Президенту США было направлено соответствующее письмо, в котором авторы — а это представители около 140 ведущих технологических компаний США, включая Google и Apple, три из пяти членов специальной экспертной группы по информационной безопасности, созданной президентом США, ученые в области интернет-технологий и другие специалисты — попросили Обаму отказаться от попыток провести закон через сенат, так как данное решение, принятое под давлением ФБР и других спецслужб, ошибочно. Оно приведет к значительному ослаблению американской и мировой кибербезопасности, а также оставит обычных граждан беззащитными перед хакерами.
В письме авторы отметили, что «сильное шифрование является краеугольным камнем современной информационной экономики».
Для США это действительно так, ведь от доверия к американским коммуникационным технологиям напрямую зависят продажи тех же смартфонов и облачных услуг, а также развитие национального законодательства разных стран, которое может помешать американским компаниям свободно продавать свою продукцию.
В России вопрос о получении доступа к зашифрованным протоколам интернет-уровня пока не поднимался. Российская система права отличается от американской, а проблема получения информации с зашифрованных устройств и каналов связи не вызывает большого общественного резонанса.
Сертификация алгоритмов шифрования производится ФСБ и касается ввозимого оборудования, а также лицензирования деятельности соответствующих компаний, занимающихся внедрением корпоративных компьютерных систем, предназначенных для работы в государственных предприятиях и учреждениях, в телекоммуникационной отрасли, а также связанных с хранением персональных данных, в опасных производствах, на транспорте и т.д.
Само собой, и оборудование, и программное обеспечение проходят тщательное исследование на предмет уязвимостей и «закладок», и многие эксперты считают, что силовые структуры в той или иной степени имеют доступ к зашифрованным каналам связи.
Однако невозможно контролировать загрузку разнообразных средств шифрования через интернет, а также шифрование интернет-уровня, когда по открытым или зашифрованным каналам связи передаются зашифрованные другим методом данные. Можно «вломиться» в зашифрованный канал связи, перехватить информацию и получить в свое распоряжение зашифрованные пакеты данных, но на их расшифровку потребуются гигантские затраты времени и ресурсов.
Таким образом, частные интернет-пользователи в России оказываются более защищены, чем государственные учреждения, бизнес и абоненты сотовой связи. Но лишь потенциально, так как все сильно зависит от выбора средств шифрования и грамотной их настройки, особенно если учесть, что в российских спецслужбах работают специалисты с хакерскими навыками самого высокого уровня.
«Реализаций симметричного и асимметричного шифрования очень много, — комментирует Денис Легезо, антивирусный эксперт «Лаборатории Касперского». — Стойкость алгоритмов зависит от сложности ключей. Власти самых разных стран совершенно разумно, с их точки зрения, пытаются ограничить использование алгоритмов шифрования, которые в случае необходимости (розыск, слежка и т.п.) не смогут обратить. С точки зрения пользователей, во-первых, нужно выбрать нескомпрометированный алгоритм, изначально не содержащий математических ошибок, затем нескомпрометированную честную программную реализацию этого алгоритма и обеспечить сохранность своего ключа».
Если говорить о России и, например, о системе наблюдения СОРМ 2, то возможность прочитать почту, сообщения в мессенджере и т.д. при перехвате также наталкивается на три пункта, перечисленные выше.
«Даже контроль трафика не означает возможность расшифровать грамотно зашифрованное содержимое, — говорит Легезо. — Все упирается в вопрос доверия алгоритму, его программной реализации и сохранности ключей. Можно добавить еще один пункт — чистота техники, на которой производится шифрование. Клавиатурный или любой другой шпион может свести на нет всю сложную математику».
Как же будут развиваться события, если вопрос об обязательной сертификации протоколов шифрования тех же мессенджеров и социальных сетей в России будет поднят, несмотря на угрозу оставить пользователей без части популярных веб-сервисов на время переговоров транснациональных интернет-компаний с российскими властями?
В США конфликт между спецслужбами и бизнесом вышел в плоскость общественного обсуждения.
Текст письма оказался в распоряжении The Washington Post и вызвал большой общественный резонанс в США, напомнив обществу о первых выступлениях директора ФБР Джеймса Коми после заявлений Apple и Google о внедрении системы криптозащиты смартфонов, которую даже они сами будут не в состоянии вскрыть. В этих заявлениях он обвинил производителей в том, что они создают для граждан условия, которые ставят их выше закона. О том, что спецслужбы долгое время сами ставили себя выше этого самого закона, директор как-то забыл.
После раскрытия Эдвардом Сноуденом подробностей глобального наблюдения Агентства национальной безопасности США в 2013 году заявления директора ФБР о том, что безопасность граждан от террористов нуждается в такой же ревностной охране, как и право граждан на тайну личной переписки, вызвали скептическую реакцию. Однако, несмотря на это, соответствующая инициатива была направлена в законодательные органы.
Трое из пяти членов специальной экспертной группы по информационной безопасности также подписали письмо. Один из них, Ричард Кларк, бывший советник по кибербезопасности при президенте Джордже Буше-младшем, ревностный сторонник государственной безопасности, заявил, что, «если не удалось добиться доступа с «черного хода» к зашифрованным телефонным переговорам от операторов связи даже перед самым окончанием «холодной войны», он не представляет, «как этого можно добиться сейчас».
Бывший высокопоставленный чиновник департамента национальной безопасности заявил: «Если бы на самом деле был способ создать доступ с «черного хода» только для правительства США, я бы согласился с его необходимостью, но это просто невозможно».
Эксперты и законодатели также критикуют Обаму и Коми. Калифорнийский демократ со степенью в области компьютерной науки конгрессмен Тед Лью назвал «черные ходы» в программном обеспечении «технологической глупостью», а один из авторов алгоритма шифрования RSA (буква R в этом акрониме) Рональд Райвест заявил, что степень защиты стандартов шифрования может быть снижена, чтобы открыть доступ к зашифрованному <4>содержанию американским спецслужбам, но одновременно доступ получат и спецслужбы Великобритании, Франции, Израиля, Китая, а в конце концов и Северной Кореи.
Американские спецслужбы, согласно информации Эдварда Сноудена, уже не раз допускали утечки собранных баз скомпрометированных аккаунтов пользователей, в том числе высокопоставленных чиновников, журналистов и т.д., а также информации об уязвимостях в сетевых протоколах и программном обеспечении к международным преступным группам и иностранным разведкам, таким образом ставя под угрозу граждан и бизнес по всему миру.
Можно предположить, что попытка российских спецслужб получить доступ к протоколам шифрования крупнейших международных веб-сервисов будет встречена мерами по максимальному затягиванию решения (например, как это происходит с введением в действие закона о хранении персональных данных на территории РФ), а затем консолидированной позицией нескольких заинтересованных отраслей, лоббистов, зарубежных партнеров и др. Однако вряд ли международные веб-сервисы пойдут на предоставление российским спецслужбам бэкдоров к своим системам шифрования.