Великобритания планирует запретить end-to-end шифрование

Стало известно, что новое правительство Великобритании планирует вновь заняться вопросами шифрования в Сети. В парламенте рассмотрят нормативно-правовой акт, который обяжет социальные сети и провайдеров услуг связи предоставлять дешифрованные данные государственным организациям по требованию.

/ Flickr / Kārlis Dambrāns / CC

Под закон попадают мессенджеры, например Facebook Messenger, платформа WhatsApp, iMessage. Но есть проблема, которая заключается в том, что компании, использующие e2e-шифрование для защиты пользовательской информации, не могут предоставить желаемые правительством данные в доступной форме, поскольку они не обладают ключами, необходимыми для дешифровки.

Представители WhatsApp пока отказались комментировать ситуацию. Отказались от комментариев и в компании Apple. Но Apple известна своей политикой защиты пользовательских данных, когда не стала предоставлять доступ к заблокированным iPhone спецслужбам США.

Технические подробности реализации доступа к данным пока также остаются неясными. Один из рассматривавшихся сценариев — обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости. Однако от такого варианта развития событий, по словам представителей министерства, правительство отказалось. В какой-то степени этому поспособствовал технический отчет Keys Under Doormats от ученых экспертов, профессионально занимающихся проблемами защиты информации.

В нем отмечалось, что исключительный доступ к данным пользователей невозможен без появления неприемлемых рисков безопасности. Вот один из ключевых параграфов заключения:

«В этом случае придется поступиться вопросами безопасности, поскольку нельзя гарантировать доступ государственных агентств к данным, не создав при этом угрозу взлома злоумышленниками. Более того, организация доступа разных правоохранительных органов в нескольких странах — это невероятно сложная задача для интернациональной компании».

В связи с этим наиболее вероятным исходом кажется вариант, когда социальным платформам предложат воздержаться от использования сложных методов шифрования. Кроме того, этот вариант уже обсуждался в прошлом году.

«Судя по всему, закон обяжет провайдеров обеспечивать шифрование, которое может быть взломано — то есть шифрование не end-to-end», — так прокомментировал эту ситуацию парламентарий Пол Страсбургер (Paul Strasburger).

Возможно, многим сервисам, функционирующим на территории Великобритании, придется убрать из маркетинговых материалов слова «end-to-end шифрование». В любом случае голосование по этому вопросу будет проведено после 8 июня, когда новое правительство Великобритании официально приступит к исполнению обязанностей.

P.S. Еще несколько материалов по теме из нашего блога:

VAS Experts 111,07
Российский разработчик DPI-системы СКАТ
Поделиться публикацией
Комментарии 55
  • –5
    Великобритания планирует запретить end-to-end шифрование
    обяжет предоставлять дешифрованные данные по требованию
    А кто-то еще на ализара ругается
    • +7
      Начать с того, что The Sun — тот еще источник достоверной информации…
      • +1
        Вроде как есть ссылки и на комментарии в techcrunch. Просто если смотреть только на первую ссылку в материале, то в целом из вас получится «тот еще аналитик степени достоверности информации».
      • 0
        Предложение «воздержаться от использования сложных методов шифрования» по сути тождественно «обязать компании встраивать бекдоры к e2e-шифрование или реализовывать разного рода уязвимости». Соответственно, и злоумышленникам будет радость от такого решения.
        • –1
          И спецслужбам и злоумышленника, пострадает как всегда только простой народ.
          • 0
            Простой народ обычно не парит шифрование. 95%… (ну вы поняли)
        • 0
          Англичане закон, конечно, не примут, но наши депутаты будут на него ссылаться каждый раз, когда захотят оттяпать ещё немножко приватности.
          • +5

            Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.
            Так что 1984 в котором рассказывалось про Британию — становится реальностью.


            PS в одной из старейших конституционных монархий (старейшая — Япония), документ играющий роль конституции — Великая Хартия Вольностей, формально конституцией не является.

            • 0
              Почему не примут? Примут! Уже приняли уголовное наказание за отказ сообщить пароль.


              Не подскажите, где можно почитать об этом? А то найти не могу.
              • 0
                Тут выжимка, тут сам закон. В целом, ничего особенного, обычные требования выдачи информации, если того требует нацбезопасность, следствие и прочие экономические интересы
                • +1
                  И, что примечательно, ресурсы работают без https…
                  • 0
                    Божечке мои… У меня есть старый шифрованный True Crypt диск…
                    Я от него забыл пароль. Вернее, я уверен что помню пароль. Но по неизвестной мне причине диск монтироваться не хочет…
                    ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска…
                    • 0
                      ВОт же жопа будет, если ко мне придут и в итоге попросят пароль от этого диска
                      Если к вам придут — у вас жопа не из-за диска будет, не просто же так пришли-то :)

                      На самом деле, в законе (пункт 50.3) написано, что если человек не обладает ключом или информацией, которую нужно расшифровать, то закон обязывает его просто сотрудничать таким же образом со следствием в отношении других своих ключей и информации (если не так понял — поправьте)
                • 0

                  Зато в конце-концов они взорвут свой парламент, убъют канцлера, и снова заживут счастливо.

              • +1
                Дстаточно открыть возможность писать плагины для приложений, позволяя осуществлять e2e-шифрование самим пользователям.
                • +3

                  Опять эпоха борьбы с PGP?


                  Запрещать провайдерам end-to-end шифрование абсурдно, поскольку по определению им занимается не провайдер, а пользователи. А если встроенные инструменты уберут, то пользователи все равно смогут пересылать зашифрованный контент.

                  • 0

                    В Британии уже есть уголовная статья за отказ предоставить пароль, значит будет и уголовная статья за PGP.

                    • 0
                      А если на самом деле забыл пароль, что делать?
                      • 0
                        Использовать e2e без пароля.

                        В самом деле, приватный ключ должен использоваться только для удостоверения личности, а не для шифрования. Шифрование нужно делать механизмами Perfect forward secrecy, а сообщения автоматически удалять после 10 минут от прочтения (в случае голосового общения ещё проще — не вести запись).

                        Тогда и спросить с тебя будет нечего. Заберут устройство, получат удостоверяющий личность закрытый ключ, а ты тем временем пишешь в твиттер, что ключ скомпрометирован и если с вами связываюсь я, то это — не я.

                        Потом просто перевыпустишь идентификационные ключи, и всё.
                        • 0
                          Да я не про то, пароль ведь может быть от зашифрованных данных на диске. Я обязан его предоставлять? И если обязан и забыл, то тогда что? Нужно ведь доказать, что я пароль злонамеренно не говорю, а не забыл. Короче вся эта возня вокруг паролей такая же хрень как и с полиграфом. Ты можешь отказаться, но тогда тебя будут подозревать, что ты что-то скрываешь.

                          С технической точки зрения все будут пользоваться плагинами/софтом с нормальным шифрованием и всё. Чтобы к тебе пришли за паролем нужно попасть каким-то образом под подозрение, а чтобы попасть под подозрение нужно посмотреть твой трафик. А если куча людей будет пользоваться «запрещённым шифрованием» ко всем не набегаешься.
                          • 0
                            А почему собственно доказывать что «забыл». Не хочу и всё. Нельзя позволять государству принимать законы, ущемляющие гражданские свободы.
                      • 0
                        1. Отказ от сотрудничества с органами дознания.
                        2. Использование некого программного обеспечения.

                        Вроде самую малость не одно и то же, и даже не в одной категории.

                        • 0

                          А что дальше? Ведь есть ещё стеганография.

                        • 0
                          Насколько я понимаю, требование не к провайдерам, а к владельцам мессенджеров.
                          • 0

                            А может, британские власти надеются, что после принятия данного закона законопослушные террористы и педофилы откажутся от end-to-end шифрования?

                          • +8
                            Тот, кто отдаёт свою свободу за безопасность, не получает ни того ни другого (с)
                            • 0
                              Мне все-таки интересно, когда до государевых мужей дойдет осознание того банального факта, что момент уже упущен и фарш назад не провернуть — сейчас любой босяк с телефоном может сделать себе мессенджер с шифрованием. И произойдет это примерно через 5 дней после запрета вацапа, телеги и других. Из которых три дня будет качаться android studio на плохом интернете.
                              • 0
                                Проблема в том, что в таком случае полицаи придут уже к нему.
                                • +1
                                  Автор софта может быть в юрисдикции другого государства. И вообще, в гугл маркете это не мессенджер, а бездарная игра типа 3-в-ряд, или тетрис, где мессенджер открывается после секретного жеста по экрану.

                                  Удачи в поисках, полицаи-пограничники.
                                  • 0
                                    «К нему» в смысле к пользователю. И то, что пользователь вдруг не знает ключей и алгоритмов, используемых чатом внутри его тетриса окажется его личной проблемой. Была же история, когда за файл со случайными числами (шум с матрицы телескопа) посадили человека.
                                    • 0
                                      Читайте мой коммент выше про Perfect forward secrecy.

                                      Пользователю не нужно знать никакой пароль. Приложение должно генерировать секретный ключ исключительно для идентификации абонента и он открыто лежит на устройстве.

                                      Только он полезен полицаям только в одном сценарии — при попытке выдать себя за абонента в последующих сеансах связи. Что пресекается открытым распространением инфы, что аккаунт/устройство/ключ скомпрометированы.
                                      • 0
                                        Проблема полицаев в том, что если этот месенджер будет пересылать фотографии котиков, содержащие в себе стеганограммы сообщений, то они, не то, что доказать, но, даже, обнаружить, такие сообщения, не смогут. А если, даже, и возникнут, у них, какие-то сомнения, то пускай приходят — пользователь без труда предоставит им фотографии котиков.

                                        P.S.: Фотографии котиков могут передаваться и через обычные месенджеры…
                                        • 0
                                          Ввести обязательным сжимание жпегом на 80-90% качества. То же для MP3 и прочего. За подделку meta-информации или jpegrar — 5 лет строгача. За png — расстрел на месте.
                                          • +1
                                            Стеганографический алгоритм можно адаптировать к любому проценту потерь, вопрос только в соотношении полезной нагрузки к переданной информации.
                                        • 0
                                          Фотографии котиков могут передаваться и через обычные месенджеры
                                          Как показывает практика тот же Viber при передаче фотографии выполняет над ней некоторую обработку, в частности «пережимает» для снижения размера. Вот только клиент или серверная часть — не озадачивался.
                                        • 0
                                          А что за история?
                                          • 0

                                            Вроде не посадили, а продержали в аэропорту.

                                        • +1
                                          Для начала надо найти автора безымянного apk, распространяющегося по торрентам да файлопомойкам. Вы же не думаете, что кто-то будет заморачиваться с попаданием в стор? :)
                                        • 0
                                          Вы переоцениваете людишек. Некоторые даже качать ленятся — слушают и смотрят потоки. Какой то процент босяков себе мессенджер конечно напишет, массы — нереально. А когда какой-то начнет распространяться — ну вы поняли
                                          • 0
                                            На самом деле босяки уже написали себе мессенджер, и то, что о нем, возможно, пока мало кто из потенциальных террористов знает — это всего-лишь «недоработка» законотворцев, которые пока что не запретили более удобные вацап и ко.
                                            • 0

                                              Ждём новости — Роскомнадзор внёс в список блокировок запрещённый мессенджер Alrawi (запрещено в РФ) от запрещённой организации ИГИЛ (запрещено в РФ), применяемый запрещёнными террористами (запрещены в РФ) для проведения переговоров (запрещённых в РФ).
                                              И статьи с рекламой на ПониТудей о победе Роскомнадзора и указанием названия того что нужно скачать.

                                            • 0

                                              Ну так проблема в том, что кому надо — напишет. И какой смысл тогда во всем этом, если кого надо не поймают?

                                          • 0
                                            «Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.» ©
                                            • 0
                                              В UK это конечно выглядит глупо, но не так страшно, с их знаменитыми судами. Всякие же людоедские диктатурки с удовольствием такой опыт на свой людоедский лад переймут.
                                              • 0
                                                Ассанжу это расскажите.
                                                • 0
                                                  Это тому, который мир с ног на голову перевернул и еще жив?
                                                  Издержки политического супергероизма к британскому суду отношения имеют мало.
                                                  • 0
                                                    А вы изучите вопрос подробнее, как там британский суд себя повёл.
                                                    • 0
                                                      Если вы имеете в виду, что британский суд поступает по закону, а не по понятиям, так я вас удивлю: суд и должен так поступать.
                                                      • 0
                                                        Нуок. Когда очередной политик или журналист в США, ЕС или Британии попадётся на обвинениях в изнасиловании, за что его превратят в гумус, а потом отпустят, просто повторите про себя: «он же доказал свою правоту в суде, их суды самые честные».
                                                        • 0
                                                          В изначальном тезисе лишь относительная оценка, давайте без максимализма.
                                                          • 0
                                                            Вы ещё скажите, что под «людоедскими диктатурками» вы имели в виду Турцию и Саудовскую Аравию. Мы тут в большинстве своём не дети, и далеко не глупые люди.
                                              • 0
                                                Почему-то очень популярной становится борьба со следствием вместо причины. Или они думают, что кто-то в мессенджерах будет писать прямым текстом сообщения типа «завтра идем взрывать парламент в 15:00, собираемся у ларька с шаурмой»?
                                                • 0

                                                  Таки и BBM (blackberry messenger) нагнут на ключи?

                                                  • 0
                                                    разве это не бессмысленный закон, законопослушные граждане будут более открыты, а те кто хочет что-то натворить всё равно найдут способ скрыть свою переписку, за пару дней можно написать мессенджер с шифрованием и своим хостингом, но даже это не совсем нужно если можно писать плагины то текст можно на лету шифровать и отсылать через популярные мессенджеры, ну или клиент свой, а веб-апи от готовых мессенджеров.
                                                    если делать всё по уму то надо не за трафиком следить, а за самими устройствами, даёшь закон он обязательном наличие кейлоггера во всех электронных устройствах :D хотя даже это не поможет, только тупые попадутся

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое