В ФСБ заинтересовались «Яндексом»

Сотрудники ФСБ несколько месяцев назад запросили у «Яндекса» ключи для дешифровки переписки пользователей «Яндекс. Почты» и «Яндекс. Диска». Об этом сообщает принадлежащее Григорию Березкину РБК со ссылкой на источник на IT-рынке и близкого к компании человека.

По данным портала, «Яндекс» отказался передать информацию, так как с помощью ключей можно дешифровать весь трафик от пользователей к включенным в реестр сервисам компании. Это «несет значительные риски в плане безопасности».

«Яндекс. Почта» и «Яндекс. Диск» включены в реестр организаторов распространения информации (ОРИ). По «закону Яровой» они обязаны предоставлять ключи для дешифровки по требованию ФСБ, в противном случае им грозит блокировка.

Как рассказал РБК близкий к «Яндексу» собеседник, в компании обеспокоены тем, что сотрудничество с ФСБ может спровоцировать отток пользователей, потерю доли на рынке и серьезные денежные потери. По словам источников портала, в компании считают, что ФСБ слишком широко трактует норму «закона Яровой».

В пресс-службе компании РБК заявили, что «Яндекс» работает в полном соответствии с законами и отказались от дальнейших комментариев.

Источники РБК говорят, что спецслужба потребовала от компании предоставить сессионные ключи, то есть ключи шифрования, которые используются только для одного соединения между пользователем и сервером (для одной сессии).

Экс-разработчик The Tor Project Леонид Евдокимов рассказал порталу, что уровень безопасности действительно может упасть в случае дешифровки пользовательского трафика. По его словам, смысл использования сессионного ключа заключается в том, что он не сохраняется. Таким способом обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. Поэтому хранение и передача сессионных ключей создают риски.

Евдокимов добавил, что обладание сессионным ключом позволяет анализировать поведение пользователей. Например, смотреть, кто и что скачивает в «Яндекс. Диске».

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий рассказал, что «Яндекс» использует систему Single Sign-On, которая позволяет при авторизации в «Яндекс. Почте» без повторной аутентификации перейти в «Яндекс. Музыку», «Яндекс. Диск» и любой другой сервис.

В апреле прошлого года суд постановил заблокировать мессенджер Telegram из-за отказа передать ФСБ ключи шифрования переписок, — пишет Рамблер.