LINUX.ORG.RU
ФорумTalks

Утвержден порядок передачи ключей шифрования ФСБ

 , ,


1

2

12 августа 2016 года Федеральная служба безопасности Российской Федерации опубликовала приказ № 432 от 19.07.2016 «Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет»».

  1. Организатор распространения информации в сети «Интернет» осуществляет передачу информации для декодирования на основании запроса уполномоченного подразделения, подписанного начальником (заместителя начальника).
  2. Запрос направляется заказным письмом с уведомлением о вручении.
  3. В запросе указаны формат и адрес предоставления информации для декодирования.
  4. Информация передаётся на магнитном носителе по почте или по электронной почте. Как вариант, можно согласовать с ФСБ доступ специалистов к информации для декодирования.

Если владелец сервера отказывается предоставить ключ, необходимый для расшифровки HTTPS или другого зашифрованного трафика, на него может быть наложен штраф в миллион рублей.

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

☆☆
Ответ на: комментарий от user42

Тихо и незаметно выйдет поправка, вместе с очередным пакетом.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от user42

У нас нет такого размаха терроризма, как в цивилизованных странах

Для вашего образования весь терроризм в цивилизованных странах был и есть продукт кгб, с 1960х по 1980х куролесили красные бригады в Италии, Red Army Fraction RAF в Германии, IRA в С.Ирландии. когда кгб успокоилось в 1990е-2000 терроризма в Европе по факту не было. Сами понимаете кто опять сейчас с 2014года начал проводить

Karapuz ★★★★★
()
Ответ на: комментарий от zgen

Выше уже сказали решение - использование малораспространённых диалектов и эвфемизмов (и такие методы действительно используются определёнными личностями). Без ИИ такое в автоматическом режиме не отловить. Постфактум, когда уже всё случилось и виновные известны, можно конечно будет натравить кучу экспертов на переписку и извлечь информацию. Но толку то...

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от Karapuz

Да, ты абсолютно прав. Международный терроризм и ЦРУ это две неразрывно связанные сущности.

trupanka
()

На самом деле суть такова: или вы делаете заведомо невыполнимое (миллионы сессионных ключей), или пускаете майора к себе на сервер. Очевидно, в итоге кто-то уйдет, а кто-то пустит майора.

sholom
()
Ответ на: комментарий от user42

Что мешает частному лицу приобрести сервер?

KivApple ★★★★★
()

Вот для таких вот случаев и была придумана forward secrecy. Т.е. даже имея ключ расшифровать предыдущий трафик не получится.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от Sociopsih

В ЕС с этим все равно всё плохо, особенно если сравнивать со Швейцарией.

StReLoK ☆☆
() автор топика
Ответ на: комментарий от Sociopsih

Суть в том, что в поисках безопасности не надо ударяться в паранойю.

1) Как уже сказали выше несколько раз, есть способы передать информацию таким образом, что без ручного анализа понять её смысл не получится. А догадаться, что надо проанализировать переписку вот этого человека, часто получается когда он уже свою задачу выполнил (это как всякие дядьки с умным видом говорят в новостях «Посмотрите на его форму лица. Любой психолог сразу скажет, что это неуравновешенная личность и вообще психопат, не удивительно, что он это сделал» - легко делать выводы и искать закономерности, когда результат уже известен). И это вполне успешно применяется определёнными личностями. И да, как теракты, так и госперевороты отлично осуществлялись в те времена, когда не было даже телефона, не то что интернета.

2) Однако и без этого их часто не ловят. Выше опять же написали, что о некоторых терактах договаривались вообще через полностью открытые средства связи (СМС и звонки, которые 100% логгируются). Потому что данных слишком много и их некогда все досконально анализировать.

3) В нашей стране я не вижу что-то каждый день новостей о терактах. Если раз в пару лет какой-нибудь псих убьёт десяток человек - это нормально. В ДТП гибнет в тысячи раз больше, а от ДТП прослушка всего и вся не спасёт. Лично мои шансы пострадать от рук терористов значительно ниже, чем например быть ограбленным в подворотне. А этого опять же прослушка не поможет, ибо гопники договариваются о своих планах за пивом в подъезде, а не в интернете (а даже если сейчас и появляются прогрессивные гопники, то после нескольких посадок они опять вернуться к обсуждениям в подъезде и ничего не потеряют). Значит текущие средства достаточно эффективны и мне не понятно зачем тратить миллиарды и ущемлять свободы граждан. Идеала не достичь и надо уметь вовремя остановиться.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)
Ответ на: комментарий от KivApple

вся эта «борьба с терроризмом» началась после выступлений на болотной и наблюдений за «арабской весной»

Deleted
()
Ответ на: комментарий от KivApple

И да, как теракты, так и госперевороты отлично осуществлялись в те времена, когда не было даже телефона, не то что интернета.

Да. Все верно. Первоначально понял мысль наоборот.

В нашей стране я не вижу что-то каждый день новостей о терактах.

Это ты в новостях не видишь. В Чечне и Дагестане регулярно происходят теракты, просто об этом громко не кричат, ибо стабильность. И даже если основную часть РФ взрывают раз в 5 лет, то это очень плохо. Тебе хотелось бы попасть под это?
Не подумай, что я поддерживаю этот идиотский закон, это просто пара замечаний к написанному тобой, в целом, я согласен.

Sociopsih ★☆
()
Последнее исправление: Sociopsih (всего исправлений: 1)
Ответ на: комментарий от Deleted

Как уже было отмечено выше - устроить подобное можно и без интернета (или каким же образом устраивали перевороты в 20 веке?). Да и с тотальной прослушкой вполне себе устраивают, ибо мало записать информацию, надо её ещё проанализировать. И сделать это не постфактум, когда уже слишком поздно.

Так что тут скорее путают причину и следствие. У кого-то оказались ресурсы и желание устроить арабскую весну - и её устроили. Интернет оказался удобен для некоторых задач координации, но и без него справились бы. Тут уже вопрос в компетентности классической работы спецслужб + ресурсах того, кто устраивает революцию. А ещё в благосостоянии населения (кому есть что терять идут на революцию неохотно). Исход зависит сугубо от этого.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от KivApple

Как уже было отмечено выше - устроить подобное можно и без интернета

одно дело бонба - другое «поднять народные массы», но с тобой видимо бесполезно общаться, как и с другими завсегдатаями политических тредов

Deleted
()
Ответ на: комментарий от Sociopsih

В Чечне и Дагестане регулярно происходят теракты

Эта информация бесполезна без информации о том, насколько активно террористы используют интернет. И даже если используют, то изменилась ли интенсивность их деятельности до появления интернета. Ошибка в том, что некоторые думают, что раз некоторые террористы сейчас используют интернет, они бы без него не справились.

если основную часть РФ взрывают раз в 5 лет, то это очень плохо

Безопасность это хорошо, но надо заниматься этим без фанатизма. Если поставить всё население Земли к стенке и расстрелять, то на следующий же день количество преступлений снизится до нуля. И больше никогда не возрастёт. Только вот цена слишком высока.

Если взрывают каждый день. то с этим нужно что-то делать. А если раз в 5 лет - то это случайные флуктуации. Ну появляются иногда психи, такова уж природа человека. А на борьбу со случайными флуктуациями требуется огромное количество ресурсов при никаком КПД. Это как производство абсолютно без брака - слишком дорого и не факт что вообще достижимо (если речь идёт о миллионах единиц продукции). Гораздо лучше держать качество на разумном уровне + выходной контроль + гарантийное обслуживание.

KivApple ★★★★★
()
Ответ на: комментарий от Deleted

Каким образом поднимали народные массы в 1917-ом году без Интернета? Наверное, всё же вопрос больше в состоянии этих самых народных масс (когда всё плохо, их поднять проще), качестве идеи (не в смысле качестве её результата, а то как она воспринимается людьми) и наличие внешней поддержки. А Интернет это всего лишь необязательный инструмент, который немного упрощает задачу. Я уверен, что заинтересованные лица, устроили бы арабскую весну и без Интернета.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от KivApple

Если поставить всё население Земли к стенке и расстрелять, то на следующий же день количество преступлений снизится до нуля

Как будто что-то плохое. Жалко только домашних котеек, их никто не покормит на следующий день. Не думаю, что они смогут открыть холодильник сами. Нужен другой план.

trupanka
()
Ответ на: комментарий от KivApple

Ошибка в том, что некоторые думают, что раз некоторые террористы сейчас используют интернет, они бы без него не справились.

Некоторые может так и не думают, но втирают большинству, что это так. А причина проаична и описана в блоге у того же Носика - деньги. Они с этого имеют деньги и большие. На сертификацию ПО, ОС, оборудования, работы «организаторов распространения информации» и т.д.

Если взрывают каждый день. то с этим нужно что-то делать. А если раз в 5 лет - то это случайные флуктуации.

Это далеко не случайные флуктуации. Это целенаправленные атаки исламских радикалов (будем честны, взрывают, режут, расстреливают, сжигают в наше время в основном они). Но то, что это направленный процесс даже хорошо. Его можно отслеживать, понимать откуда придет угроза.
Кстати, в Израиле взрывают почти каждый день уже который год. До сих пор не могут ничего сделать. Не знаю, как там у них со свободой Интернета и частной жизни.

Sociopsih ★☆
()
Ответ на: комментарий от Deleted

Да и вообще будь я бы правителем, который боится свержения. я бы периодически создавал группы Вконтакте (да, разумеется, пришлось бы потихому договориться с несколькими крупными сайтами, на мелкие плевать) с призывами меня свергнуть, а потом бы переписывал IP участников и высылал бы пативены. Аналогично с ЦП и наркотиками.

На самом деле вся эта шумиха вокруг интернета и массовые блокировки сайтов скорее вредны, чем полезна, потому что люди начинают интересоваться VPN, Tor и прочими технологиями. Вместо того чтобы психовать надо «молча делать выводы». А если мимо сетей пройдут некоторые личности, обложившиеся шифрованием, это вполне можно пережить. Революционеры никто, пока за ними не идёт толпа. А толпа выбирает вконтакте с фейсбуками.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от trupanka

а как быть с постоянно меняющимеся ключами, например, каждые 10 минут?

с многоуровневым шифрованием, когда передается только ключ, которым шифровался лишь один самый внешний поток, содержащий видео коллекцию съездов КП СС?

sanyock ★★
()
Ответ на: комментарий от sanyock

Ну это уже не проблема владельца сервера. Он будет отдавать то, что имеет. А что его сервер использовали просто как транспортную сеть для передачи зашифрованного трафика - это проблема ФСБ.
Как решение, наверное, будет DPI и запрет всех портов кроме 80 и 443. Хотя такое они могут сделать, если у провайдера кроме услуги Интернет80443 будет еще услуга «VPN и Skype для организаций», на которые тоже наложат ограничения.

trupanka
()

К стати, а почему про ppp забыли?
Можно пустить не шифрованное соединение, тогда и ключи от него предоставлять не надо.

torvn77 ★★★★★
()
Ответ на: комментарий от sanyock

На самом деле грамотное решение только одно - end-to-end шифрование. Во всех остальных случаях можно будет трактовать перегенерацию ключей как уничтожение улик и противодействие следствию.

Представь, что на место преступления будет каждые 10 минут специальный человек и стирать все отпечатки пальцев. Сам понимаешь, что ему за это будет. А вот если преступники работали в перчатках, то и следов не осталось, и владелец места не виноват. Плюс перчатки носить не запрещено.

KivApple ★★★★★
()
Ответ на: комментарий от trupanka

Забыл еще про white-лист сайтов, а не black-лист. Потому что в текущем виде мамкины террористы будут переписываться через зарубежные сайты, владельцы которых плевали на законы РФ, и будут отсылать в ФСБ по почте только открытки с гейской радугой и скачащем на ней пони «from NY with Love».

trupanka
()
Ответ на: комментарий от KivApple

Во всех остальных случаях можно будет трактовать перегенерацию ключей как уничтожение улик и противодействие следствию.

перегенарция ключей может быть необходима, чтобы следовать полиси компании, организации, моей собственной для защиты частной жизни, которая гарантирована Конституцией - верховным законом, после которого остальные законы намного менее значительные


Представь, что на место преступления будет каждые 10 минут специальный человек и стирать все отпечатки пальцев.

а причем тут преступление?

представь, что преступники получили ключи преступным путем (например, за счет коррупции конечно же преступной) и преступным путем снимают какую-нибудь ценную мне инфу, например мои исходные коды? которые я хочу скрыть от кого угодно, потому что это моя собственность и к примеру в этом их некоторая ценность, и уж от преступников хочу скрыть тем более

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 1)
Ответ на: комментарий от sanyock

Если следовать конституции, то под вопросом вообще как такие законы могли пройти. Ну а если смотреть про фактическую ситуацию, то это не ФСБ будет доказывать твою вину, а ты свою невиновность. И в случае end-to-end шифрования шансов это сделать куда больше. Ибо нет ни одного требования детектить и банить пользователей за шифрованный трафик, только предоставить ключи, которые тебе доступны.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от KivApple

Во всех остальных случаях можно будет трактовать перегенерацию ключей как уничтожение улик и противодействие следствию.

о каком уничтожении можно говорить, если будет предоставлено 100500 ключей?

а про противодействие, так оно в первую очередь жуликам, которые хотят получить доступ к приватной инфе, а то, что это противодействие следствию - это скорее всего манипуляция фактами, потому что закон не накладывает ограничений на частоту замены ключа, по закону то, что не запрещено - разрешено, значит можно менять хоть ежеминутно

sanyock ★★
()
Ответ на: комментарий от KivApple

Если следовать конституции, то под вопросом вообще как такие законы могли пройти.

Вот мне тоже интересно. Надо бы юристов спросить. А то может быть этот закон Яровой противозаконный и все последствия вызванные им тоже противозаконные?

sanyock ★★
()

следовать конституции

Следуй, чо. Тебе кто-то запрещает? ajajaj

trupanka
()
Ответ на: комментарий от sanyock

Вроде кто-то уже задавался этим вопросом. И пришёл к выводу, что де юре оно конечно так и некоторые законы в теории должны быть отменены, но по факту никто этого не сделает. Хотя если ты займёшься этим, держи нас в курсе. В случае успеха ты будешь героем и не только на ЛОРе.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Вроде кто-то уже задавался этим вопросом. И пришёл к выводу, что де юре оно конечно так и некоторые законы в теории должны быть отменены, но по факту никто этого не сделает. Хотя если ты займёшься этим, держи нас в курсе. В случае успеха ты будешь героем и не только на ЛОРе.

1) Во первых я не юрист и это не моя область специализации, т.е. проще нанять юриста

2) Если лично мне этот закон не навредит, то зачем мне с ним бороться?

3) Кто оплатит мое потраченное время? Настоящие герои всегда идут в обход :) Пусть лучше провы тратят свои кулилиарды на HDD.

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 4)

Информация передаётся на магнитном носителе по почте или по электронной почте.

Передавать на магнитных барабанах почтой россии.

atrus ★★★★★
()
Ответ на: комментарий от Sociopsih

Безопасность нужна всем и не только гражданам РФ.

Безопасность любой ценой нужна только безмозглым гражданам РФ, которым по*й на свои права.

zgen ★★★★★
()
Ответ на: комментарий от KivApple

Без ИИ такое в автоматическом режиме не отловить.

А зачем автоматически? Организуем карательные отряды под патронажем ФСБ, они смотрят-слушают, если им показалось, что ты виновен - значит ты виновен. Суд, расстрел.

Сейчас такие эксперты и их т.н. «экспертизы», что можно без них уже.

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 1)
Ответ на: комментарий от zgen

Я не говорю про «Тот, кто жертвует свободой ради спокойствия, не достоин иметь ни того, ни другого.»

Sociopsih ★☆
()
Ответ на: комментарий от zgen

Безопасность любой ценой нужна только безмозглым гражданам РФ, которым по*й на свои права.

Агентура ЗОГ всегда обращала защитные меры формально якобы против вредителей по факту в своих интересах, т.е. в т.ч. против законопослушных граждан.

Рассмотрим того же Сталина, чего-то пытался бороться, а в результате уничтожил огромное число невинных выдающихся людей.
Понятно ЗОГ ему «помог» в собственных интересах, а именно согнать интеллегенцию либо в виде рабов к себе на запад для построения сладкой жизни для коренного населения и себя любимых (ЗОГ) в первую очередь либо в виде рабов в советские шаражки для разработки вундерштуковин для запугивания «свободного мира» (в одной руке сникерс в другой руке марс), остальных растрелять. Хорошо хоть один политик (т.е. Владимир Вольфович кстати, что подозрительно, с еврейской фамилией) в РФ обличает все эти жуткие преступления Сталина, который возможно хотел как лучше, а благодаря ЗОГу получилось как всегда (как хотелось в первую очередь им)

Ну и тут аналогично они сразу же начнут тырить ключи пачками, это же очевидно.

Вообще у Жириновского последнее время на удивление здравые лозунги можно увидеть (если не брать во внимание воинствующие). Например, дифференцированная налоговая нагрузка на граждан. Непонятно, только, что это, предвыборный популизм или действительно истинные намерения.

sanyock ★★
()
Последнее исправление: sanyock (всего исправлений: 6)
Ответ на: комментарий от KivApple

будь я бы правителем, который боится свержения. я бы периодически создавал группы Вконтакте (да, разумеется, пришлось бы потихому договориться с несколькими крупными сайтами, на мелкие плевать) с призывами меня свергнуть,

Лимонов и лимоновцы именно для этого шестерят

Karapuz ★★★★★
()
Ответ на: комментарий от KivApple

поднимали народные массы в 1917-ом году без Интернета?

Я вас сильно удивлю и расстрою но в 1917 никакие народные массы никуда не поднимали. Вообще до января 1918го все было спокойно. А в январе ТОЛЬКО разогнали Учредительное собрание. И некоторые отдельные его члены удрали в Волгоград откуда начали грозить Ленину. Широкие народные массы тогда знали про Ленина не больше чем мы сейчас про Вайно
Все не так как нам лили в уши

Karapuz ★★★★★
()
Ответ на: комментарий от Karapuz

Факт в том, что императора свергли. И временное правительство потом тоже. И смогли потом власть удержать. И безо всякого Интернета.

Разумеется, условия были подходящие (власть претерпевала определённый кризис, в том числе в виде последствий не очень удачной войны), но так никакие революции на пустом месте не делаются и им предшествует определённый кризис власти. Вот кто пойдёт свергать власть в какой-нибудь Швейцарии? Там всем и так хорошо, плюс люди понимают, что если что-то не так, это можно легко поправить менее радикальными методами. А на той же Украине устраивать майданы стало уже традицией (ибо постоянно есть чем повозмущаться), вот один из них и оказался удачнее предыдущих.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)

Ещё до публикации конкретного порядка передачи ключей представители некоторых интернет-компаний выразили сомнение в возможности исполнения закона в части передачи ключей шифрования. Они говорят, что при использовании протокола HTTPS ключи шифрования хранить нельзя технически.

Странноватое утверждение или я что-то не понимаю. У тебя же на сервере для установления HTTPS соединения должен быть сертификат HTTPS установлен,подписанный неким центром. Насколько я понимаю если его передать в федеральную службу бабушек, то они смогут читать трафик между срвером и клиентом. Иной вопрос что это сильно порывает безопасность твоего сервера и открывает путь для сбора и анализа трафика с тебя в любое время.

pylin ★★★★★
()
Ответ на: комментарий от pylin

Странноватое утверждение или я что-то не понимаю.

Скорее второе. Собственно трафик шифруется симметричным алгоритмом (AES) с периодически изменяемым сессионным ключом, о котором в свою очередь договариваются через Диффи-Хеллмана (защита от пассивного прослушивания), а серты используются исключительно для аутентификации (защиты от активного человека-посередине).

Поэтому федеральной службе бабушек нужен или серт И человек-посередине, или тонны сессионных ключей, которые меняются каждые 10 минут и которые никто в здравом уме на диске не хранит.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от praseodim

Ага, самое веселое во всех этих историях это всякие успокаиватели типа: «закон суров, но это не про вас, вас это не коснется, хотя в законе написано про всех».

Ну и сам подход, что главным является не закон, а решение падишаха, который использует законы как формальный повод разобраться с неугодными. Впрочем, если взглянуть в историю, это характерная черта конфуцианства, которое монголы приняли от китайцев, а русские от монголов.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от trupanka

И что в этой схеме мешает серверу сохранять ключи сессий?

поздравляю шарик ты балбес (с) представь себе, что каждая сессия имеет свой ключ, да и мало того, оно еще может менятся от времени, а если это что то типа https, где на каждый чих сессия (то скачать, се скачать и тд и тп - запрос на каждую фигню, которой нет в кеше или заэкспайрилась), то ты заколебешся их хранить. Если пользовать грамотные алгоритмы, то вообще смысла в этом всем нет.

Вариант один - юзать некую неведомую чебурашку, которая будет plain traffic куда то класть, значит нет всему ПО, значит ... короче это все не будет работать. А потуги эти - забавы ради, ИБД называется.

alwayslate ★★
()
Ответ на: комментарий от cvs-255

а если я буду держать сервер, через который передают зашифрованные end-to-end сообщения?

держи, предоставляй, если каждый из них еще сверху шифрует до тебя, то пусть получат шифрованный трафик. а вообще, юридически, да и логически - бред это все.

alwayslate ★★
()
Ответ на: комментарий от alwayslate

короче это все не будет работать

Если у тебя ничего никогда в жизни не работало, это не означает, что у других ничего не будет работать. Может у них прямые руки и трезвая голова.

trupanka
()
Ответ на: комментарий от intelfx

Спасибо за разъяснение: про ключи у меня была путаница.

pylin ★★★★★
()
Последнее исправление: pylin (всего исправлений: 1)

По сути закона, им будут пользоваться чтобы запрашивать приватные ключи у серверов и устраивать mitm. DPI уже почти на всех крупных провайдерах воткнули, добавят сертификаты в СОРМ и вуаля - весь трафик как на ладони.

WARNING ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.