19.06.2013, СР, 12:06, Мск, Текст: Игорь Королев

ФСБ смогла получить переписку в Facebook между владельцем платежной системы Chronopay Павлом Врублевским и свидетелем по делу о Ddos-атаке против «Аэрофлота». Доступ к личным сообщениям пользователей соцсети спецслужба осуществила без обращения в американскую компанию.

В рамках рассмотрения уголовного дела о Ddos-атаке против «Аэрофлота» Центр информационной безопасности (ЦИБ) ФСБ представил в суд данные об электронной переписке между главным обвиняемым - владельцем платежной системы Chronopay Павлом Врублевским - и свидетелем Анастасией Курочкиной . Ранее Тушинский районный суд Москвы удовлетворил соответствующее ходатайство прокурора и выдал санкцию ЦИБ на съем информации с технических каналов связи и «выемку данных с ресурса Фейсбук» об этих лицах.

ЦИБ удалось найти на Facebook анкеты Врублевского и Курочкиной, при этом на странице последней была обнаружена также переписка между ними. Однако, как отмечается в ответе ЦИБ (имеется в распоряжении CNews), «компания «Фейсбук» расположена на территории США и не имеет представительства в России, а потому произвести выемку переписки с официальной позиции указанной компании не представляется возможным».

В связи с этим ЦИБ, в соответствие с Законом «Об оперативно-розыскной деятельности», осуществил съем информации с каналов связи указанных лиц и записал ее на DVD-диск. Полученная таким образом переписка была зачитана прокурором на судебном заседании. В переписке Курочкина спрашивала Врублевского, безопасно ли общаться через Facebook. Обвиняемый ответил утвердительно, хотя добавил, что «300% гарантии дать не могу».

Другой обвиняемый - Дмитрий Артимович (по версии ФСБ, он вместе с братом Игорем был исполнителем хакерской атаки) - в ходе своего выступления на суде выразил удивление самим фактом получения ФСБ данной переписки. «Доступ к Facebook осуществляется посредством зашифрованного протокола https, а потому получить переписку таким образом нельзя, - заявил Артимович. - К тому же непонятно, каким образом можно было вообще осуществлять съем данных с канала связи Врублевского, если соответствующее разрешение суд выдал одновременно с решением о заключении его под стражу ( , - прим. CNews)».

После изучения представленных прокурором материалов защита обвиняемых попросила суд не приобщать их к данному делу. «Суд давал разрешение на осуществление выемки данных, но в ответе органов дознания прямо говорится, что этого сделать не удалось», - заявил адвокат Дмитрия Артимовича Игорь Фельдман .

«Существуют международные соглашения, которые позволили бы российским правоохранительным органам получить законный доступ к указанным материалам, - рассказал адвокат Игоря Артимовича Павел Зайцев . - Вместо этого был осуществлен взлом сервера на территории другой страны. Таким образом решение суда не может исполняться». Врублевский также добавил, что ему не понятно, кто и с каких каналов связи снял данную информацию.

Прокурор Сергей Котов в ответ привел цитату Остапа Бендера: «Может, вам еще и ключи от квартиры дать, где деньги лежат». «Кто ж вам будет рассказывать, как и кто осуществляет оперативные мероприятия, - заявил прокурор. - Что касается договоров о правовой взаимопомощи, то они есть с Украиной, Азербайджаном и другими странами, но не с США». Представитель потерпевшего – «Аэрофлота» - поддержал прокурора.

Судья Наталья Лунина приняла решение приобщить представленные прокурором материалы, поскольку они были получены в соответствие с ее решением. В данном постановлении судья также попросила ЦИБ найти на Facebook анкету следователя ФСБ Сергея Дадинского , который вел это дело, и его переписку с Курочкиной. ЦИБ такую анкету не нашел, однако защита Врублевского считает, что это произошло вследствие намеренной ошибки судьи, указавшей в своем решении неправильное написание фамилии – «Додинский».

Напомним, ФСБ обвиняет Врублевского и других фигурантов в организации Ddos-атаки против конкурирующей платежной системы «Ассит», в результате которой летом 2010 г. в течение недели не было возможности приобрести электронные билеты на сайте «Аэрофлота» (на тот момент обслуживался «Ассистом»). Подсудимые сначала признались в содеянном, но сейчас намерены отказаться от показаний.

Кроме того, защита поставила под сомнение законность многих следственных действий. В частности, в суд была вызвана в качестве свидетеля вышеупомянутая понятая Анастасия Курочкина, которая, согласно протоколам, присутствовала в следственном отделе ФСБ при осмотре вещественных доказательств. Курочкина заявила, что в указанных мероприятиях она не участвовала, ее подписи поддельные, и, кроме того, она была близкой подругой следователя Дадинского.

Приобщая переписку из Facebook, прокурор Сергей Котов поставил под сомнение объективность показаний Курочкиной. В частности, в переписке Врублевский обещал устроить ее «на работу в «Финансовую газету» или в другое издание или банк на зарплату, которую она захочет».

Отметим, что в ходе расследования данного дела ЦИБ ФСБ уже не в первый раз продемонстрировал возможность путем съема информации с технических каналов связи получения доступа к содержанию зашифрованных данных. В ходе предварительного следствия летом 2010 г. ЦИБ путем анализа журнала трафика интернет-канала Артимовичей нашел логин и пароль от панели управления бот-сети Topol-Mailer, предположительно использовавшейся для атаки на «Ассист». При этом доступ к этой панели, согласно следственным материалам, также осуществлялся по зашифрованному протоколу https.

Как закон не учёл особенностей шифрования в мессенджере и почему так сложно создать техническое решение для спецслужб.

В закладки

На второй день после президентских выборов Telegram ФСБ в Верховном суде: приказ ведомства о предоставлении ключей дешифровки переписки в мессенджере признали законным. Одним из главных вопросов по итогам заседания стало само понимание «ключей» и то, как в теории могло бы выглядеть сотрудничество Telegram и ФСБ.

Почему Telegram снова грозят блокировкой

Вопрос о блокировке Telegram обсуждается далеко не в первый раз. До конца июня 2017 года Роскомнадзор Telegram блокировкой за отсутствие регистрации в реестре организаторов распространения информации. Тот конфликт неожиданно: Дуров дал ссылку на открытую информацию о мессенджере, а ведомство само внесло его в реестр.

В сентябре основатель Telegram Павел Дуров впервые о требовании ФСБ предоставить ключи для дешифровки переписки пользователей («информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и обрабатываемых сообщений» ). Telegram сотрудничать с ФСБ и получил административный штраф в 800 тысяч рублей от суда Мещанского района Москвы. Тогда апелляцию компании . В Верховном суде (ВС) представители Telegram (юристы «Агоры») требовали признать недействительным приказ ФСБ из-за превышения полномочий.

ФСБ настаивает на том, что действует в рамках закона, требуя получить «информацию, необходимую для декодирования» переписки в Telegram. Ведь, согласно позиции ведомства, использование ключей дешифровки незаконно, только если на это нет решения суда. Но о вынесении российскими судами таких решений ни по одному пользователю Telegram на данный момент неизвестно (по крайней мере публично) .

Почему ФСБ будет трудно читать переписку даже с ключами шифрования

ФСБ не может получить доступ к переписке Telegram без ключей дешифровки сообщений. Однако ещё в июне 2017 года в споре с Роскомнадзором Дуров , что предоставить ключи для расшифровки «секретных» чатов технически невозможно: «У владельцев мессенджеров нет и не может быть ключей для дешифрации. Эти ключи хранятся только на устройствах самих пользователей».

Сложность заключается в том, что ключи дешифровки в «секретных» чатах постоянно меняются. Telegram использует протокол MTProto 2.0 с функцией Perfect Forward Secrecy , который обеспечивает автоматическую смену ключей у каждого пользователя после каждых 100 сообщений или раз в неделю.

В стандартных, «облачных» чатах для шифрования каждого сообщения используется ключ авторизации - он создаётся для каждого пользователя при первом запуске приложения и «почти никогда не меняется», говорится в описании протокола. Однако это не единственный фактор, используемый в шифровании «облачных» чатов - частью ключа, с помощью которого шифруется каждое сообщение, является хэш от самого этого сообщения.

Почему сложно создать решение для чтения переписки в Telegram

ФСБ не сможет расшифровать переписку в Telegram без актуальных ключей дешифровки. Даже если взять только «cекретные» чаты, то неизвестно, будет ли ведомство успевать обработать данные до смены ключей.

Если представить, что Telegram всё же согласится выполнить приказ ФСБ и регулярно передавать актуальные ключи, то спецслужбе и мессенджеру нужно будет каким-то образом автоматизировать эту работу. В этом случае Telegram должен представить техническое решение, но не ясно, будет ли компания делать это решение удобным для ФСБ и захочет ли заниматься этим в принципе.

В Сети периодически появляется информация о том, что сообщения в мессенджере WhatsApp и в социальной сети «ВКонтакте», может читать МВД и спецслужбы РФ. Такие данные раздражают пользователей. Они хотят быть уверенными, что их личные сообщения – это их мир, их тайна. Однако так ли это на самом деле. В этом можно хорошенько разобраться.

В Сети бытует мнение, что каждую переписку в социальных сетях спецслужбы могут прочитать, если им это необходимо. Однако нужно отметить, что личные сообщения защищает закон и без решения суда чтение сообщений является незаконным.

В личных блогах пользователей можно прочитать о том, что якобы МВД и ФСБ уже давно читает переписку в р и других мессенджерах. Конечно же, это не экспертные мнения и они не подкреплены доказательной базой. То есть, пользователи интернета на уровне интуиции считают, что за перепиской следят спецслужбы, вот и всё.

Что касается мнения экспертов, ещё в 2016 году в США было доказано, что прочитать переписку WhatsApp будет не сложно злоумышленникам или же спецслужбам. Эксперты уверяют, что получить ключ шифрования может каждый в то время, когда его меняет пользователь или делает это сам мессенджер.

В ФСБ неоднократно заявляли, что могут читать переписку пользователей, но делается это только по решению суда. Подаётся заявление, суд принимает решение. Оно отсылается владельцам мессенджера и они обязаны предоставить данные по тому аккаунты, который прописан в документе. Другой вопрос, узнает ли пользователь о том, что его читают. Скорее всего, нет.

К примеру, считается, что социальная сеть не работала бы в России, если бы отказалась предоставлять доступ МВД к переписке. Также пользователи обратили внимание, что после ухода Павла Дурова из «ВК» новое руководство соцсети перестало ругаться с ФСБ и другими органами по поводу предоставления доступа к информации. По их мнению, это указывает на согласие предоставлять всю необходимую информацию по первому запросу.

Если говорить о законных способах, никто не может иметь разрешение читать переписку или другую информацию без решения суда. Однако у пользователей интернета нет в этом уверенности, поскольку всё больше в Госдуме появляется законопроектов, которые указывают на то, что переписку всё же могут прочитать. Россияне жалуются на появления контроля в Сети, где гражданин не уверен в надёжном шифровании своей информации.

В Госдуме разрабатывают законопроекты, на которые негативно реагирует общество. К примеру, так называемый «пакет Яровой». Согласно документу с 1 октября 2018 года все операторы связи обязаны хранить 30 дней данные пользователей включая сообщения, фото, видео и звуковые файлы.

СМИ сообщили, что все эти данные находятся у оператора, но он должен предоставить их спецслужбам по первому требованию. Это означает, что ФСБ и другие службы могут читать переписку и слушать разговоры, если абонент попадёт в их поле зрения, а для этого нужно всего лишь несколько раз сходить на несогласованный митинг или засветиться на большой акции протеста.

Пользователи, которые не нарушают закон, могут спать спокойно, однако их всё равно волнует эта тема, поскольку неприятно знать, что твою личную переписку может кто-то читать. Пускай, в ней даже нет ничего противозаконного, но это всё же личные сообщения, которые иметь право прочитать только адресат.

https://www.сайт/2017-08-12/fsb_mvd_i_drugie_budut_chitat_vashu_perepisku_i_eto_narushaet_konstituciyu

Цифровое чрезвычайное положение

ФСБ, МВД и другие будут читать вашу переписку

Pravda Komsomolskaya/Russian Look

Министерство связи опубликовало проект приказа о требованиях к «организаторам распространения информации» в интернете. Это вроде бы сугубо ведомственный документ, довольно низкий по своему статусу (не закон, не указ президента, не распоряжение правительства) наделал много шуму. Его сравнивают с введением чрезвычайного положения, когда гражданские свободы резко ограничиваются ради безопасности. В приказе подробно перечислены те данные, которые «организаторы распространения информации» должны хранить в течение 6-12 месяцев и, самое главное, предоставлять специальным службам, ведущим оперативно-разыскную деятельность (ОРД).

В документе нет принципиальных нововведений. Напомню, что обязанность хранить и предоставлять спецслужбам данные о нашей переписке была закреплена в законе «Об информации» еще в мае 2014 года. Именно тогда появился тот самый «реестр организаторов распространителей информации», в который должен добровольно вступить каждый, кто ведет «деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети „Интернет“».

Согласитесь, это довольно расплывчатое определение. Неудивительно, что в этом реестре, помимо «Яндекса», «Рамблера», «ВКонтакте», Mail.Ru и прочих сервисов, есть такие пункты, как сайт о выдающейся татарской певице Саре Садыковой или сайт «Мир цифровой фотографии». Согласно этому определению, любой интернет-форум, любой сайт с комментариями, любая простейшая программа или сервис для обмена сообщениями через сеть Интернет должна быть включена в реестр. Даже онлайн-игры про танки, орков или зомби — там ведь тоже можно обмениваться сообщениями! Но, конечно, в первую очередь это мессенджеры, соцсети и почтовые сервисы.

Для краткости будем называть этих «операторов распространения информации» ОРС’ами.

В том законе сразу же было сказано, что именно ОРС обязан хранить на территории Российской Федерации и передавать для оперативно-разыскной деятельности:

информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;

Но факт приема-передачи информации — это же еще не сама информация. И в 2016 году добавилась еще одна норма. ОРС обязан хранить

текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки.

Там же было сказано, что порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются правительством Российской Федерации.

Как раз новый документ Минсвязи, насколько можно судить, устанавливает этот порядок. Из приказа министра следует, что всю перечисленную информацию операторы специальных служб смогут получать оперативно через собственный интерфейс. То есть им не придется идти с запросом в «Яндекс», чтобы прочитать ваше письмо, отправленное на прошлой неделе: они смогут просто удаленно зайти в ваш почтовый ящик, посмотреть все, что захотят, и уйти. Или смогут настроить фильтры так, чтобы при упоминании слова «взрыв», «бомба», «джихад» или, например, «Навальный» ваше письмо или сообщение сразу же попадало в мониторинг.

Больше всего граждан напугал список информации, которую смогут получать оперативные службы. Если ОРС заключает с пользователем договор, то спецслужбы смогут получить вообще все личные данные: ФИО, данные рождения, паспортные данные и так далее. Сейчас при регистрации в соцсетях паспортные данные не спрашивают, но предложения о том, что в Whatsapp и "ВКонтакте" следует пускать только по паспорту, звучат часто, и можно предположить, что государство будет предпринимать такие шаги.

Однако и по нынешним правилам, пока такие договоры не заключаются, оперативники получат ваш телефонный номер, IP-адрес, дату и время сессий, местоположение, информацию о платежах, ну, а главное — содержание сообщений.

Получается, мы окончательно вступаем в эру принудительной цифровой прозрачности, когда вся наша переписка, вся наша личная жизнь оказываются потенциально доступны спецслужбам, в том числе политическому сыску.

Конечно, в законах есть оговорки, что такая информация может получаться только в ходе оперативно-разыскной деятельности, а такая деятельность не может вестись незаконно, ущемлять гражданские права и свободы, бла-бла-бла. Но давайте смотреть правде в глаза.

Во-первых, мы знаем, что любой гражданин, которого государство посчитает неблагонадежным, легко становится объектом оперативно-разыскной деятельности, становясь фигурантом уголовного дела или даже просто предметом разработки. Тем более что в законе об ОРД прямо сказано: прослушивание разговоров может применяться как к лицам, подозреваемым в совершении преступлений (начиная от средней тяжести), так и к тем, кто может «располагать сведениями» о таких преступлениях. Эта формулировка может трактоваться очень широко. Могу я располагать сведениями о преступлении? Теоретически могу, по крайней мере, так считает следователь. А кто его проверит?

Тут же напомню, что «преступление» сегодня — это не обязательно убийство или теракт. «Преступлением» вполне может быть разжигание розни или оскорбление чувств верующих, то есть достаточно вашего неосторожного высказывания, или вашего закомого, чтобы вполне официально стать объектом ОРД.

Во-вторых, что еще страшнее, известны случаи, когда засекреченная вроде бы информация, полученная в ходе ОРД, «утекает» из оперативных органов и попадает в чужие руки.

Напомню екатеринбургского полицейского Артема Письменного. Суд признал его виновным в том, что он через посредника продал информацию о «прослушках» уральского политика Евгения Ройзмана. И продал не кому-нибудь, а бывшему сотруднику прокуратуры Алексею Карпову, которого позднее осудили за организацию заказных убийств. Этот человек был врагом Ройзмана и имел мотивы для убийства уральского политика. В его руках оказались данные о разговорах и передвижениях Ройзмана: неплохая наводка для киллера! Через свою супругу он заплатил за это 300 тысяч рублей. Это официальная информация, приговор подтвержден Верховным судом. Случай был относительно громкий, так как вылез на поверхность. А что остается в тени? Сколько данных ОРД продается и передается на сторону каждый день? Теперь это будут не только прослушки, но и ваша почта, переписка, общение с бухгалтером, даже сообщения друзьям или сексуальным партнерам.

Не стоит утешать себя мыслью, что ваша скромная персона не интересна Лубянке. Лубянке — да, не интересна. А майору из вашего УМВД может быть очень даже интересна. Может, ему заплатили ваши конкуренты, а может быть, вы повздорили с ним в пробке. Или два года назад вас сфотографировали на каком-нибудь митинге и вы попали в базу центра «Э». А помимо МВД и ФСБ право на ведение оперативно-разыскной деятельности (и доступа к вашей переписке) имеют еще ФСО, СВР, таможня и ФСИН.

Довод «добропорядочным гражданам нечего скрывать» тут, к сожалению, не работает — когда государство получает широкие полномочия, оно перестает интересоваться, к какой категории граждан вы относитесь. За репосты «ВКонтакте» сажают случайных людей — почему бы не начать сажать за слова, картинки или видео, отправленные в личной переписке?

Стратегия государства направлена на то, что у граждан не должно быть секретов. Формально государство не вмешивается в частную жизнь граждан, но создаются условия, когда возможность такого вмешательства всегда существует. Теперь, по закону, в России не могут работать интернет-сервисы, не внесенные в реестр. А все внесенные в реестр сервисы обязаны открывать данные для ФСБ или МВД. Поэтому теоретически у вас не должно остаться никакой возможности секретной переписки с использованием интернета. По факту пока еще в России работают многие сервисы, не внесенные в реестр (Facebook, Gmail, Twitter и другие), но мы видим тренд: государство будет стремиться сохранять на территории РФ только те сервисы, которые «выполняют российские законы».

Я беру эти слова в кавычки, потому что вообще-то все это нарушает главный закон, Конституцию. В ней ясно сказано:

«Статья 23. Пункт 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».

Действительно, по закону ОРД с нарушением тайны переписки и переговоров возможно только по решению суда. Но, судя по письму Минкомсвязи, речь идет о системе оперативного и постоянного вмешательства в переписку граждан. Получение судебного разрешения по сути остается на совести сотрудников спецслужб (и, насколько известно, судьи почти всегда соглашаются с запросами органов на проведение ОРД, по сути это формальность).

Все это делается, конечно, во имя славной цели — борьбы с терроризмом. На законы о борьбе с терроризмом ссылаются и проект приказа Минкомсвязи, и те провластные комментаторы, которые бросились защищать идею вмешательства в частную жизнь в социальных сетях. Они напоминают о том, что теперь ФСБ сможет оперативно выявлять ячейки террористов, обезвреживать вербовщиков, предотвращать трагедии и смерти людей.

Скорее всего, это лишь предлог. И сама эффективность такой меры выглядит сомнительной. Да, она может быть успешной в борьбе с вербовщиками, приглашающими молодежь в ИГ, но я слабо верю, что реальные террористы, готовящие взрывы в России, используют для общения «ВКонтакте» или «Агент Mail.Ru». Скорее, они будут пользоваться безвестными, очень маленькими сервисами или сайтами и пересылать друг другу через них кодированные сообщения. Или вообще откажутся от интернет-переписки, воспользовавшись проверенными дедовскими методами конспирации и шифрования.

Хотя мировой терроризм является безусловным злом, а каждая его жертва трагична, я бы хотел напомнить, что как в России, так и во всем мире те полномочия, которые получают правительства для защиты от террора, неадекватны статистическому размеру угрозы. В России в 2016 году от рук террористов погибли 62 человека. Да, это трагедия, это скорбная цифра. Но от употребления некачественной воды умерли 19 тысяч человек (официальные данные Роспотребнадзора). Строительство хорошей водопроводной инфраструктуры не так привлекательно с точки зрения получения контроля над обществом, и в том числе поэтому борьбе с террором уделяется несравненно больше внимания. И нередко реальная борьба подменяется полицейскими мерами, направленными, скорее, на политический контроль.

Полина Немировская привела хорошее сравнение в Telegram-канале : даже чтобы досмотреть ваш рюкзак, сотрудник полиции должен представиться, привести основания и пригласить понятых. А залезть в вашу переписку, в ваши видео, в ваши разговоры можно будет анонимно, тихо, без каких-либо оснований. При этом мы живем в такое время, когда содержимое мессенджера гораздо важнее, интимнее содержимого рюкзака.

Если мы согласимся с тем, что борьба с террором — лишь повод для жесткого контроля за интернетом, то в чем истинная причина? Наверное, в том, что государство видит для себя серьезную угрозу в свободном общении, которое благодаря интернету выросло многократно. В чем-то оно право. Общаясь, люди обсуждают проблемы государства, имеют возможность обмениваться негативной информацией, в том числе критиковать правительство. Какой власти это понравится?

Но одновременно она рискует проглядеть те возможности, которые дает российскому обществу свободный интернет, свободный обмен информацией, знаниями, идеями. Интернет дал огромной стране возможность объединения и взаимодействия на новом, цифровом уровне. Инфраструктура интернета прямо влияет на экономику через человеческий капитал. Мир стремится к экономике знаний, экономике идей, и интернет — кровеносная система этой экономики. Грубо вмешиваясь в нее, уничтожая интернет-свободы, мы замедляем свое развитие, отбрасываем страну назад.

Антитеррористические законы Ирины Яровой и Виктора Озерова уже одобрены Советом Федерации и ждут подписания президентом. Slon Magazine подробно разбирал основные положения этих документов – многие из них направлены на ужесточение контроля за любой перепиской в интернете. Так, с 20 июля 2016 года провайдеров будут штрафовать, если они не предоставят ФСБ информацию, «необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». Эксперт британского Institute for State Ideologies Антон Меркуров рассказал о том, как эта мера коснется простых людей.
Каких популярных сервисов формально коснется закон?

Закон коснется всех российских компаний, которые так или иначе связаны с передачей и хранением информации. Это операторы сотовой связи, интернет-провайдеры, интернет-компании: от Tele2, о чьем существовании не знают профильные сенаторы, до почты Mail.ru, знакомой каждому. Любой бизнес, который признают организатором распространения информации.

Какое шифрование используется в повседневных средствах общения и как оно работает?

Электронные письма чаще всего передаются в незашифрованном виде, но иногда – по зашифрованным каналам. При этом для хранения на сервере сообщения шифруются. Но в России использование нелицензированных средств криптографии запрещено, значит, спецслужбы вполне могут получить к ним доступ через СОРМ-3. Это касается всех российских сервисов, а на зарубежные никак не влияет.

В мессенджерах все подходят к этому вопросу по-разному. Скажем, Telegram хранит чаты на сервере, это позволяет синхронизировать информацию в приложении между несколькими устройствами. Такое решение оправдано ради удобства. Но любое удобство – уязвимость.

Секретные чаты Telegram не сохраняются на сервере, там применяется шифрование end-to-end (англ., от одного конца до другого; как и в WhatsApp, iMessage, Signal). То есть ключ генерируется на абонентских устройствах при каждом разговоре. Это делает бессмысленными попытки сделать врезку между собеседниками и подслушать. Если не вдаваться в подробности, секретные чаты в Telegram и уж тем более в Google Hangouts наиболее безопасны. Google, например, сразу предупреждает о подозрительной активности, иногда даже указывая, что взлом пытаются осуществить хакеры, за которыми могут стоять государственные власти.

В каком виде и где хранятся ключи в этих сервисах?

Надо понимать, что ключ шифрования и пароль – не одно и то же. Пароль используется, чтобы определить, что в систему входит именно зарегистрированный пользователь. Ключ – один из элементов алгоритма шифрования уже внутри системы, никак не связанный с паролем. И обычно пароли не хранятся в открытом виде, они тоже отдельно зашифрованы.

Ключи, как описано выше, в секретных чатах находятся в устройствах пользователей. В обратном случае, если сообщения хранятся в зашифрованном виде на сервере, там же хранятся и ключи. Но это не всегда облегчает доступ к информации без идентификации абонента. Например, «взлом iCloud», когда утекали фотографии знаменитостей, был все-таки подбором пароля. Никто не взламывал шифрование Apple.

Важнее не то, где хранятся данные, а то, что в большинстве случаев доступ к зашифрованной информации получить нельзя. Если, например, данные удалось перехватить, то на взлом уйдут годы, даже у мощного компьютера.

Может ли владелец сервиса или провайдер сам достать ключ и расшифровать сообщение?

Нет. Получить доступ в большинстве случаев может только сам владелец данных. Если сервис правильно выстроил систему безопасности, то можно пойти только традиционным путем – поменять пароль и войти под видом пользователя. Но и там есть свои нюансы. В целом, так как наших личных данных в Cети стало много: от почты и фотографий до медицинской карты и показателей трекера, – они стали хорошо защищаться. Ведь, по сути, поведение спецслужб сложно отличить от поведения киберпреступников.

Если сервис откажется давать ключи, то как будет выглядеть его блокировка, чтобы провайдеру не пришлось платить штраф?

Нужно наблюдать за реальной практикой применения закона. Если речь идет о региональном провайдере, то до блокировки, скорее всего, не дойдет – такие компании будут искать диалог со спецслужбами или прощаться с бизнесом в пользу других игроков. У зарубежных сервисов есть два пути. Либо пойти навстречу и сохранить лицо Роскомнадзору, как это делает условный Viber, который сразу перенес персональные данные россиян в Россию. Либо просто молча не соблюдать закон.

Можно ли будет обойти такую блокировку и как?

В законе нигде не сказано, что подобные сервисы будут блокироваться на территории России. А говоря о российских сервисах, единственный способ обойти блокировку – выполнить требования и пару раз сходить на поклон в контролирующие органы – там объяснят, что делать.

В Telegram уже заявили, что никому ключи не дадут. Значит, власти просто закроют доступ к адресу, через который приходят/уходят сообщения? И не важно, какая SIM-карта привязана к аккаунту, российская или зарубежная?

Во-первых, блокировать придется не один адрес, а множество. И количество адресов после этого начнет увеличиваться – технических возможностей для этого хватает.

Во-вторых, достаточно будет включить на телефоне VPN (передачу всех данных через посредника за границей), и все усилия по блокировкам окажутся бесполезными. Но это гипотетические размышления, не думаю, что будут реально блокировать.

Смогут ли сервисы или провайдеры придумать механизм, чтобы в Рунете их данные шифровались не так, как в остальном мире?

Количество зашифрованной информации растет, во многих случаях ее расшифровка невозможна либо бессмысленна. Особый русский путь возможен только внутри органов государственной власти и принадлежащих государству компаниях. То есть за пределами Госдумы и «Ростелекома» мир все также подчиняется земным законам. Истории про суверенный интернет к реальности никакого отношения не имеют.

Создать отдельную базу всех сообщений, которые отправили из России или получили в России, чтобы потом отдать ключ от этой базы ФСБ, просто невозможно.