Pull to refresh

Comments 57

UFO just landed and posted this here
Ещё как.
Тот же торрент у них прям жёстко преследуется.
У нас насрать всем.
Canonical имеет свой трекер и они сами выкладывают туда ПО которое распространяется свободно.
Тот же торрент у них прям жёстко преследуется.

Я так понимаю, что имеется ввиду активный мониторинг со стороны властей конкретных «пиратских» трекеров и тех, кто с них грузит.
Их почта по-прежнему будет шифроваться по умолчанию при поступлении на сервер.

Похоже копировать поступающую почту «господину майору» перед шифрованием технически возможно.
Тогда какой толк в
То есть почта хранится на серверах в зашифрованном виде.
?
Получается, что и ключи шифрования тоже храниться на сервере.
нельзя получить данные задним числом.
т.е. если решение о прослушке принято сегодня, то вчерашние письма товарисч майор все равно не прочитает

я так понимаю
UFO just landed and posted this here
В новости обходится стороной тот факт, что end-to-end шифрование используется при коммуникации между аккаунтами Tutanota. Остальные сообщения шифруются на сервере Tutanota под их честное слово. В новости речь как раз про бэкдор для таких сообщений. Зашифрованные end-to-end сообщения как были доступны только отправителю и получателю, так и будут доступны только им. Про устранение этого типа шифрования речи не идёт (пруф).
Свидетельство канарейки — единственный способ легально разгласить информацию, которую запрещено разглашать.

Не стоит полагаться на такой способ оповещения пользователей о слежке за ними. Достаточно в решении суда указать формулировку «не допустить любым своим действием( или бездействием) получение пользователем информации о предпринимаемых в отношении него действиях».

То есть выпустить лживый отчет?

За нарушение решения суда компанию могут обложить неподъемными штрафами, а ответственных лиц привлечь к уголовной ответственности. А что будет с компанией за некорректные данные в отчете, тем более что её так обязывает сделать суд?

Вы отвечаете вопросом на вопрос. Еще раз: должна ли компания выпускать лживый отчет? То есть по принципу канарейки она вообще его не собиралась выпускать, а тут получается, что её суд обяжет опубликовать ложь?

У компании будет выбор — выпустить отчет с некорректными данными или явно нарушить решение суда. Неочевидно что все компании выберут нарушать решение суда, даже под угрозой других судов. Поскольку определить заранее, какой выбор сделает компания в каждом конкретном случае, невозможно, то доверять свидетельству канарейки нельзя. Именно об этом я написал в исходном комментарии.
Доверять вообще ничему нельзя.
Однако формулировка «не допустить любым своим действием (или бездействием) получение пользователем информации о предпринимаемых в отношении него действиях» абсурдна. И ее можно (и нужно) оспаривать.

Вот как будет прецедент, тогда и будем обсуждать. А пока что звучит как полный абсурд.

Но по идее суд все еще не может разрешить им нарушать другие законы. Если они, можно сказать, открыто рекламируют на своем сайте что не сотрудничают с правоохранительными органами и их продукт не содержит закладок, то их теоретически можно даже засудить, если они не уберут это из описания товара, когда добавят закладку.
то их теоретически можно даже засудить

На этом суде они предъявят первое решение суда, которое исполняли, и снимут с себя всю ответственность.

Но они же не могут по этому же первому решению никому о нем говорить :)
Либо вот он, законный способ обойти этот запрет.

Всплывающее сообщение к каждому письму:
«Уважаемый пользователь! В соответствии с решением суда мы не можем не допустить любым своим действием( или бездействием) получение пользователем информации о предпринимаемых в отношении Вас действиях, поэтому ни о чем таком Вас уведомлять не будем».

А еще лучше — запрещать пользователю, который отправляет письмо, это письмо отправлять, пока он не добавит в копию письма адрес электронной почты кельнского суда. Мол невозможно письмо отправить, вы не добавили в адресаты этот адрес.

В США (именно в США) такое вот решение — разве не будет нарушать 1-ю поправку к Конституции? Именно потому что пусть даже судебное решение — но это принуждение к compelled speech и существующие исключения — это результат отдельных судов по каждой конкретной теме (ну там — заставить на пачках с сигаретами печатать предупреждение). См например https://mtsu.edu/first-amendment/article/933/compelled-speech

А что мешает обмениватья уже зашифрованными письмами?

Для этого обе стороны должны договориться. А если вы внимательно прочитали статью, то там речь была об угрозах автодилеру. По-вашему чувак, который угрожал автодилеру, должен был сначала договориться с ним о шифровании? :D

Интересно, а как автодилер смог прочитать зашифрованное письмо? И что ему мешало, переслать это письмо в нешифрованном виде в полицию?
Вот интересно, если в бумажной почте найдут шифровку, будут заставлять почтальонов расшифровать ее? Если перехватят не шифрованное печатное письмо — его просто вскроют и прочитают.
ИМХО, более или менее серьезная/секретная информация должна шифроваться/расшифровываться на клиенте. И естественно «совершенно секретно, сжечь до прочтения» )))

А автодилер и не читал зашифрованное письмо. Но по письму, полученному автодилером было не выяснить достоверно источник угроз. Даже если есть подозреваемый, нет способа "закрепить" доказательства. Всё по причине шифрования на стороне почтового сервиса.

Для этого обе стороны должны договориться.

Это неверно. При асимметричном шифровании сторонам достаточно публично анонсировать свои открытые ключи, ни с кем об этом не договариваясь.

У этого способа есть один «Фатальный недостаток».
К тому-же видно адреса отправителя с получателем, что нервирует озабоченных приватностью.
А перлюстрация обычной бумажной почтовой корреспонденции Почтой германии по решению суда возможна по германским законам? Если Да, то в принципе никакой разницы с данным случаем нет, если Нет, то тогда это анекдот.
PS в свете аналогий, почему бы яровой не быть последовательной и не предложить обязать почту вскрывать бумажную корреспонденцию, ксерокопировать содержимое и копии хранить положенное количество месяцев, и так же досматривать посылки с видеофиксацией содержимого и аналогичным сохранением результата.
А что есть страны где что-то нельзя по решению суда? Пожизненный срок — пожалуйста. Высшая мера — пожалуйста. А уж почитать переписку — милое дело. А тут проблема — прочитать не получается. Переписка вот она, а что в ней — секрет. Причем свидетельствовать против себя вроде даже как посуду нельзя заставить, вот и ищем того кто может помочь. А он, гад, не хочет — заставляем его через суд.
В большинстве конституций или законах прямо оговаривается, что государство обеспечивает тайну переписки гражданина, но при этом предусматривает её ограничение по решению суда.
В Германии об этом говорит статья 10 конституции.
>PS в свете аналогий, почему бы яровой не быть последовательной
А они и так последовательны — просто новость прошла малозамеченной. Теперь все почтовые сортировочные узлы должны оснащаться аппаратурой фиксации сортировки и спецкабинетом обработки. Подробности закона засекречены, но уверяют что нормы конституции не нарушены…
Вообще-то это абсолютно естественный процесс. Государственная машина нетороплива, но рано или поздно она начинает действовать.

Во всех конституциях обычно записано, что не только граждане имеют право на тайну переписки, но и то, что государство по суду может её нарушить.

В докомпьютерную эпоху всё было просто — государство могло по необходимости вскрывать переписку, но большинству граждан это было по барабану. Наиболее параноидальные или озабоченные коммерческой тайной пользовались шифрами, но опять же эти шифры «для гражданского применения» обычно надёжно защищали от случайных зрителей, но были доступны для вскрытия «органами». Со своей стороны государство обычно не злоупотребляло ни своим правом, ни полученными в результате сведениями, т.е. они оставались внутри «органов», кроме как случаев, когда дело доводилось до суда.

Потом появился интернет и шифровальные программы со стойкими шифрами. Сначала их пытались запретить по старой памяти, потом на некоторое время всё успокоилось, так как использование шифров требовало доп.усилий, и большинство пользователей на это дело забивало. Так что опять вернулись к гражданскому компромиссу.

А потом компании начали массово встраивать стойкое end-to-end шифрование в свои продукты, и компромисс (мы читаем, но не сообщаем о прочитанном, если это только не преступление, так что вас практически это не затрагивает) оказался нарушенным, причем нарушенным, причем массово не в пользу государства.

Сейчас эта медленная государственная машина начинает предпринимать шаги по восстановлению баланса. И речь не только о России или Китае. Сначала Австралия (где не просто обязали предусматривать бэкдоры, но запретили «канареек»). Сейчас идут обсуждения в отдельных странах ЕС. Вопрос на мой взгляд, не в том, запретят или нет. А в том, что именно запретят.

Понятно, что немногочисленные компьютерные фрики, которые будут шифровать каждое письмо даже о покупке молока стойким шифром государство волнуют не очень сильно, во первых их адресатами будут такие же фрики, которым не лень заморачиваться с отдельной процедурой расшифровки; во вторых, сам факт использования стойких шифров возможно будет сигналом для доп.проверки этих персонажей (которая установив, что они не представляют опасности, просто закроет их дело).

А вот всевозможные драгдилеры, типа пользователей EncroChat, тем придётся сложнее, так как подозреваю как продажа, так и сам факт обладания подобным устройством может быть в будущем использован как повод для отдельного обвинения.
Т.е. будет как с огнестрельным оружием, ты можешь владеть им на условиях государства. Но если ты решишь наплевать на оф.процедуры, и совершишь преступление — то тебе добавят за его использование. Если же ты будешь хранить дедушкин пистолет в домашнем тайнике, о котором никто не знает — скорее всего государство тебя не тронет.

P.S.
Я не говорю, что мне нравится такая перспектива, и не утверждаю, что я на сто процентов прав, поэтому было бы интересно прочитать мнения несогласных, как по их мнению государство должно реализовывать функцию слежки, чтобы отследить, например, цепочки поставок наркотиков или детской порнографии, чтобы на скамейках подсудимых оказывались не только конечные распространители, но и организаторы?
Да хотя бы как определить того, кто отправил дилеру письмо с угрозами? Потому что сами угрозы может и не опасны, а если отправитель перейдет от угроз к делу? Как тогда быть — «когда убьет, тогда и займемся вашим делом?»

Это все довольно сложные материи, чтобы можно было однозначно сказать "за или против".
Обычно хочется и чтобы государство обеспечивало безопасность, но и самому государству "лишнего не сказать". Проблемы начинаются там, где


  • государство защищать не особо защищает, а вот наказывать любит;
  • государство действует выборочно;
  • государство это не орган, а отдельные люди со своими интересами.

И вот тут возникает нежелание такому государству лишнего давать — потому что кто его знает, а не придут ли завтра за тобой? И одно дело, когда государство — условная Германия, где можно рассчитывать на относительно честную систему. И совсем другое, если государство это что-то вроде стран СНГ, Китая и т.п. где права человека разбиваются об чей-то большой интерес.


Наверное выходом было бы то, чтобы человек сам давал государству согласию на чтение его переписки "при необходимости". При этом не всем государствам разом (как сейчас это работает, и почему, например, protonmail заблокирован в России), а именно тому, кому он хочет такие инструменты давать. Но вряд ли такое вообще будет когда-нибудь работать.

Наверное выходом было бы то, чтобы человек сам давал государству согласию на чтение его переписки «при необходимости». При этом не всем государствам разом (как сейчас это работает, и почему, например, protonmail заблокирован в России), а именно тому, кому он хочет такие инструменты давать.

Тут как обычно возникает вопрос… если мы говорим о согласии заранее — то гражданин на это соглашается, когда получает паспорт и становясь полноценным гражданином, так как возможность чтения переписки по решению суда записана в Конституции, которая некий основополагающий договор между гражданином и его государством. А вот если по факту потребовалось проверить почту, и обращаться за разрешением, то тут сразу вопрос:
Вот есть у нас гипотетически честный человек, у него государство просит проверить его почту — и он позволяет, потому что ничего крамольного нету. Его проверили, убедились, что он действительно честный и забыли про это. А вот у нас есть не очень честный человек — если у него попросить проверить почту, где что-то есть — он может отказаться, и государство иначе как атакой словарем (Англо-русский словарь Мюллера по пальцам) от него доступа к ней не добьётся (но такой метод мы единодушно осуждаем!). Но хуже того, если идёт расследование, и это лишь первый элемент в цепочке, которую надо распутать, предупредить его о ведущемся наблюдении — равно оборвать эту цепочку. Т.е. здесь получается должна быть возможность негласного получения согласия. И опять приходим к выводу, что согласие придётся давать заранее, например, включая его в условия обслуживания почтовой службы или мессенджера. Но это мы получаем австралийский сценарий.

Так что да, самое надёжное — это добиваться появления нормальной полиции и спецслужб, которым граждане смогут достаточно доверять, чтобы не беспокоиться.

Да, щекотливая ситуация. Основная идея в том, чтобы не "блокировать телеграмы" честным людям ради того, чтобы "негодяи" не могли им пользоваться. Криминальные элементы всегда найдут подходящий под свои нужны инструмент, а вот обычные граждане страдают и от блокировок, и оттого, что запреты шифрования ударяют по ним, что выливается в спам, кражу паролей и прочий скам.

то гражданин на это соглашается, когда получает паспорт и становясь полноценным гражданином

От того, что вы не получите паспорт, вы не перестанете быть гражданином, если вы им были от рождения. Как минимум это справедливо в отношении российского гражданства. Паспорт — это лишь документ, удостоверяющий ваше гражданство, но отсутствие паспорта не является эквивалентным отсутствию гражданства.

От того, что вы не получите паспорт, вы не перестанете быть гражданином, если вы им были от рождения. Как минимум это справедливо в отношении российского гражданства. Паспорт — это лишь документ, удостоверяющий ваше гражданство, но отсутствие паспорта не является эквивалентным отсутствию гражданства.

Вы правы.
Я несколько утрировал, хотелось подчеркнуть, что взаимные обязательства гражданина и государства описываются в основном законе (и многих вытекающих из Конституции актов). И по факту решением может быть только переезд и смена гражданства, если гарантии записанные в основном законе не устраивают. Если не устраивает их реализация в конкретном государстве, то можно попробовать побороться за изменения в законодательстве и / или отношении к проблемам, но тоже вопрос открытый…
А вот у нас есть не очень честный человек
Самая большая сложность — определение честности. Конечно есть однозначные преступления, ну типа Гитлер, Сталин и т.д. А вот проезд на красный свет, при видимости вокруг на 300 метров и отсутствии каких-либо других участников движения? Ладно это высокие материи, а вот любовник/любовница? Вроде как в УК, во всяком случае в УК РФ, и опять же, именно в УК РФ, а в УК других стран вполне себе преступление — сообщать об этом государству? Уже много раз говорил, что алкоголь, наркотики и возраст согласия это тяжкие статьи в зависимости от страны. Те же аборты, про ЛГБТ вообще молчу. И если кому-то кажется, что его это не касается, то однажды, не дай бог конечно, в его бардачке могут найти горсть патронов, как у Голунова нашли. А уж всяких мелких «преступлений» совершенно столько..., а многие даже не подозревают, что они их совершили. Но не знание закона не освобождает от ответственности.

В общем, пока существуют идиотские, и даже преступные законы, пока существует шанс, что любого могут спросить «а что Вы делали в октябре 17-го?»
добиваться появления нормальной полиции и спецслужб
вообще не понятно что такое нормально (((
Тут как обычно возникает вопрос… если мы говорим о согласии заранее — то гражданин на это соглашается, когда получает паспорт и становясь полноценным гражданином, так как возможность чтения переписки по решению суда записана в Конституции, которая некий основополагающий договор между гражданином и его государством.

А вот как рожденный на территории этой страны от граждан этой страны ребенок, может отказаться от получения гражданства (не предпринимая мер по получению другого при этом, статус лица без гражданства все же бывает же)? Никак?(потому что есть международные соглашения на эту тему). Как там называется договор, от заключения которого отказаться нельзя/очень затруднительно?

А вот как рожденный на территории этой страны от граждан этой страны ребенок, может отказаться от получения гражданства (не предпринимая мер по получению другого при этом, статус лица без гражданства все же бывает же)? Никак?(потому что есть международные соглашения на эту тему). Как там называется договор, от заключения которого отказаться нельзя/очень затруднительно?

лицо без гражданства - это лицо пораженное в правах относительно всех остальных. У него нет права избирать и быть избранным, у него нет прав на соц.защиту от государства итп. Поэтому лишать этого ребенка - это было бы преступлением со стороны общества. Именно поэтому приняты международные конвенции, которые требуют от государств не допускать появления лиц без гражданства.

А дальше, уехать из страны и получить новое гражданство он может или после достижения совершеннолетия, или вместе с родителями, которые до его совершеннолетия отвечают за эти вопросы.

У нас за три месяца 20 раз «заминировали» одну и туже школу.
Шутник посылает угрозы по электронной почте с одноразового ящика в СБУ.
Шутник посылает угрозы по электронной почте с одноразового ящика в СБУ.

Сказать честно, никогда не понимал как разумно реагировать на такие вещи, а если он напишет что будет каждый день в течении 40 лет минировать эту школу, то все, закрывать и сносить? А если просто бота настроил, который каждый день такое письмо отправлять будет. Как вообще определяют на что реагировать, а на что — нет, то есть если он напишет в одном письме что 100 школ заминированы, предположу что это просто проигнорят, а если 10, 5, 3?
Ну в данном случае решили убить интерес. Вместо того чтобы отпускать всех по домам или ждать полной проверки школы на улице всех распределили по свободным классам в трёх соседних школах.
Ещё можно наверно развести на классы временно в разные школы и ждать какую из них заминируют. Сужая круг подозреваемых. Но тут если он достаточно умный то заминирует сразу все или не ту где он сейчас.
Я просто не пойму, кто-то же определяет, на что реагировать, а на что — нет, вот будет бот каждое утро присылать письмо что все школы в стране заминированы и все, можно страну сносить или почему-то это проигнорируют.
Ну наверно они решат что это технически невозможно.
В любом случае сносить школу или другое здание опасно тем что покажет действенность подобных угроз и увеличит их количество.

Не понятно зачем им требовать расшифровать письмо, когда им нужны только метаданные, т.е. адрес отправителя.

Решение Кёльнского областного суда — опасный прецедент для европейской правовой системы.
Это не прецедент ни разу, тем более (и особенно) для европейской системы.

Дело в том, что лет 30 назад, когда все эти новомодные электронные коммуникации пошли в народ, законодатели в Германии решили облегчить себе жизнь и не стали разрабатывать отдельные статьи под новые технологии. А просто взяли и приравняли их к телефону. В результате провайдеры электронной почты обязаны предоставлять доступ к данным абонентов точно так же, как это делают телефонные операторы.

Это положение уникально в ЕС и противоречит правовой практике на европейском уровне. Тем не менее, пока что оно сохраняется. Шифрованная на уровне провайдера почта в Германии не работает в принципе и не работала никогда (поэтому Protonmail, например, сидит в Швейцарии).

Сейчас с последствиями того решения постепенно разбираются и приводят оставшиеся законы в современный вид (например убрали проблему с «письмами счастья» за торренты, которая возникла в свое время по той же самой причине), но происходит это очень неторопливо. Думаю, остаточные явления будем наблюдать еще долго.
Шифрованная на уровне провайдера почта в Германии не работает в принципе и не работала никогда (поэтому Protonmail, например, сидит в Швейцарии).

Она работает, но суд может в это вмешаться. И кстати, в Швейцарии это тоже возможно, просто там придётся очень сильно попотеть чтобы получить соответствующее решение суда, но можете быть уверены — если речь пойдёт о чём-то очень опасном для Швейцарии, то любого клиента Protonmail сдадут ровно также как и в Германии (если будет техническая возможность), и закладку для него поставят (если суд решит) — многих клиентов Protonmail спасает только то что собственно Швейцария ими не интересуется. Если бы автодилер был не из Германии — то хрен бы кто-то что-то сделал Tutanota.

Шифрованная на уровне провайдера почта

Что это такое и зачем это нужно? Почему не сквозное шифрование типа pgp?

Палка о двух концах.
Если не будет способа отправить сообщение анонимно, или это будет очень сложно, то в ряде случаев оно просто не будет отправлено. Например, кто-то, опасаясь расправы, не станет предупреждать о готовящемся теракте.
Получатель или компетентные органы могут и так не реагировать на анонимные предупреждения, проблема только в том, что им приходится брать на себя отвественность за это.

Анонимность и шифрование разные вещи, и я не пойму как они смешались в этой новости.

Да, есть такое. Не понятно, причем тут шифрование. Раз там с угрозами было что-то серьезное, значит ящик заведен одноразово, а значит, в нем и читать нечего.
Забавно, у DriveCrypt — ПО шифрования контейнеров и дисков из Германии в FAQ ясно написано

11. Is there a back door in your software?

No. There is no back door in our software, and there is no point in making one as we might risk losing the good reputation of our products. Besides this, today there is no law in Germany that can force us to make one in our software.


Получается это не так…

Там вся загвоздка в том, попадает ли деятельность компании под закон о телекоммуникациях (Telekommunikationsgesetz). Не думаю, что в их случае этот закон применим.

There is no back door in our software,

В это можно не верить с ходу т.к. это - а) корпоративный брехунок и б) просто вспомнив историю года 2010го, когда наплевав на все законы, Finanzamt через BND (вроде как) получил базы клиентов из некоторых швейцарских банков чтобы граждан и резидентов Германии, прячущих там деньги откамасутрить. Соображения высоких госинтересов - это не те обстоятельства, когда спецура ограничивает себя по закону.

В FAQ написано совершенно верно. DriveCrypt не предоставляет услуг массовой телефонной/email связи.
Sign up to leave a comment.