Comments 113
По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров.
В России 150м народу, минус дети пенсионеры итд, кто активно флудит наверное 30 миллионов. А ходатайств почти миллион, то есть каждый тридцатый.
Если убрать из активно флудящих неинтересных ФСБ инстаграм-губки-уточкой, тугосерь и "мы покакали" и котиков, то будет наверное каждый первый
Если убрать из активно флудящих неинтересных ФСБ инстаграм-губки-уточкой, тугосерь и «мы покакали» и котиков, то будет наверное каждый первыйА вы сомневались?
минус дети пенсионеры итд,
Не надо недооценивать ни детей (начиная с младшего школьного возраста), ни пенсионеров.
Времена, когда «энти ваши антарнеты» были «закрытым» клубом IT-шников уже давно прошли.
И те и другие в большинстве своём (по крайней мере, в городах) уже давным-давно активно являются активными пользователями сети.
Но в последнее десятилетие замечаю резкое увеличение людей в возрасте среди пользователей интернета. Может, на хабре это не так заметно, но скажем, в «дачных» группах фейсбука таких пользователей большинство.
Полагаю, основными факторами снижения «порога вхождения» стали распространение относительно недорогих планшетов, фактически не нуждающихся в предварительной настройке (ввод пароля на WiFi не в счёт) и доступность мобильного интернета.
Я (и, наверное, Вы) начинали пользоваться Сетью, когда нужно было помнить названия нужных ресурсов, поиск информации был работой с неопределённым результатом, а эйфория от наличия DNS-имён вместо незапоминаемых IP-адресов ещё не прошла.
Для современного человека пользование интернетом — это открытие приложения на телефоне, имеющего доступ к Сети; приложения часто ставятся и настраиваются кем-то другим.
Опять же, сложность стека, обеспечивающего работу приложения, заметно увеличилась, и глубинное понимание, скажем, TCP/IP не нужно для 90% задач.
и контроле их телефонных переговоров
В России 150м народу, минус дети пенсионеры итд, кто активно флудит наверное 30 миллионов.
Речь же не только об интернете.
последствия неподчинения можно наблюдать на примере TelegramА что случилось с Telegram? Или это шутка такая?
– Когда ты еще не принял монашества – как обходились с тобой иноки в обители?Г.Л. Олди, «Мессия очищает диск».
– Ну… – Змееныш замялся.
Скрытый смысл вопроса был ему неясен.
– Старшие братья учили меня жизни, – наконец нашелся он.
– Учили жизни? Ты служил в армии? – удивленно нахмурился преподобный Бань. – Когда? Где?
И Змееныш проклял свой язык.
Ну долгое время в телегу было не зайти, приходилось искать бесплатные прокси, только недавно обнаружил, что телега работает без проксей. А десктоп клиент приходилось качать либо через тор, либо с левых сайтов.
То, что человек только недавно обнаружил, что работает без проксей — ну он же сказал, что он это недавно обнаружил, а не то, что так у всех.
То, что сейчас всё работает, ну так напишите про свой опыт.
либо с левых сайтов.Если причина минусов в этом — ну так напишите, что лучше не качать с левых сайтов.
Видимо, я чего-то не понимаю в культуре комментирования на хабре.
Поэтому не могу сказать, что блокировка Телеграму как слону дробина. Думаю, если бы не блокировка, аудитория у Телеги в РФ была бы сильно больше.
И это действительно будет «кошмар», но уже для властей, если бизнес будет проблемы испытывать из-за отвалившихся сервисов.
Многим компаниям это не понравится, e-mail это корпоративный стандарт для всего и вся в РФ, одно дело личная переписка, и совсем другое корпоративная. Будет прецедент с Яндексом, значит под угрозой все остальные, вот и здравствуйте «удобные» облака.
П.С. А интересно было бы посмотреть на интернет, буде Яндекс уйдёт в тень целиком как Телеграм (и да, я понимаю, что это утопия).
А кто решит погнать на гос. тому 30к штрафа :)
Можно узнать с каких это пор Яндекс в РФ?)
Еще один важный момент Сбербанк-Онлайн тоже входит в ОРИ (Реестр организаторов распространителей информации). И если он тоже предоставляет сессионные ключи, то считай логины/пароли от личных кабинетов доступны для ФСБ открытым текстом.
И это все для чего? Особенно учитывая то, что Яндекс и так предоставляет данные по запросу. Тут явно не борьба с терроризмом.
Другое дело, что заниматься бизнесом и пилить веб-сервисы, зная что в любой момент либо тебя, либо сервис от которого ты зависишь могут заблокировать (и ведь не просчитать никак! это может быть Телеграм, Яндекс, Гугл, Фэйсбук, что угодно. И как правило внезапно) — это весьма такое. Трижды подумаешь перед тем, как начинать в России новый веб-проект.
Заголовок:
РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования
Текст:
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По закону они как раз обязаны хранить и передавать все данные, раз уж подчиняются закону Яровой (поскольку они не заблокированы в РФ).
Если бы они действительно не передавали информацию и защищали права граждан, они бы громко об этом заявляли при любой возможности, а не отказывались бы от комментариев, пытаясь замять не удобные вопросы
Не путайте информацию и ключи шифрования. В случае информации, фсб необходимо сформировать запрос на получение инфы. А ключи дают возможность выключить яндекс полностью и по сути качать все необходимое без оглядки на законные процедуры.
Идеальным (но осуществимым) разрешением конфликта вижу создание специальных апи или сервисов, в которых у фсб будет возможность ограниченно смотреть необходимую им инфу. А не когда они могут "скачать яндекс" и продать его на черном рынке.
Но для этого нужны компетентные люди по обе стороны, готовые решать проблему с оглядкой на права человека и возможность появления новых проблем в следствии некомпетентных или халатных решений.
Пользоваться ssh не запрещено.
Запретят. Или обяжут настраивать серверы так, чтобы был общий, сертифицированный(tm) алгоритм шифрования и дубликат ключа у тащмайора.
Подскажите альтернативы почты для домена кроме GSuit, Mailru и селфхостинга?!Швейцарская компания ProtonMail вроде что-то предлагает для бизнеса.
Так же у самого dismail.de можно зарегистрировать почту.
Сам я давно использую cock.li. Там большой список доменов на выбор. Названия конечно странные, но в остальном всё замечательно. Единственный проблемный случай — это сейчас при регистрации на хабре. Решил таки зарегистрироваться после стольких лет чтения, но хабр не принял ящики с airmail.cc и firemail.cc
Я верно понимаю, что сеансовый ключ генерится на время сеанса между конкретным клиентом и сервером, и после завершения сессии «протухает»?
у меня есть сервис, nginx letsencrypt вот это все. каким образом я, как администратор этого сервиса могу организовать хранение сессионных ключей?
это кого надо ковырять — nginx или строить еще какой то, прости господи, mitm между сервером и клиентами?
2. Плох в криптографии, но буквально комментом ниже есть ветка, где идёт обсуждение, что достаточно отдать приватный ключ Яндекса и всем будет хорошо.
habr.com/ru/news/t/454692/#comment_20240532
Но и там сводится к тому, что если отдать приватный ключ — то в будущем задача облегчится. А вот если отдать старые сессионные ключи, то и к прошлому трафику можно легко применять анализ.
- сертификат удостоверяющего центра, (он проверяет подпись у открытой части пары, отправляемой сервером), который зашит в ОС или браузер,
- а также у провайдера (в нашем случае Яндекса) есть приватный ключ, который и нужен ФСБ,
уже в SSLv3
Нет, всё-таки из какого года вы нам пишете? )) У нас уже TLS 1.3, в котором пропагандируется отказ от алгоритмов без PFS.
если у ФСБ будет возможность получить приватный ключ TLS сертификата, то они смогут получить всю цепочку генерируемых ключей
Асимметричные ключи в настоящий момент модно использовать только для того, чтобы понять, что сервер, к которому вы подключились по TLS, принадлежит тому, кому принадлежит домен. Выработка сессионных ключей осуществляется алгоритмом Diffie-Hellman'а (одной из разновидностей). Таким образом, если у ФСБ будет возможность получить приватный ключ сервера, то они смогут сделать атаку MITM и с этого момента иметь все сессионные ключи. Но это слишком хлопотно. Поэтому они хотят тупо сессионные ключи. Если нету атаку MITM, но есть приватный ключ, то это ничем не поможет.
Яйцеголовые специалисты от мира криптографии утверждают, будто невозможно доказать, что сессионный ключ был создан с использованием наперёд выбранного сертификата, а следовательно оба участника обмена информацией могут пойти в отказ и сказать что «не, это не наша сессия, вы всё сами выдумали».
Но мы то знаем, что вопрос лежит в юридической плоскости. Будет сертификат-лицензия какая-нибудь на сервер хранения сеансовых ключей и закон-постановление из серии «что хранится в этой железяке, аз есмь истина в последней инстанции».
Вы точно прочитали начало этого треда, в котором ставился вопрос (на самом деле несколько иначе, но по сути так) почему уже просят именно сессионные ключи, а не приватные?
www.cnews.ru/news/top/2018-08-17_rostelekom_tiho_obankrotil_sobstvennyj_poiskovik
Хорошо сейчас напомнить о смеху#чках связанных с пакетом Яровой: " хаха, какой смысл хранить трафик защищённой сессии".
Есть смысл, как видим: все серверы будут хранить сессионные ключи и будут выдавать по первому зову (скорее всего, будут просто записываться через СОРМ). Те кто не будут — рано или поздно перестанут быть доступны с территории России.
На любые возражения на тему что это будет дорого, неудобно, не мешает преступникам и ударит по бизнесу можно отвечать: "Да, ну и что?"
Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке.
Отсюда следует, что сотрудники Яндекса имеют такой доступ. И дай бог, чтобы и последующем не пришлось обсуждать, что кто-то из них слил эту информацию.
Думаю, с их траффиком, у них железные http/https-балансеры, а это не про "ПО переписать".
1. Это пиар акция Яндекса, который типа стоит на защите данных пользователей и не отдает их ключи. Как попытка реабилитироваться после отчета RDR.
2. Яндекс хочет привлечь внимание общественности, чтобы не городить механизм хранения сессионных ключей, т.к. это лишние затраты.
3. Все нужные ключи уже давно отдали. А это слив инфы от (не)правильно информированных сотрудников.
4. Яндекс работает по HTTP («работает в полном соответствии с действующим законодательством»), а шифрованием занимается голландский CDN — вот к ним и обращайтесь.
5. Свой вариант.
Не значит ли это, что скоро вопрос « Тебя что в Яндексе забанили?» будет актуален?
Certificate chain
0 s:/C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russia/CN=yandex.ru
i:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
1 s:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
2 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
i:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CA
Инициирует-не инициирует. Яндекс расположен в РФ, поэтому можно и штраф выписать, и конкретных ответственных найти.
Гугл проиграл борьбу с ФБР, яндекс ждет та же судьба.
Яндекс вроде уже сказал, что работает в полном соответствии, и предоставит всё что требуется, но это будет совсем не больно для пользователей.
РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования