Что странно, поскольку у них там должен быть хотя бы один компьютерщик...
Компания «Яндекс» отказалась передать ФСБ ключи шифрования сервисов «Яндекс.Диск» и «Яндекс.Почта». Об этом сообщает принадлежащее Григорию Березкину РБК со ссылкой на анонимные источники.
Сообщается, что соответствующее требование сотрудники ведомства направили «Яндексу» несколько месяцев назад. По закону компания должна выполнить его в течение 10 дней.
По данным нескольких источников, силовики пытаются получить сессионные ключи, которые могут обеспечить доступ не только к определенным данным пользователей, но и просмотреть общий трафик конкретного юзера.
Такие одноразовые ключи используются для связи пользователя с сервером. Получив его, сотрудники ФСБ смогут расшифровать, к примеру, связку логина и пароля, необходимые для доступа к почте. Передавать и хранить их небезопасно.
В «Яндексе» данные о требованиях ФСБ и отказе передавать ключи никак не прокомментировали. Сотрудник пресс-службы заявил, что компания полностью соблюдает законодательство.
Короче. Смотрим внимательно. ФСБ ничего не заявляла, Яндекс ничего не заявлял. Заявил РКБ со ссылкой на онанимный (в данном случае) источник. То есть весь гон на совести РБК.
Теперь по сути гона.
Сессионный ключ - это ключ HTTPS-сессии. Каждый раз при установке соединения сервер отправляет свой открытый ключ клиенту, а клиент свой открытый - серверу. Так происходит по причине того, что применяется несимметричное шифрование с открытым и закрытым ключом.
Оба открытых ключа можно получить простым прослушиванием сессии в момент, когда она устанавливается.
Данные от сервера к клиенту шифруются открытым ключом клиента. Данные от клиента серверу - открытым ключом сервера. Если мы получим доступ к трафику от клиента к серверу, то теоретически, мы получим логин и пароль. Намекаю - бумага с печатью делает то же самое гораздо быстрее, надежнее, и главное, если клиент задумает поменять пароль - это ему не поможет. Получить доступ трафика от клиента к серверу можно только получив закрытый ключ Яндекса. Однако поскольку HTTP-сервер шифрует все сессии одной парой ключей - это означает перлюстрацию ВСЕХ пользователей одновременно. На такое Яндекс не пойдет, потому что сама ФСБ его за это и упрячет в кутузку. А получить закрытый ключ клиента можно только у клиента, такие дела.
Итого - как само требование выдать сессионный ключ является нонсенсом (напоминаю - бумага с печатью) с правовой и организационной точки зрения, так и его выдача в лучшем случае никаких дополнительных возможностей правоохранителям не дает.
Поскольку трафик от сервера к клиенту шифруется открытым ключом клиента, который в общем случае получить нельзя - постольку и самое интересное все равно не видно нихрена...
В случае, если для HTTPS-сессий используются одноразовые ключи, генерируемые на основе одного верифицированного сертификата (геморройно, но теоретически я это могу себе представить, просто это никому не нужно, хотя кто знает, что нужно Яндексу?) непосредственно в момент установления сессии - тогда требование лишено смысла и невыполнимо в принципе и одновременно.
Таким образом, РБК пытается нас убедить в бессмысленной и тупой возне ФСБ и Яндекса. При наличии серьезных специалистов и там, и там. Крайне сомнительно... А вот в попутку поднять рейтинг РБК я вполне верю. Ибо в последнее время...
Journal information