странному перечню из примерно 65 веб-сервисов, сайтов и компаний. Реестр ОРИ возник на одной из волн внедрения интернет-цензуры; туда планировалось включить все сайты и порталы с посещаемостью более 3000 человек в день, нагрузить их обязанностями и ответственностью СМИ и, таким образом, не дать публиковать всякие нехорошие гадости про Владимира Владимировича Путина, да продлятся его благословенные дни. Реестр открыли, с помпой и почетом включили туда на первые четыре места Яндекс, ВКонтакте, Рамблер и Мэйл.Ру... а дальше что-то пошло не так и его попросту забросили. Остальные 60 записей в реестре — это какая-то странная сборная солянка из инициативных идиотов, которые, прослышав про реестр, зачем-то решили, что им нужно туда попасть — несколько городских порталов (и вы никогда не найдете логики в том, что, условно говоря, городской портал Орска там есть, а городского портала Нижнего Тагила нет), несколько информационных сайтов, несколько форумов, и еще какой-то хлам, которого в интернете немало. Но надо четко понимать, что сейчас в реестре ОРИ нет и 0.1% тех ресурсов, которые должны были бы туда попасть, если бы закон об этом реестре реально исполнялся.

4. Итак, сейчас, по своему порядку, ФСБ может писать заказные письма одному из 65 субъектов реестра ОРИ, и требовать «предоставить необходимую для декодирования информацию». Необходимую для декодирования чего? Это ж просто сайты.

5. Логически рассуждая (хотя рассуждать логически о приказах ФСБ и «пакете Яровой» довольно трудно), можно предположить, что запрашиваться могут ключи, с помощью которых эти сайты шифруют трафик по https. (Хотя, вероятно, далеко не все из сайтов из реестра ОРИ применяют https). И, если предположить, что сайты в ответ на заказное письмо отправят эти ключи «на магнитном носителе», то дальше ФСБ может взять трафик (из шестимесячного хранилища!) между пользователем и сайтом из реестра ОРИ и пытаться его расшифровывать этими ключами.

6. Удачи в этом нелегком деле и попутного ветра: это ж сколько надо долбиться и сил потратить, чтобы выяснить, что именно пользователь скачал с сайта Сыктывкар.Ру и с форума «Мамы Абакана» (реальные примеры из реестра ОРИ), пытаясь сопоставить сессионные ключи https (одноразовые на каждый сеанс связи) с гигантским хранилищем трафика, скачанным данным пользователем (а если он еще и через разных провайдеров ходил, а? с домашнего компьютера и с телефона?). Это в целом-то не очень тривиальная задача, сравнимая с поиском иголки в стоге сена — даже если все ключи на руках уже есть. И выхлоп от нее (как и от всего СОРМа сейчас) будет равен ровно нулю.

Резюме.
1. Совершенно очевидно, что сейчас ФСБ выполнило поставленную руководством задачу исключительно для галочки. Им сказали разработать порядок — они разработали. И смысл, и структура и даже длина этого документа говорят о том, что никто не собирается по этому порядку работать. Это просто бумажка, которая нужна, для того, чтобы отчитаться, что бумажка написана. Ну и похоже на то, что ФСБ сливает весь этот «пакет Яровой» и не хочет им заниматься. (Это соответствует инсайдерской и прочей информации о том, что «пакет Яровой» двигает Совбез и еще клика любителей «безопасного интернета» имени Щеголева).

Резюме 2. Надо внимательно следить за реестром ОРИ. Если все-таки будут попытки выжать что-то из «пакета Яровой»; то их внешнее проявление будет заключаться в попытках насильственного включения в реестр ОРИ новых субъектов, которых там нет. Желтым флажочком будет, если он вдруг внезапно начнет пухнуть, с нынешних 65 сайтов до сотен и тысяч. Красным флажочком — если в него начнут включать (или если в него сами начнут включаться) мессенджеры и прочие коммуникационные сервисы.

Но пока что до этого бесконечно далеко.
Общайтесь сколько угодно, это безопасно.