ПРО БЫСТРЫХ РАЗУМОМ НЕВТОНОВ И СКОРЫХ НА ВЫДАЧУ PROTON'ов

ProtonMail слила французским властям IP-адреса французских активистов-своих клиентов. Скандал вылез наружу (пока скандал не вылез наружу, он не считается скандалом).

Французская судебная полиция отправила запрос Европола в ProtonMail, чтобы раскрыть личности клиентов, создавших интересующие полицию учетные записи на ProtonMail.

В сеть слили отрывок из полицейского отчета с подробным описанием ответа ProtonMail на полицейский запрос. Это сообщение содержит подробную информацию об учетной записи ProtonMail.

Вот какой флики получили ответ, извините мой французский:

Компания PROTONMAIL сообщает, что адрес электронной почты был создан на… IP-адрес, связанный с учетной записью, следующий:…
Используемое устройство — это… устройство, обозначенное номером
Данные, передаваемые компанией, ограничены политикой конфиденциальности PROTONMAIL TECHNOLOGIES.

Основатель и генеральный директор ProtonMail Энди Йен отреагировал на слив ответа компании на запрос полиции, не упомянув, в частности, конкретных обстоятельств этого дела.

«Proton должен соответствовать швейцарскому законодательству. Как только преступление будет совершено, защита конфиденциальности может быть приостановлена, и швейцарское законодательство требует от нас отвечать на запросы швейцарских властей», — написал он.

В частности, Энди Йен хочет дать понять, что его компания не сотрудничала ни с французской полицией, ни с Европолом.

Схема, судя по всему выглядит так: Европол выступал в качестве канала связи между полицией Франции и Швейцарии. В какой-то момент швейцарские власти взялись за дело и направили запрос напрямую в ProtonMail. Компания называет такие запросы «иностранными запросами, одобренными властями Швейцарии».

Ну и тут сразу эксперты, эксперты... Тридцать пять тысяч одних экспертов. Фишка в том, сообщил ли ProtonMail своим клиентам, что на них пришли ордера из полиции?

Протоны отпизделись, уйдя за «причины конфиденциальности и юридические причины» — отказавшись комментировать конкретные детали дела или предоставить «закрытую информацию об активных расследованиях», отослав любопытных к швейцарским властям.

Ну, что же, я заглянул на общедоступную страницу ProtonMail, где разъясняется, как почтовый сервис предоставляет информацию для правоохранительных органов, собирающих данные о пользователях его клиентской службы сквозного шифрования электронной почты, и как «протоны» устанавливают «политику уведомления пользователей ProtonMail».

Оказалось, что швейцарский закон «требует, чтобы пользователь был уведомлен, если третья сторона запрашивает его личные данные, и эти данные должны использоваться в уголовном процессе», однако в законе также определено, что «при определенных обстоятельствах» уведомление может быть отложено.

Proton утверждает, что задержки могут повлиять на уведомления, если:

  • существует временный запрет на уведомление самим швейцарским судебным процессом, постановлением швейцарского суда или «применимым швейцарским законодательством»;
  • либо когда «на основании информации, предоставленной правоохранительными органами, мы (протоны) по нашему абсолютному усмотрению полагаем, что предоставление уведомления может создать риск травмы, смерти или непоправимого ущерба для идентифицируемого лица или группы лиц».

«Однако, как правило, клиенты в конечном итоге будут проинформированы и им будет предоставлена ​​возможность возражать против запроса данных со стороны ProtonMail или швейцарских властей», — говорится в разъяснении.

В любом случае уровень непрозрачности/конфиденциальности, предоставляемый физическим лицам в соответствии с швейцарским законодательством, имеющим требование об обязательном уведомлении при запросе данных лица, выглядит строго ограниченным, если одни и те же правоохранительные органы могут, по сути, блокировать уведомления — потенциально на длительные периоды (по-видимому, на срок более 6 месяцев).

Теперь немного статистики:

Согласно отчету о прозрачности, ProtonMail получил 13 запросов от швейцарских властей в 2017 году, но к 2020 году их число увеличилось до трех с половиной тысяч (3572). Количество одобренных иностранных запросов к швейцарским властям также выросло, хотя и не так резко — ProtonMail сообщил, о 13 таких запросах в 2017 году — и 195 запросах в 2020 году. Компания заявляет, что выполняет законные запросы на предоставление пользовательских данных, но также заявляет, что оспаривает запросы, если не считает их законными. И снова статистика: в 2017 году ProtonMail отказала в трех случаях запроса, но в 2020 году она отказала уже в 750 запросах.

В рамках политики конфиденциальности ProtonMail, информация, которую сервис может предоставить об учетной записи пользователя в ответ на действительный запрос в соответствии с законодательством Швейцарии, может включать:

информацию учетной записи, предоставленную пользователем (например, адрес электронной почты);
активность / метаданные учетной записи (например, адреса электронной почты отправителя и получателя;
IP-адреса, с которых были отправлены входящие сообщения; время отправки и получения сообщений; темы сообщений и т. д.);
общее количество сообщений, использованное хранилище и время последнего входа в систему; и незашифрованные сообщения, отправленные от внешних провайдеров в ProtonMail.

Как провайдер электронной почты со сквозным шифрованием, ProtonMail не может расшифровать данные электронной почты, поэтому не может предоставить информацию о содержимом электронной почты, даже если на нее имеется ордер.

Однако в своем отчете о прозрачности компания также указывает на дополнительный уровень сбора данных, который она может быть (по закону) обязана выполнять:

«В дополнение к элементам, перечисленным в нашей политике конфиденциальности, в крайних случаях с признаками наличия уголовно наказуемых действий ProtonMail также может быть обязана отслеживать IP-адреса, которые используются для доступа к учетным записям ProtonMail для занятий преступной деятельностью ».

В то же время Proton предоставляет пользователям луковый адрес — это означает, что клиенты, озабоченные отслеживанием, могут получить доступ к зашифрованной почтовой службе ProtonMail с помощью Tor, затрудняя отслеживание клиентов ProtonMail путем IP-мониторинга; а также обеспечивает защиту содержимого электронных писем клиентов от слежки, даже несмотря на то, что собственная служба ProtonMail может, при определенных обстоятельствах, быть превращена в инструмент IP-мониторинга, по швейцарскому законодательству.

Proton также предлагает собственный VPN-сервис — и Йен заявил, что швейцарский закон не позволяет ему регистрировать IP-адреса своих пользователей VPN. Поэтому в целях избежания засветки регистрации IP-адресов, не худо бы использовать как сквозную зашифрованную электронную почту Proton, так и ее службу VPN.

«Если клиенты используют наш Tor или ProtonVPN, мы могли бы предоставить (в ответ на полицейские запросы — А.З.) IP-адреса, но это были бы IP-адреса VPN-сервера или IP-адреса выходного узла Tor», — посоветовали в ProtonMail. — Мы действительно защищаемся от подобной модели угроз для клиентов через наш луковый сайт https://protonmail.com/ru/tor

Впрочем, слив по запросу полиции ваших частных, интимных и конфиденциальных данных, типа, «защищенных сквозным шифрованием» это не самая большая жопа. Большая жопа в том, что Европа открывается в смысле обязательного внедрения бэкдорного шифрования. Европейские власти намерены развивать инициативу, которая может положить конец сквозному шифрованию и тайне переписки в мессенджерах, а также в электронной почте. В Австралии такой закон действует уже на всю катушку.

В июле Европарламент одобрил постановление, получившее названия ePrivacy derogation («отступление от интернет-приватности») или Chatcontrol, которое разрешает временный отход от европейских правил конфиденциальности в Сети, включая общий регламент по защите данных (GDPR). Так не проще ли зашить вашу депешу в подкладку пиджака курьера?

Такова их дислокация.