Широким жестом Эдвард Сноуден передал на минувшей неделе сразу трём изданиям — The Giardian, The New York Times и ProPublica — документы, свидетельствующие о том, что в 2010 году 10-летние усилия Агентства национальной безопасности США увенчались грандиозным успехом — взломом криптозащиты «обширного объёма информации», которая была получена по каналам «Большой четвёрки» (Hotmail, Google, Yahoo!, Facebook).
рассказывала, как АНБ вынудило Microsoft раскрыть перед государственными структурами алгоритмы криптозащиты почты Outlook и чат-сервиса, поэтому добавление к списку «опущенных» других провайдеров интернет-услуг лишь количественно расширило наши представления о масштабах государственной интервенции в частную жизнь граждан.
Всех, кому интересны технические подробности усилий АНБ и GCHQ по выкручиванию рук ИТ-бизнесу, я отсылаю к оригинальной публикации The Gurdian по линку выше. Мне бы сейчас хотелось обсудить другой аспект государственных инициатив, а именно наличие (или отсутствие) у американских и британских компетентных органов инструментов воздействия в конечной инстанции (того самого терморектального анализатора) на тех представителей коммерческих структур интернета, которые по той или иной загадочной причине откажутся от добровольного стукачества на собственных клиентов.
Для начала послушаем, что говорят сами коммерческие структуры. На Quora был размещен вопрос: «Уместно ли предположить, что разработчики популярных программ для хранения паролей (LastPass и др.) согласятся добровольно либо будут принуждены компетентными органами установить backdoor-программы в свои алгоритмы шифрования?»
Откликнулись два сотрудника AgileBits, разработчика 1Password, и заявили, что компания не хранит мастер-пароли пользователей, поэтому перехватить или расшифровать файл 1Password, в котором хранятся пользовательские пароли, технически невозможно.
Есть, однако, и другой вариант: государство потребует от разработчика искусственно ослабить алгоритмы шифрования либо внедрить в него опять же backdoor, что позволило бы перехватывать пользовательские мастер-пароли. На этот счёт у 1Password также нашлись контраргументы:
— наши разработчики проживают в Канаде, США, Великобритании и Нидерландах (поди, типа, всех поймай); — архитектура нашей системы безопасности и дизайн информации предельно открыты, поэтому будет сложно принудительно их ослабить без того, чтобы это сразу же не обнаружилось; — менеджеры паролей не являются инструментами коммуникаций, поэтому интерес к этим программам со стороны компетентных органов не столь ярко выражен; — если государство очень заинтересует какой-то пользователь 1Password, ему будет гораздо проще взломать ОС его компьютера, чем вынудить 1Password изменить дизайн приложения; — наконец, всегда есть вариант поступить так, как поступила компания Lavabit, — отказаться от сотрудничества и закрыть свой бизнес.
Не знаю, как вас, но меня все эти аргументы лишь позабавили. Не в плане их технической безосновательности (здесь, как водится, всё на уровне), а в плане социальной наивности. Аргумент проживания разработчиков в других странах несерьёзен, учитывая возможности США добиться экстрадиции практически кого угодно из Евросоюза и дружественных государств (Канада, Австралия и т. д.). Аргумент про перекладывание проблем на плечи частных пользователей также несостоятелен, поскольку для компетентных органов означает лишнюю работу (зачем, когда можно одним выстрелом положить всех зайцев из огорода 1Passaword сразу). Ну и так далее.
Выходит, шансов избежать терморектального анализатора у проживающих в Бастионе мировой демократии не больше, чем у счастливых обитателей третьего мира? Боюсь, что так, хотя формально остаётся ещё один контраргумент, достойный внимания: та самая реальная гласность, которая обеспечивает хотя бы видимость баланса в гражданском обществе.