Нет ничего лучше, чем небольшое давление со стороны сверстников, чтобы заставить подростка поступать правильно.

Эта философия стоит за отчетом Encrypt the Web («Шифруйте сеть»), выпущенным Обществом электронных рубежей (Electronic Frontier Foundation). В нем исследованы криптографические возможности 18 лидирующих интернет-компаний, включая крупные социальные сети, телекоммуникационные и технологические компании, а также провайдеров веб-сервисов.

«Мы хотим использовать позитивные примеры, приведенные в таблице, для того чтобы побудить другие компании к внедрению криптографии», — сказал Курт Опсал, старший юрист EFF.

Эти же компании были исследованы в майском отчете EFF Who Has Your Back («Кто вас прикрывает»). В этом отчете оценивались усилия компаний по сохранению приватности, защиты пользовательских данных и прозрачности касательно правительственных запросов на пользовательские данные.

Во время сбора информации для отчета Encrypt the Web каждой компании был выслан список вопросов. Не все компании ответили на все вопросы; также были использованы другие источники, включая веб-сайты компаний и новостные релизы. Компании были опрошены о поддержке HTTPS, HSTS, Forward Secrecy, STARTTLS и шифрования каналов связи центров обработки данных (ЦОД).

Особую важность последнему вопросу придает раскрытие программы АНБ MUSCULAR, которая подразумевает подключение разведывательного ведомства к незашифрованным каналам связи между ЦОД для слива данных об интернет-активности пользователей.

«Одной из причин создания этого отчета было стремление разобраться в этой категории», — сказал Опсал, добавив, что сложность шифрования каналов связи ЦОД различается в зависимости от масштабов деятельности организации, способов передачи данных и количества поддерживаемых ЦОД.

Из 18 компаний, рассмотренных в отчете, только Dropbox, Google, Sonic.net, SpiderOak, Twitter и Yahoo! подтвердили, что шифруют каналы связи между ЦОД. Единственной компанией, подтвердившей, что не шифрует каналы, была Microsoft, остальные же не ответили на этот вопрос. Только Dropbox, Google, Sonic.net и SpiderOak заработали галочку во всех пяти категориях.

«Они понимают, что их клиентам нужна приватность и защищенность, и они внедряют дополнительные криптографические средства для защиты от атак по самым разным векторам, — заявил Опсал. — Это позволяет их клиентам чувствовать большую защищенность своих данных».

Большинство компаний из списка поддерживают HTTPS, хотя у Amazon и Tumblr эта поддержка ограничена. Менее половины поддерживают HSTS, и еще меньше поддерживают STARTTLS, который EFF отметило в качестве особо важного аспекта как провайдеров электронной почты. STARTTLS используется для шифрования каналов SMTP между серверами электронной почты; если оба провайдера используют этот протокол, сообщение передается зашифрованным, если нет — письмо идет открытым текстом.

«Мы предлагали провайдерам электронной почты внедрить STARTTLS для передачи электронных писем, — написали EFF в блоге. — Крайне важно, чтобы как можно больше провайдеров начали использовать этот протокол».

Возможно, еще более важно то, что множество крупных сервис-провайдеров не смогли получить высокую оценку в отчете. Amazon, Apple и Tumblr заработали одну галочку на всех (за поддержку HTTPS в Apple iCloud). Телеком-провайдеры AT&T, Comcast и Verizon все вместе не получили ни одной отметки; по словам Опсала, AT&T и Verizon уже сотрудничали ранее с государством по вопросам сбора информации. EFF и AT&T вели судебный процесс касательно участия провайдера в шпионской программе АНБ, который был урегулирован после того, как Конгресс дал AT&T иммунитет с обратной силой.

«Нас все еще беспокоит их сотрудничество», — сказал Опсал.

Вне зависимости от возможностей шифрования, иногда компаниям (таким как, к примеру, Lavabit) не удается избежать такого рода сотрудничества с государством. Lavabit была провайдером защищенной электронной почты, ее услугами, как утверждается, пользовался Эдвард Сноуден. Чтобы не предоставлять свои ключи шифрования государству, Lavabit просто закрыла сервис и вышла из бизнеса. Silent Circle вскоре после этого также закрыла свой сервис защищенной почты Silent Mail, еще до того, как ее вынудили бы передать ключи государству.

В то же время EFF надеется, что ее таблица побудит больше интернет-компаний к внедрению криптографических средств.

«Отчет Who Has Your Back хорошо сработал на тех компаниях, которые были заинтересованы в получении хорошей оценки. Со временем мы добавили звезд нескольким компаниям, — сказал Опсал. — Наша идея состоит в том, чтобы побудить компании соревноваться в получении первого места и возможности показать клиентам, что они стремятся обеспечить качественную безопасность».

Категории: Главное