Как ФСБ собирается исполнять требования «пакета Яровой» (спойлер: до сих пор непонятно)

20 июля истек срок поручения президента России Владимира Путина Федеральной службе безопасности по «пакету Яровой». ФСБ должна была разъяснить порядок сертификации средств связи и их перечень, а также найти способ сбора ключей шифрования в интернете. По первому пункту ФСБ отчиталась в срок. Разъяснений по второму — о сборе ключей — до сих пор нет. «Медуза» рассказывает, с чем справилась ФСБ, а с чем — пока нет. 

Президент России Владимир Путин подписал так называемый «пакет Яровой» 6 июля. Этот документ сильно поменял российское законодательство, в том числе в части регулирования интернета. 

В числе прочего «пакет» ввел административную ответственность за два новых правонарушения: 

— За использование несертифицированных средств шифрования при передаче данных через интернет, если законодательством предусмотрена их обязательная сертификация. Максимальное наказание для юридических лиц по этой статье административного кодекса — штраф 300 тысяч рублей. 

— За непредоставление «организаторами распространения информации» в ФСБ сведений, «необходимых для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений». Максимальный штраф — миллион рублей. 

В день подписания «пакета Яровой» Владимир Путин дал ФСБ два поручения: 

— Утвердить порядок сертификации средств шифрования при передаче данных в интернете и определить перечень средств, подлежащих сертификации. 

— Найти способ передачи ключей шифрования в интернете ФСБ (то есть самой себе).

На исполнение этого поручения Путин отвел ФСБ две недели, которые истекли 20 июля. 

Единственный документ, который ФСБ опубликовал в связи с поручениями Путина, датируется 18 июля. По первому пункту ФСБ сообщила, что законодательством давно предусмотрено: сертифицировать нужно только те средства шифрования, с помощью которых передаются сведения с государственной тайной. Перечень средств связи, подлежащих сертификации, тоже давно определен — он опубликован в приказе ФСБ от 1999 года. Из разъяснения ФСБ стало понятно, что интернет-компаниям, не связанным с передачей данных с государственной тайной, о сертификации своих методов шифрования можно не беспокоиться. 

По второму пункту — о сборе ключей шифрования — ФСБ никак не высказалась. Если судить только по разъяснению спецслужбы от 18 июля, второй пункт поручения Владимира Путина просто проигнорировала. Никакой ясности с тем, как ФСБ будет собирать ключи шифрования, до сих пор нет. 

До принятия закона представители крупных интернет-компаний и профильные ассоциации указывали, что исполнение закона в этой части невозможно. При использовании отдельных протоколов (например, HTTPS) ключи не хранятся дольше одной сессии, поэтому их нельзя передать в ФСБ.