"1. Вышел приказ ФСБ, утверждающий "порядок предоставления операторами распространения информации (ОРИ) информации, необходимой для декодирования сообщений", сам порядок крайне лаконичен (шесть пунктов на полутора страницах) и ни на один вопрос не отвечает", - пишет Леонид Волков в Facebook.
"2. Важно понимать, что он не относится к провайдерам. Провайдеры - не ОРИ. Провайдеры и сейчас весь трафик собирают и передают в ФСБ в рамках СОРМ-3; сейчас хранится весь трафик за 12 часов, по "закону Яровой" будет храниться весь трафик за более длительное время, но пофиг - сейчас примерно 50% трафика это шифрованный https-трафик, его доля стремительно растет, сделать с ним ничего не могут ни провайдеры, ни ФСБ, которое его собирает..."
"3. Важно понимать, что он не относится и к мессенджерам. Потому что и мессенджеры - не ОРИ. Теоретически можно себе представить, как ФСБ запрашивает заказным письмом у условного "Вайбера" ключи конкретных пользователей, а "Вайбер", не уведомляя пользователей, присылает в ФСБ эти ключи, и пока пользователи, ничего не подозревая, обмениваются планами взрыва Кремля, ФСБ эти планы читает. Особенно легко это представить в отношении сервисов, где нет end-to-end-шифрования, а есть шифрование только от пользователя до сервиса, но в принципе и про end-to-end можно представить, не особо напрягаясь..."
"Но, повторюсь, к мессенджерам (а равно и к почтовым сервисам, к VoIP и т. д.) приказ ФСБ N432 от 19 июля 2016 года тоже не относится никак.
4. А к кому он относится? А относится он только и исключительно к ОРИ: то есть к очень странному перечню из примерно 65 веб-сервисов, сайтов и компаний. Реестр ОРИ возник на одной из волн внедрения интернет-цензуры; туда планировалось включить все сайты и порталы с посещаемостью более 3000 человек в день, нагрузить их обязанностями и ответственностью СМИ и, таким образом, не дать публиковать всякие нехорошие гадости про Владимира Владимировича Путина, да продлятся его благословенные дни. Реестр открыли, с помпой и почетом включили туда на первые четыре места "Яндекс", "ВКонтакте", "Рамблер" и "Мэйл.Ру"... а дальше что-то пошло не так и его попросту забросили".
"5. Итак, сейчас, по своему порядку, ФСБ может писать заказные письма одному из примерно 70 субъектов реестра ОРИ и требовать "предоставить необходимую для декодирования информацию". Необходимую для декодирования чего? Это ж просто сайты.
6. Логически рассуждая (хотя рассуждать логически о приказах ФСБ и "пакете Яровой" довольно трудно), можно предположить, что запрашиваться могут ключи, с помощью которых эти сайты шифруют трафик по https. (Хотя, вероятно, далеко не все из сайтов из реестра ОРИ применяют https.) И если предположить, что сайты в ответ на заказное письмо отправят эти ключи "на магнитном носителе", то дальше ФСБ может взять трафик (из шестимесячного хранилища!) между пользователем и сайтом из реестра ОРИ и пытаться его расшифровывать этими ключами.
7. Удачи в этом нелегком деле и попутного ветра: это ж сколько надо долбиться и сил потратить, чтобы выяснить, что именно пользователь скачал с сайта "Сыктывкар.Ру" и с форума "Мамы Абакана" (реальные примеры из реестра ОРИ), пытаясь сопоставить сессионные ключи https (одноразовые на каждый сеанс связи) с гигантским хранилищем трафика, скачанным данным пользователем (а если он еще и через разных провайдеров ходил, а? с домашнего компьютера и с телефона?). Это в целом-то не очень тривиальная задача, сравнимая с поиском иголки в стоге сена - даже если все ключи на руках уже есть".
"Резюме 1. Совершенно очевидно, что сейчас ФСБ выполнило поставленную руководством задачу откровенно "на ...". Им сказали разработать порядок - они разработали. И смысл, и структура и даже длина этого документа говорят о том, что никто не собирается по этому порядку работать".
"Резюме 2. Надо внимательно следить за реестром ОРИ. Если все-таки будут попытки выжать что-то из "пакета Яровой", то их внешнее проявление будет заключаться в попытках насильственного включения в реестр ОРИ новых субъектов, которых там нет. Желтым флажочком будет, если он вдруг внезапно начнет пухнуть с нынешних 65 сайтов до сотен и тысяч. Красным флажочком - если в него начнут включать (или если в него сами начнут включаться) мессенджеры и прочие коммуникационные сервисы.
Но пока что до этого бесконечно далеко. Общайтесь сколько угодно, это безопасно".