The Washington Post сообщила 7 февраля, что британское правительство потребовало от Apple предоставить ключи к зашифрованным пользовательским данным. Издание ссылается на анонимные источники, официального подтверждения этой информации нет. Это не только может стать опасным прецедентом в регулировании бигтехов, но и сильно ударит по безопасности пользовательских данных в целом. Защита, которую предлагает Apple для iCloud, считается более надежной, чем у Google (которая шифрует данные уже много лет) и прочих поставщиков, так как она подразумевает шифрование данных при передаче не только с диска на устройство, но и на самом диске. По сути, сейчас даже Apple не имеет доступа к пользовательским данным (эта функция отключена по умолчанию, пользователь может включить ее, но компания предупреждает о невозможности восстановления данных в случае утраты пароля). Обычно сквозное шифрование применяется к сообщениям и данным пользователей в различных мессенджерах — тогда видеть их могут только собеседники одного чата.
Новые формулировки Закона о полномочиях по проведению расследований 2016 г. добавляют легальности требованиям британских властей. Поправки были приняты в октябре 2024 г. Как следует из части 9, гл. 1, секции 253, п. 5 этого закона, компании, предоставляющие информационные услуги («операторы») обязуются снимать «электронную защиту, которая применяется к любым сообщениям или данным» по запросу правительства.
Позиции Apple выглядят шаткими. Предоставление ключа дешифрования может дать властям неограниченный доступ к данным пользователей Apple по всему миру. Также это создает значительные риски для информационной безопасности, поскольку злоумышленники, взломав ресурсы государственных структур и получив доступ к ключу, смогут свободно воспользоваться данными пользователей. Риск не слишком высокий, но исключать этого нельзя.
The Washington Post допускает, что в ответ на эти требования Apple перестанет предоставлять услуги хранения зашифрованных данных в Великобритании, хотя это может не устроить британские органы власти.
В декабре 2022 г. Apple представила технологию расширенной защиты данных (Advanced Data Protection, ADP) для iCloud. Это необязательная функция на устройствах производителя, которая предоставляет сквозное шифрование данных в облаке. Это значит, что только устройства, принадлежащие одному владельцу, способны корректно считывать его файлы в iCloud. ADP распространяется на такие виды файлов, как фотографии, заметки, резервные копии iCloud и пр. Особенность технологии заключается в том, что ключи дешифрования автоматически удаляются с серверов Apple, то есть даже у компании нет доступа к пользовательским данным.
Требования о предоставлении ключей дешифрования к Apple предъявлялись и в прошлом. Один из наиболее известных таких случаев связан с терактом в Сан-Бернардино в декабре 2015 г. В распоряжении Федерального бюро расследований (ФБР) оказался iPhone одного из нападавших (оба погибли в столкновении с полицией). Получить доступ к данным через смартфон не давали внутренние системы шифрования. Ведомство потребовало от Apple разработать программу, которая позволила бы взломать защиту устройства, но получила отказ. Позднее ФБР пришлось обращаться к небольшой австралийской компании AzimuthSecurity, которая вытащила данные с устройства. Как сообщала газета Los Angeles Times, на устройстве важных для расследования данных найдено не было.
Как работает сквозное шифрование
Информация в интернете часто передается в зашифрованном виде. Сквозное, оно же end-to-end, шифрование предполагает, что перед отправкой сообщение или файл шифруется при помощи специального набора символов, или ключа. Этот ключ есть только у отправителя и получателя сообщения.
Работу сквозного шифрования наглядно демонстрирует открытый проект End to end encryption online.
Мы можем перейти на сайт и во вкладке Select encryption/decryption method выбрать метод шифровки WhatsApp (принадлежит компаниии Meta, признанной в России экстремистской организацией) — Cipher: AES/BASE64/WAES | keylock: MD5/RHK.
Далее вводим зашифрованное сообщение:
GwwІ AQ61 RLU6 FAU3 Bl3g jF2N 4uwe ZVZJ dFxJ 2Xyr [WAES]
Расшифровать его без ключа нельзя, функция Decrypt не сработает. Но если мы введем ключевое слово cipher, то сможем получить сообщение в его исходном виде. Ключ доступен только нам, и те, кто получит сообщение без ключа, не смогут его расшифровать.
Для того чтобы обеспечить наибольшую безопасность при помощи сквозного шифрования, в реальных приложениях оно проходит несколько этапов. Например, в протоколе SSL перед передачей сообщения устанавливается безопасное соединение с получателем. Для этого используется специальный публичный ключ, который доступен всем участникам системы. Этот подход называется асимметричным шифрованием. После того как соединение установлено, отправитель и получатель могут обмениваться сообщениями. Для них генерируется закрытый ключ — только с ним они могут читать сообщения. Этот подход называется симметричным шифрованием.
Apple, скорее всего, будет сопротивляться требованиям Великобритании, опираясь на свою долгосрочную позицию о защите приватности пользователей, считает директор департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров. В противном случае компания может создать в публичном поле опасный прецедент, и тогда аналогичные возможности захотят и представители иных стран, рассуждает он. Более того, даже разговор о передаче властям ключей будет являться значимым репутационным риском.
Правительства США, ЕС, Китая, России могут потребовать аналогичных бэкдоров, ссылаясь на «национальную безопасность», что, в свою очередь, приведет к фрагментации интернета и появлению «суверенных» стандартов шифрования, продолжает Бедеров. Как следствие, компаниям придется разрабатывать региональные версии продуктов, что повысит затраты и сложность инфраструктуры.
Страны, где мнение пользователя имеет больший вес, всё же стремятся к тому, чтобы хотя бы официально доступ к ключам шифрования был не абсолютным, а дозированным, отмечает партнер компании Comply, работающей в сфере IT-комплаенса, Максим Али. Как правило, бигтехи идут на компромиссы и комбинируют соблюдение норм с их постепенной корректировкой: через выстраивание собственных политик реагирования на запросы, формирование нужных судебных прецедентов, участие в законотворческом процессе и так далее, отмечает он. Поэтому не стоит ожидать, что Apple будет идти на прямую конфронтацию с властями — тем более в Великобритании, решения судов в которой имеют большое значение, в том числе за пределами страны.
Больше новостей читайте в нашем телеграм-канале @expert_mag
