Корпоративным подписчикам возможность читать все сообщения команды, в том числе написанные в личных и секретных чатах. Компании читают переписку сотрудников и сейчас, используя для этого DLP-решения. Это технологии предотвращения утечки информации, с их помощью можно следить за тем, чем занимается человек, а также автоматически анализировать его переписку по ключевым словам. The Village узнал у эксперта по информационной безопасности, какие чаты может легко прочитать начальник, законно ли это и где можно вести конфиденциальные беседы.

Как компании читают переписку сотрудников?

Кирилл Керценбаум

директор по развитию бизнеса Group-IB

Есть несколько технических способов отследить переписку сотрудников в офисе. Например, с помощью установки специального агента на каждую рабочую станцию. Он может встраиваться в браузер или само приложение чата или же перехватывать и расшифровывать трафик на уровне сетевого оборудования. И тот и другой способ означает использование так называемой техники Man-in-the-middle («человек посередине»).

Некоторые службы обмена сообщениями, хранящие историю переписки локально, например Skype for Business, позволяют IT-службе просматривать логи сообщений без установки дополнительного ПО. Перехват трафика социальных сетей и служб обмена мгновенными сообщениями, в частности веб-версии мессенджера Telegram, доступен в некоторых DLP-решениях.

Какие сообщения прочитать труднее?

Перехватывать информацию со смартфонов сложнее. На Android тоже можно установить специальный DLP-агент, но если устройство принадлежит сотруднику, а не компании, то сделать это легально можно только с его согласия. Установить такую программу на iOS-платформу, если устройство не было взломано (jail break), невозможно.

Доступ к переписке легальным способом нельзя получить на любой платформе, где используется сквозное шифрование . Это относится к мобильным мессенджерам WhatsApp, Telegram и Viber. Но опять же в случае использования веб-версии Telegram доступ к текущей переписке возможен. Также стоит помнить о том, что большинство сервисов обмена сообщениями позволяет хранить или архивировать историю сообщений локально или в облачные сервисы, в частности Apple iCloud или Google Drive. Получив доступ к этим архивам, можно прочесть историю переписки конкретного человека. Но это скорее может сделать кибепреступник, а не работодатель, так как это нелегально.

Законно ли это?

Законодательство на это смотрит двояко, в частности судебная практика в России имеет примеры, когда суды вставали и на сторону работодателя, и на сторону сотрудника. Самый надежный способ избежать судебных претензий - прописывать эту возможность в трудовом договоре и получать явное согласие сотрудника на доступ в случае необходимости к его служебной переписке. При этом следить за личной перепиской работодатель не имеет права.

Очень важно отметить, что такое согласие дает работодателю право на автоматизированный контроль переписки по ключевым словам, но не тотальный контроль всех сообщений и их ручную обработку. Суд может это истолковать как нарушение права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23 Конституции России).

Есть страны, в частности Германия, где работодателю законодательно запрещено мониторить любую переписку, даже служебную, даже если сотрудник дает на это согласие в трудовом договоре. То или иное сообщение можно прочитать только с разрешения работника и при его содействии.

Где лучше вести переписку, чтобы сохранить ее в секрете от начальства?

Переписку нужно вести с личных мобильных устройств и только с использованием сервисов, которые используют сквозное шифрование, в частности Telegram, WhatsApp, Viber. Также лучше это делать, не подключаюсь к корпоративной Wi-Fi-сети.

Чтобы защитить переписку от доступа третьей стороны, в том числе хакеров, лучше использовать секретные или приватные чаты. Во-первых, в них обычно есть дополнительный слой шифрования. Кроме того, их история не сохраняется ни на устройстве, ни на серверах провайдера сервиса, ни в резервных копиях.

20 марта Верховный суд законными требования ФСБ расшифровать переписку пользователей Telegram. Роскомнадзор направил мессенджеру требование выдать ключи шифрования в течение 15 суток, в противном случае ведомство имеет право заблокировать работу сервиса на территории России уже после 5 апреля.

3 апреля группа активистов провела серию одиночных пикетов против блокировки Telegram около приемной ФСБ на Кузнецком Мосту. Они читали вслух отрывки из своих личных переписок.

Почти сразу участников отвели в автозак, а через сорок минут доставили в ОМВД по Мещанскому району для «профилактической работы». Позже Анатолий Капустин, один из задержанных и организаторов серии одиночных пикетов, рассказал, что никакой беседы не было. Он также сообщил, что у всех участников записали паспортные данные, но причину задержания так и не сообщили. Спустя час активистов отпустили без составления протокола.

«Афиша Daily» поговорила с участниками пикетов о том, почему они вышли читать свои личные переписки.

Анатолий Капустин

Микроблогер, организатор акции

«Мы хотели показать, насколько это абсурдно, когда государство пытается залезть в личную переписку граждан. А еще то, что когда это личное выплескивается в публичное пространство, всем сразу становится неловко. Можете сами попробовать вслух прочитать переписку с близким человеком, и вы почувствуете, как это странно звучит. Сейчас ФСБ требует, чтобы Telegram передал доступы к личным перепискам пользователей, и грозит заблокировать мессенджер. А мы решили сами отдать им свою переписку, потому что не хотим, чтобы они с радостью вырвали ее у нас из рук. Я против расшифровки переписок, потому что считаю, что у человека должно оставаться личное пространство, в которое государство не должно вмешиваться».

Элизабетта Корси

«Наша акция была рассчитана на то, чтобы показать ту неловкость, которая соответствует чтению чужих личных переписок. Что это не очень-то и нормально, потому что личное должно принадлежать нам и больше никому. А наше государство ведет себя совершенно иначе. Мы уже очень давно живем в такой ситуации, когда наши личные данные могут стать достоянием спецслужб или кого-то еще. Сейчас происходит очередная попытка блокировки Telegram, которая рассчитана именно на то, чтобы у нас не оставалось никакого личного пространства. Вот мы и вышли читать свои переписки, но нас быстро задержали. Меня задержали секунд через десять после того, как я начала читать. Очень показательно, что нам даже не дали ничего сделать».

Артем Штанов

Активист, организатор акции

«Если честно, у меня тряслись руки, когда я это [личную переписку] читал. Как раз от того, что вокруг было много людей, камеры и прочее. Я читал очень личные и важные вещи для меня. Но наверняка никто из сотрудников ФСБ не думает, каково будет людям жить с этим ощущением, что в любой момент какой-нибудь товарищ полковник может взять и прочесть твою переписку с женой, мужем, дочкой или друзьями. И не потому, что там есть что-то стыдное или незаконное, это неважно. Важно само ощущение. Личная переписка - это интимная зона. Мы подумали, что, возможно, они [сотрудники ФСБ] не до конца это понимают. И решили выйти к приемной ФСБ и прочесть часть своих личных переписок с близкими людьми, чтобы они и люди вокруг поняли и мы сами лучше осознали, насколько это неловко, потому что все это личная и интимная часть твоей жизни, куда ты не хочешь пускать никого».

В Интернете больше нет личного пространства.

Наверное, многие из вас задаются вопросом: «Могут ли спецслужбы прочитать мою переписку в Интернете?». Пиковым моментом стала ситуация с разоблачителем американских спецслужб Эдвардом Сноуденом, который на своем примере открыл глаза всему миру на то, что личные данные, переписки и звонки могут просматривать и прослушивать спецслужбы без каких-либо разрешений и постановлений суда.

Давайте разберемся во всем по порядку.

Мобильный телефон

Сноуден показал всем, что телефон – это «лакомый кусочек» для спецслужб многих стран. Они с легкостью могут получить доступ к телефону, отправив на него зашифрованное текстовое сообщение, которое, естественно, не заметит пользователь. После чего на вашем телефоне будет работать «комплект смурфов» (Smurf suite) – набор секретных методов перехвата. Каждый «смурф» выполняет свои функции, в итоге спецслужбы могут отслеживать, кому вы звонили, что вы написали в текстовом сообщении, какие сайты вы посещали, кто у вас в списке контактов, в каких местах вы находились, к каким сетям беспроводной связи подключался ваш телефон. И самое интересное – спецслужбы могут сделать фото с вашего телефона и включить микрофон для прослушивания окружающей обстановки в любое время, независимо от вашего желания.

Стоит сказать, что эти самые «смурфы» – совместная разработка спецслужб нескольких ведущих стран. Конечно, не все страны используют именно «комплект смурфов», но спецслужбы абсолютно в каждой стране имеют свои способы для прослушивания телефонов и в любой момент могут их применить. Вообще говоря, получается, что, получив доступ к вашему телефону, спецслужбы получают доступ ко всей вашей личной жизни.

Конечно, все государства в один голос утверждают: «Деятельность по слежке проходит в рамках строгого правового режима и принципов, гарантирующих, что эта деятельность санкционирована, необходима и пропорциональна». И, скорее всего, они действительно применяют эту технологию только в отношении определенных лиц, и именно ваш телефон сейчас не прослушивается. Но уверяю вас, если ваш телефон начнут прослушивать, вы об этом даже не будете подозревать.

Что касается переписок в социальных сетях, то, конечно, далеко не все спецслужбы могут их открыто читать, но у них точно есть доступ к публикациям, не скрытых в личных сообщениях, а также к информации о том, кто, кому и во сколько отправил сообщение. А в Великобритании, например, переписки в социальных сетях официально признали «внешними коммуникациями», что дало возможность спецслужбам этой страны в прямом смысле читать все сообщения. Этому примеру могут последовать и другие страны.

Однако не стоит забывать, что доступ ко всем перепискам в любой социальной сети есть у владельцев и администраторов самого ресурса. И они уже могут предоставить вашу личную переписку правоохранительным органам по постановлению суда, в котором сказано, что передача такой информации является необходимой для проведения расследования. При этом именно социальная сеть принимает окончательное решение о том, какие конфиденциальные данные могут быть раскрыты в каждом отдельном случае.

Поэтому пока вы можете не беспокоиться за сохранность ваших личных переписок в социальных сетях, если вы не нарушаете закон и не попали «на карандаш» к спецслужбам. Как говорит один из пресс-секретарей Вконтакте:

Если вы торгуете оружием или наркотиками, распространяете детскую порнографию или имеете отношение к организованной преступной деятельности, не пользуйтесь нашим сайтом вообще.

Администрация Facebook и Instagram запретит размещать сообщения о продаже огнестрельного оружия и боеприпасов.

Такое решение было принято в связи с подтвердившейся информацией о том, что некоторыми пользователями Facebook используется как площадка для нелегальной торговли оружием.

Статьи по теме:

Мессенджеры

Похожая ситуация обстоит и с мессенджерами, такими как Viber, WhatsApp, ICQ, Telegram. Владельцы этих приложений предоставляют информацию спецслужбам по их запросу и постановлению суда. Также все переписки проходят через фильтр «нежелательных» слов, а собранные данные направляются прямиком спецслужбам.

В этом плане Telegram является самым защищенным мессенджером от прослушки и слежки , поскольку имеет дополнительную функцию приватного чата с end-to-end шифрованием.

Как заявил создатель Павел Дуров:

Telegram не хранит незашифрованных сообщений, а в случае их удаления с телефонов они пропадают навсегда.

В связи с тем, что власти не могут полностью контролировать переписку в Telegram, он уже был заблокирован в Иране и некоторых регионах Китая.

Вот с программой Skype ситуация обстоит кардинально иначе: компания Microsoft, которая купила Skype в мае 2011 года, снабдила сервис технологией законного прослушивания. И с того момента любого абонента можно переключить на особый режим, в котором ключи шифрования генерируются не на устройстве пользователя, а на сервере. А тот, кто имеет доступ к серверу, может, соответственно, прослушать ваш разговор или прочитать переписку. Такую услугу Microsoft предоставляет не только по постановлению суда, но и просто по запросу спецслужбам многих стран, а не только России.

Также в дистрибутив Skype входит «клавиатурный шпион», который отслеживает наличие «нежелательных» слов в сообщениях, а собранные данные пересылает спецслужбам. Поистине, общение с помощью Skype можно назвать самым доступным для спецслужб каждой страны.

Статьи по теме:

Почта

Что касается электронной почты, то с уверенностью можно сказать, что сканированием почты в том или ином виде занимаются изначально все почтовые сервисы, сортируя письма от спама или подбирая для вас контекстную рекламу по интересам. Передача же информации спецслужбам происходит так же, как и в социальных сетях, по запросу и с обязательным постановлением суда. Однако пользователь все равно об этом не предупреждается и не узнает, когда правоохранительные органы начнут за ним слежку.

Кстати, владельцы почтовых сервисов в разных странах по-разному рассматривают запросы от спецслужб. Например, в 2013 году была опубликована интересная статистика: за полгода Google получила от российских спецслужб 97 запросов данных о пользователях, но частично удовлетворила лишь один! Для сравнения: за то же время было удовлетворено 7,5 тысяч запросов американских служб, а это 88% обращений.

P.S. Стоит заметить, что если ваш трафик проходит по территории какого-либо государства, то в целях безопасности спецслужбы этого государства могут получить доступ к вашей личной информации без каких-либо запросов и постановлений суда.

Вот такой мир свободы. Добро пожаловать в 21 век.

В конце прошлой недели на официальном портале правовой информации был опубликован приказ ФСБ России о порядке передачи ведомству "информации, необходимой для декодирования сообщений пользователей сети “Интернет". Обязанность интернет-компаний передавать российским властям ключи, необходимые для прочтения зашифрованных данных, разговоров и переписки пользователей, была частью скандального "пакета Яровой". Эксперты усомнились в том, что это в принципе технически осуществимо, и своим нынешним приказом ФСБ не смогла прояснить ситуацию.

Согласно документу, по запросу службы на магнитном носителе или по электронной почте должна быть передана некая "информация для декодирования", а уполномоченному сотруднику предоставлен доступ к зашифрованным данным. Однако в большинстве случаев эту процедуру осуществить либо крайне сложно, либо вообще невозможно. Так же трудно поверить в то, что этого не понимают российские спецслужбы, ответившие на поручение президента Путина спустя почти месяц позже официального срока.

Обмен информацией в интернете по большей части происходит либо по основному протоколу HTTP, либо по его защищенной версии HTTPS. В первом случае данные передаются по сети фактически в явном, незакодированном виде. А значит, злоумышленник, перехвативший ваше сообщение серверу в одном из промежуточных узлов, может без проблем прочитать его содержание. Поэтому почти везде, где идет речь об обмене сколько-нибудь ценными личными данными, например, паролями, электронной почтой или номерами кредитных карт, используется протокол HTTPS. С его помощью решаются две важные задачи: во-первых, пользователь может удостовериться, что имеет дело с настоящим, а не подставным сервисом; во-вторых, все сообщения кодируются таким образом, что расшифровать их может только сам пользователь и сервис.

При использовании протокола HTTPS сервис видит фактическое содержание полученных от пользователей данных и может хранить их на своих серверах в том виде и так долго, как сочтет нужным. Согласно новому закону, “организаторы распространения информации” – в их число пока что вошли около 70 российских компаний , включая Mail.ru, "Яндекс" и "ВКонтакте", – обязаны хранить все поступившие от пользователей данные в течение полугода. Оставляя пока за скобками вопрос о стоимости создания инфраструктуры для записи такого объема информации, можно задаться вопросом, что именно будет храниться на серверах. Данные в раскодированном виде хранить опасно – они могут попасть в руки преступников. “Конечно, применяются технологии шифрования и для того, чтобы обеспечить должный уровень безопасности хранимых данных, – говорит Павел Кузьмич , директор лаборатории компьютерной криминалистики, заместитель заведующего кафедрой безопасных информационных технологий Университета ИТМО. – Но как именно это делается, знает только тот, кто систему администрирует и разрабатывает”.

Одно из поручений Владимира Путина, данных по итогам принятия “пакета Яровой”, требовало от ФСБ “утвердить порядок сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети “Интернет”. Срок его исполнения был обозначен как 20 июля. За два дня до его наступления Федеральная служба безопасности опубликовала извещение : по давно существующему законодательству сертифицировать нужно только те средства шифрования, с помощью которых передаются сведения с государственной тайной. Список таких средств известен из приказа ФСБ 1999 года, они не имеют отношения к интернет-компаниям из списка “организаторов распространение информации”.

Если гостайны в информации нет, то задача шифрования и защиты лежит на владельцах этой информации и уполномоченных ими лицах

“Пока мне неизвестно о законодательных инициативах, требующих обязательное использование конкретных методов шифрования, – говорит Кузьмич. – Есть требования к сертификации алгоритмов, которые используются для защиты информации, содержащей гостайну, но это вполне обоснованно, чтобы государство было уверено, что его секреты никому не станут известны, нужно проверить устойчивость шифра к тем или иным видам атак. И это все закономерно. А если гостайны в такой информации нет, то задача шифрования и защиты лежит на владельцах этой информации и уполномоченных ими лицах – администраторах сервисов”.

Другими словами, шифровать хранимые у себя данные сервис может как угодно. Например, просто оставлять их в том виде, в котором они были получены от пользователя по протоколу HTTPS, – то есть закодированными специальным секретным ключом. Проблема, однако, в том, что эти ключи создаются заново для каждой новой сессии и технически сами по себе нигде не хранятся – так что и передавать ФСБ “на магнитном носителе” попросту нечего.

Значит ли это, что российские власти в принципе не могут получить доступ к вашей почте, сообщениям или разговорам, сохраненным на сервере российской компании? Не обязательно. Павел Кузьмич считает, что российские провайдеры интернет-услуг оставляют себе возможность демонстрировать данные своих пользователей по запросу правоохранительных органов: “Безусловно, любая организация, позволяющая пользователям обмениваться данными, имеет некоторый объем оперативной интересной информации. И ее неразглашение может привести к большим неприятным событиям в нашей стране и не только. Поэтому я думаю, что какие-то технологии, позволяющие данную информацию получать правоохранительным органам, должны быть предусмотрены”. И все же сохранить свою переписку в неприкосновенности достаточно легко.

Непростой вопрос о целесообразности предоставления данных пользователей властям обсуждается не только в России. Прошедшей зимой в США разгорелся скандал: ФБР потребовало от компании Apple предоставить бюро возможность расшифровать данные, содержавшиеся на заблокированном iPhone 5c. Смартфон принадлежал одному из “калифорнийских стрелков”, устроивших перестрелку в городе Сан-Бернардино в декабре 2015 года – в ней погибло в общей сложности 14 человек. Руководство Apple не торопилось помогать спецслужбам, но в конце марта 2016 года появилось сообщение , что сотрудники ФБР справились со взломом без участия компании. Эта история породила крупнейшую после откровений Эдварда Сноудена волну паранойи: частная информация может легко оказаться в руках государства.

Крупные компании отреагировали очень быстро: уже через несколько дней, в начале апреля этого года стало известно , что один из самых популярных в мире мессенджеров WhatsApp, которым пользуются более миллиарда пользователей, включил технологию так называемого полного или оконечного (end-to-end) шифрования всех сообщений пользователей. Оконечным его называют потому, что ключи к шифру хранятся у самих вступивших в переписку конечных пользователей и больше нигде – в частности, доступа к ним не имеют администраторы мессенджера. Сообщение шифруется в вашем смартфоне, а дешифруется уже в телефоне вашего собеседника. Раскодировать вашу переписку технически не может даже администрация WhatsApp – у нее физически нет для этого нужных шифров.

Вскоре примеру конкурента последовали создатели Viber (700 миллионов пользователей по всему миру) – они начали вводить систему end-to-end шифрования всего через две недели после WhatsApp. Такая же технология уже давно используется, например, в “секретных” чатах мессенджера Telegram, созданного основателем и бывшим генеральным директором социальной сети "ВКонтакте" Павлом Дуровым. Впрочем, по умолчанию пользователю предлагается пользоваться обычными чатами, переписка в которых хотя и хранится на серверах компании в зашифрованном виде, но ключи к шифру доступны администраторам (правда, они разделены на куски и распределены по серверам, находящимся в юрисдикциях сразу же нескольких стран). Еще одним мессенджером, использующим оконечное шифрование, является Signal – именно этот сервис рекомендует для общения Эдвард Сноуден. Аналогичную технологию, причем использующую тот же протокол, что Signal и WhatsApp, этим летом начал тестировать и Facebook.

Доступ к переписке, переданной таким образом, не сможет получить ни одна спецслужба мира – для этого просто нет технической возможности. Однако нужно иметь в виду, что все названные мессенджеры находятся вне российской юрисдикции, они не входят в число “организаторов распространения информации” и “пакет Яровой” их не касается в любом случае. А вот мессенджер российской социальной сети "ВКонтакте" – одного из “организаторов распространения” – вводить оконечное шифрование, судя по всему, не торопится. По данным СМИ , как минимум до сентября 2015 года социальная сеть работала на стандартном протоколе HTTPS, причем пользователи обменивались информацией и вовсе по незащищенному HTTP. Прошедшей осенью выяснилось, что "ВКонтакте" работает над новым, более безопасным протоколом, но в какой стадии находится разработка сейчас и будет ли она продолжена в свете “пакета Яровой” – неизвестно. “ВКонтакте" вполне могли бы сделать такую технологию, чтобы передача кому-то переписки пользователей была технически невозможной. Однако боюсь, что правоохранительные органы будут жаждать того, чтобы эта информация все-таки хранилась в открытом виде”, – считает Кузьмич.

Сам Павел Кузьмич относится к числу тех, кто считает, что в некоторых случаях возможность получения правоохранительными органами доступа к данным пользователей важна для общественной безопасности. Но он уверен, что принятые в рамках “пакета Яровой” законы не способны помочь даже самим российским властям: “Желание контролировать переписку вполне правомерно. Другое дело, что надо выбирать более грамотные способы, а не то, что сейчас предложено нашим государством”, – говорит Кузьмич.

В моем понимании, все эти инициативы приведут только к усложнению системы защиты данных пользователей. И те, кто имеет, что скрывать, все равно найдут способы это скрыть

Специалист предполагает, что требование хранить поступающую от пользователей информацию потребует огромных инфраструктурных расходов со стороны интернет-компаний, а это приведет к значительному росту цен. “Я убежден, что при данном законодательном раскладе мы вернемся к тарифам на интернет, где ограничивается не только скорость передачи данных, а еще и ограничивается трафик. Потому что при тех скоростях, которые сегодня доступны конечному пользователю, за месяц можно передать такой объем информации, что надо очень много денег потратить, чтобы его сохранить”, – говорит Кузьмич и добавляет, что могут найтись желающие, специально генерирующие большие объемы данных, только чтобы доказать непродуманность нового закона. “В моем понимании, все эти инициативы приведут только к усложнению системы защиты данных пользователей. И в итоге это будут несколько нестандартные решения. И те, кто имеет, что скрывать, все равно найдут способы это скрыть”, – заключает Павел Кузьмич.

Между прочим, эти способы лежат на поверхности. Как уже было сказано выше, сообщения, переданные, например, в WhatsApp или “секретных” чатах Telegram, вполне защищены от любых властей. А если вы хотите пользоваться именно российским мессенджером "ВКонтакте" – в интернете можно найти несколько приложений , позволяющих организовать дополнительное end-to-end шифрование для сообщений "ВКонтакте", так что ваши послания попадут на серверы сети уже в закодированном виде и смогут быть раскодированы только вашим собеседником.

Антитеррористические законы Ирины Яровой и Виктора Озерова уже одобрены Советом Федерации и ждут подписания президентом. Slon Magazine подробно разбирал основные положения этих документов – многие из них направлены на ужесточение контроля за любой перепиской в интернете. Так, с 20 июля 2016 года провайдеров будут штрафовать, если они не предоставят ФСБ информацию, «необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». Эксперт британского Institute for State Ideologies Антон Меркуров рассказал о том, как эта мера коснется простых людей.
Каких популярных сервисов формально коснется закон?

Закон коснется всех российских компаний, которые так или иначе связаны с передачей и хранением информации. Это операторы сотовой связи, интернет-провайдеры, интернет-компании: от Tele2, о чьем существовании не знают профильные сенаторы, до почты Mail.ru, знакомой каждому. Любой бизнес, который признают организатором распространения информации.

Какое шифрование используется в повседневных средствах общения и как оно работает?

Электронные письма чаще всего передаются в незашифрованном виде, но иногда – по зашифрованным каналам. При этом для хранения на сервере сообщения шифруются. Но в России использование нелицензированных средств криптографии запрещено, значит, спецслужбы вполне могут получить к ним доступ через СОРМ-3. Это касается всех российских сервисов, а на зарубежные никак не влияет.

В мессенджерах все подходят к этому вопросу по-разному. Скажем, Telegram хранит чаты на сервере, это позволяет синхронизировать информацию в приложении между несколькими устройствами. Такое решение оправдано ради удобства. Но любое удобство – уязвимость.

Секретные чаты Telegram не сохраняются на сервере, там применяется шифрование end-to-end (англ., от одного конца до другого; как и в WhatsApp, iMessage, Signal). То есть ключ генерируется на абонентских устройствах при каждом разговоре. Это делает бессмысленными попытки сделать врезку между собеседниками и подслушать. Если не вдаваться в подробности, секретные чаты в Telegram и уж тем более в Google Hangouts наиболее безопасны. Google, например, сразу предупреждает о подозрительной активности, иногда даже указывая, что взлом пытаются осуществить хакеры, за которыми могут стоять государственные власти.

В каком виде и где хранятся ключи в этих сервисах?

Надо понимать, что ключ шифрования и пароль – не одно и то же. Пароль используется, чтобы определить, что в систему входит именно зарегистрированный пользователь. Ключ – один из элементов алгоритма шифрования уже внутри системы, никак не связанный с паролем. И обычно пароли не хранятся в открытом виде, они тоже отдельно зашифрованы.

Ключи, как описано выше, в секретных чатах находятся в устройствах пользователей. В обратном случае, если сообщения хранятся в зашифрованном виде на сервере, там же хранятся и ключи. Но это не всегда облегчает доступ к информации без идентификации абонента. Например, «взлом iCloud», когда утекали фотографии знаменитостей, был все-таки подбором пароля. Никто не взламывал шифрование Apple.

Важнее не то, где хранятся данные, а то, что в большинстве случаев доступ к зашифрованной информации получить нельзя. Если, например, данные удалось перехватить, то на взлом уйдут годы, даже у мощного компьютера.

Может ли владелец сервиса или провайдер сам достать ключ и расшифровать сообщение?

Нет. Получить доступ в большинстве случаев может только сам владелец данных. Если сервис правильно выстроил систему безопасности, то можно пойти только традиционным путем – поменять пароль и войти под видом пользователя. Но и там есть свои нюансы. В целом, так как наших личных данных в Cети стало много: от почты и фотографий до медицинской карты и показателей трекера, – они стали хорошо защищаться. Ведь, по сути, поведение спецслужб сложно отличить от поведения киберпреступников.

Если сервис откажется давать ключи, то как будет выглядеть его блокировка, чтобы провайдеру не пришлось платить штраф?

Нужно наблюдать за реальной практикой применения закона. Если речь идет о региональном провайдере, то до блокировки, скорее всего, не дойдет – такие компании будут искать диалог со спецслужбами или прощаться с бизнесом в пользу других игроков. У зарубежных сервисов есть два пути. Либо пойти навстречу и сохранить лицо Роскомнадзору, как это делает условный Viber, который сразу перенес персональные данные россиян в Россию. Либо просто молча не соблюдать закон.

Можно ли будет обойти такую блокировку и как?

В законе нигде не сказано, что подобные сервисы будут блокироваться на территории России. А говоря о российских сервисах, единственный способ обойти блокировку – выполнить требования и пару раз сходить на поклон в контролирующие органы – там объяснят, что делать.

В Telegram уже заявили, что никому ключи не дадут. Значит, власти просто закроют доступ к адресу, через который приходят/уходят сообщения? И не важно, какая SIM-карта привязана к аккаунту, российская или зарубежная?

Во-первых, блокировать придется не один адрес, а множество. И количество адресов после этого начнет увеличиваться – технических возможностей для этого хватает.

Во-вторых, достаточно будет включить на телефоне VPN (передачу всех данных через посредника за границей), и все усилия по блокировкам окажутся бесполезными. Но это гипотетические размышления, не думаю, что будут реально блокировать.

Смогут ли сервисы или провайдеры придумать механизм, чтобы в Рунете их данные шифровались не так, как в остальном мире?

Количество зашифрованной информации растет, во многих случаях ее расшифровка невозможна либо бессмысленна. Особый русский путь возможен только внутри органов государственной власти и принадлежащих государству компаниях. То есть за пределами Госдумы и «Ростелекома» мир все также подчиняется земным законам. Истории про суверенный интернет к реальности никакого отношения не имеют.

Создать отдельную базу всех сообщений, которые отправили из России или получили в России, чтобы потом отдать ключ от этой базы ФСБ, просто невозможно.