ФСБ потребовала ключи шифрования переписки пользователей у <<Яндекса>> :: Технологии и медиа :: РБК

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для доступа к разным сервисам Яндекса, прав:

> сессионный ключ в любом случае шифрует логин и пароль,
> которые пользователь передает на сервер в процессе авторизации,
> так что передача такого ключа ФСБ может дать доступ
> к аутентификационным данным пользователя».
> Он указал, что «Яндекс» использует систему Single Sign-On,
> при которой, авторизовавшись в «Яндекс.Почта»,
> можно без повторной аутентификации перейти в «Яндекс.Музыка»,
> «Яндекс.Диск» и любой другой сервис. «Ключ шифрования
> при переходе в разные сервисы должен быть свой,
> но если это не так, то это архитектурная проблема,
> которая может открыть доступ к данным в разных сервисах «Яндекса».
> Тогда передавать сессионный ключ, конечно, небезопасно

Конечно, это проблема. Тут речь шла о передаче ключей, а вот пример странной архитектуры, которая странно выглядит даже для пользователей Яндекса:
Для входа с главной страницы Яндекса в какой-нибудь их сервис, надо нажать на ссылку "Войти в почту", хотя почта для требуемого сервиса может не быть нужной. После этого пользователь попадает в почту, из которой потом переходит уже в нужный ему сервис.

Один ключ к разным сервисам - это, конечно, проблема. Это всё-равно, что даст Ясон Юре ключ от квартиры своей, а ключом этим Юра сможет отомкнуть замок в двери квартиры Атоса! 😲

Проектируют свои системы странно, а потом ФСБ им виновата.

Да и от переписки ключи можно создать такие, которые "отмыкают" замки только руками их владельцев, после чего хоть обпередавай эти ключи кому угодно, т.к. чужими руками они всё-равно ничего не отомкнут.

В этой же статье Мария Коломыченко показывает причины, по которым есть возможность требовать ключи от переписки пользователей. Устранив эти причины, пользователи смогут улучшить недоступность своих личных сообщений для посторонних.

4 июня в 7:00 Мария Коломыченко пишет:

> Почему ФСБ потребовала от «Яндекса» ключи
>
> «Яндекс.Почта» и «Яндекс.Диск» находятся
> в реестре организаторов распространения информации (ОРИ),
> то есть интернет-площадок, на которых пользователи
> могут обмениваться сообщениями. Согласно так называемому
> закону Яровой, с 20 июля 2016 года Центр
> оперативно-технических мероприятий ФСБ может
> потребовать от любого сервиса из реестра ОРИ
> передать ему «информацию, необходимую для
> декодирования принимаемых, передаваемых,
> доставляемых и (или) обрабатываемых электронных
> сообщений пользователей сети интернет».

Вот тут ясно показан уязвимый узел в маршруте (цепи, сети) передачи сообщения - это "сервис из реестра ОРИ", которому по закону можно предъявить требование предоставления ключей. Соответственно для повышения недоступности своих личных сообщений необходимо убрать из маршрута передачи сообщения все уязвимые узлы.

В житейском примере это выглядит так:

1. Отправляет Ясон Юре Почтой России бумажное письмо с инструкцией о том, как снести винду и установить вместо неё Убунту, чтобы Edge Юры не превращал двхметровые файлы в 50-метровые.

2. Почта России получает от Ясона письмо для Юры.

3. Почта России получает от стражей Культуры переписки требование - предоставить ножницы для разрезания конверта Ясона для чтения его письма и клей, заклеивающий потом конверт так, чтоб Юра не заподозрил о том, что теперь ещё и стражи Культуры переписки будут знать - как установить Убунту Ясона для неувеличения файлов в 25 раз.

4. Почта России вместо прямой передачи письма Ясона Юре выполняет ещё и требования стражей, давая им это письмо предварительно почитать. Стражи сносят у себя винду, ставят Убунту и отдают письмо обратно Почте России.

5. Почта России наконец-то передаёт письмо Ясона Юре.

6. Дальше уже не сильно важно, но Юра, прочитав письмо Ясона отвечает ему про то, что браузеры тут ни причём.

7. По обратной цепочке стражи в унынии сносят Убунту и ставят вместо неё обратно винду.

Что требуется для того, чтобы стражи Культуры переписки не узнали - как установить Убунту Ясона? Для этого надо, чтобы они не смогли его письмо получить от Почты России. А для этого Ясон должен письмо вручить Юре лично - можно прямо перед Главпочтамтом на Арбате.

Ну а, возвращаясь с земли грешной в интернеты, видим, что если, например, электронные письма (а аналогично и всё остальное такое же) отправлять не через промежуточные почтовые серверы, а только через свои, то сообщения будут приходить сразу к получателю и не у кого будет требовать ключи доступа к ним.

Конкретно это делается так:

1. Убунту у Ясона уже есть. Это значит, что свой(!) почтовый сервер у него или установлен уже, или для установки сервера ему осталось взмахнуть руками пару раз над клавиатурой (а то даже и только над мышью).

2. Юра в своей почтовой программе сервером отправки почты указывает не потусторонний сервер "Яндекса", а прямо сервер Ясона!

3. Пишет Юра Ясону письмо "Убунту - маздай! Винда - наше всё!", шифрует его и передаёт его прямо на сервер Ясона. Шифрует письмо потому, что передавать его на сервер Ясона он будет через неконтролируемые ни им, ни Ясоном участки сети.

4. Стражи Культуры переписки видят, что Юра передаёт письмо Ясону. Даже держат это письмо в руках, но расшифровать его не могут, т.к. ключи расшифровки находятся только у Юры да Ясона, а закона, разрешающего требовать эти ключи прямо от Юры да Ясона, пока ещё нет, а когда появится, тогда Юра с Ясоном ещё и начнут оказывать сопротивление таким требованиям.

5. Ясон получает на своём сервере письмо, расшифровывает его, читает и унывает от того, что не убедил Юру в преимуществах Убунту.

Я не понимаю чего народ шумит?
То что разговоры все записываются уже успокоились, теперь переписка.
Кому моя переписка нужна, если я не террорист или ещё какой паразит трудящихся масс.
Сначала читают не люди а автомат, вот если он усёкёт что, тогда на заметку.
Если всё читать читателей не хватит.

Одним - всё-равно. Другим нет. У Других есть возможность непредоставления своей переписки Посторонним - до тех пор, пока Посторонние не изобретут Мыслескоп, чтобы читать мысли Других как это делал Шорр Канн из Звёздных королей - кто эту повесть в Технике молодёжи в 80-х годах читал, тот помнит.

4 июня 2019 в 12:40 Василий Степанович пишет:
ВС> Одним - всё-равно. Другим нет. У Других есть
ВС> возможность непредоставления своей переписки
ВС> Посторонним - до тех пор, пока Посторонние не
ВС> изобретут Мыслескоп, чтобы читать мысли Других
ВС> как это делал Шорр Канн из Звёздных королей - кто
ВС> эту повесть в Технике молодёжи в 80-х годах
ВС> читал, тот помнит.

Указанный журнал в 80-м уже не читал, читал с 50-го по 70-ый.
Потому не думаю а знаю что нет такой переписки которую не читают те кому по службе положено это делать. И никакие шифровки не помогают. Просто те кто изобретает шифры сразу изобретает и методы их взлома.
Враг не пройдёт!!!!

Британия потратит более 20 миллионов долларов на борьбу с фейковыми новостями

Великобритания выделит 18 миллионов фунтов стерлингов (22,5 миллиона долларов) на борьбу с фейковыми новостями в Восточной Европе и на поддержку независимых СМИ на Западных Балканах. Об этом сообщается на сайте правительства

"и на поддержку независимых СМИ на Западных Балканах"
Перевожу эту фразу с либеральского языка на русский:
и на поддержку ПРОЗАПАДНЫХ СМИ на Западных Балканах

Больше трёх не собираться. Электронной почтой не пользоваться. Что дальше? Воздухом не дышать?

В Госдуму внесен законопроект о пользовании электронной почтой.

Сенаторы внесли в нижнюю палату парламента законопроект, согласно которому пользоваться электронной почтой в России смогут только идентифицированные в установленном правительством порядке пользователи:nc

В Госдуму внесен законопроект о пользовании электронной почтой — Российская газета

Пользоваться электронной почтой в России смогут только те пользователи, которые идентифицированы в установленном правительством порядке. Соответствующий законопроект внесен в Госдуму

Только как они будут определять, что пользователи шлют друг другу электронные письма, если пользователи будут шифровать каналы связи между собой? Будут запрещать шифрованные каналы? Или будут врываться в дома людей и брать их с поличным в момент отправки письма другу? Да здравствует ФИДО? Или нетмейл приравняют к электронной почте? Тёмные времена наступают. Наверно будут учреждать электронную инквизицию...

Надо же, россиян оставят без того, о чём я и понятия не имел. Вот теперь и думай без чего же меня оставят, может не надо было оставлять без этого?

Да это у них там, у россиян-то этих, которые и всех остальных россиянами тоже называют, всё-равно, что в Москве на днях на какой-то их типа протестной тусовке задерживали каких-то неизвестных людей (ну может быть в их-то московско-либеральских кругах и известных), а по интернетам там своим показывают они это так, как будто тоталитарный режим устроил охоту на известных и популярных протестантов. А их-то кроме них и знать-то никто не знает.

Вот так же и про оне веб этот:

29 июля 2019 в 18:48 Юра пишет:
Ю> Надо же, россиян оставят без того, о чём я и
Ю> понятия не имел. Вот теперь и думай без чего же
Ю> меня оставят, может не надо было оставлять без
Ю> этого?

Ну специалисты о нём хотя бы слышали. А "россияне"? Он им нужен? Им лапшу на уши и без оне веба с телевизоров навешают. Да ещё и качественно-то навешают! Ну это тем "россиянам", которые от привычки смотреть телевизоры избавиться никак не могут.

А оне вебы эти все нужны только для беспрепятственных и скоростных отчётов этих никому неизвестных протестантов своим хозяевам, из-за океана задания на подрывную деятельность против России присылающих.