Купи два батона и огурцы
После поста про Session в комментариях развернулась дискуссия. И главный её мотив звучал не как «ура, наконец-то приватность», а ровно наоборот: такие штуки рядовому гражданину давать нельзя, это угроза безопасности государства.
Аргумент стоит привести целиком, потому что он достаточно распространённый:
Легкодоступное и массовое средство связи, которое нельзя контролировать или заблокировать, рядовому гражданину давать нельзя. Государство должно иметь возможность в любой момент — по разрешению соответствующих органов — прочитать переписку или прослушать разговор, отключить или заглушить эту связь. А средства, обеспечивающие бесконтрольную связь, причислить к запрещённым и подлежащим изъятию, а лиц, их использующих, распространяющих и хранящих, приговаривать к длительным срокам.
И там же, чуть раньше:
Я не хочу, чтобы мне звонил или писал какой-то мудак, угрожал мне, а я не имел возможности его найти.
Вот это последнее — не глупость и не кровожадность. Это нормальный человеческий страх. Каждый, кому хоть раз звонили с угрозами, кого «пробивали» или травили анонимы, его понимает. И именно потому, что страх настоящий, на него нельзя отвечать отмашкой «ну ты просто не разбираешься в приватности». Надо отвечать по существу.
А по существу выходит неприятная вещь: средства, которые предлагает участник дискуссии, не дают той безопасности, ради которой он их предлагает. Они дают её имитацию — и забирают безопасность настоящую. Попробую показать почему, не пропуская ни одного его аргумента.
Сначала выясним чего хочет мой собеседник
Он хочет, чтобы у любого сообщения и звонка был известный отправитель, отсюда жёсткая привязка номера телефона к паспорту (которая уже и так есть в РФ) и идея сделать продажу или использование чужой симки уголовным преступлением «как за подделку документов» (тоже уже есть). Он хочет, чтобы государство по решению суда могло прочитать переписку, прослушать разговор, а в крайнем случае заглушить связь. Он согласен, чтобы содержимое можно было засекретить, но сам факт обмена — нет. И он считает, что всё это повышает безопасность граждан и обороноспособность страны.
Цель здесь законная. Государство действительно обязано защищать людей от преступников, мошенников и враждебных действий извне. Спор не о цели. Спор о том, работают ли предложенные средства и кого они на самом деле защищают.
Чья это безопасность
Первое, что стоит разделить, — два разных смысла слова «безопасность», которые в аргументе слиты в один: «безопасность государства и людей, в нём проживающих».
Безопасность гражданина — это когда его не обворуют, не разведут мошенники, не убьют, не оставят без света враждебная атака на энергосеть. Безопасность госаппарата — это когда власть может читать, блокировать, глушить и сажать тех, кого сочтёт угрозой. Это не одно и то же, и большая часть предложенного инструментария работает не на безопасность обычных людей.
Посмотрите на список: читать всё, изымать «запрещённые» средства связи, давать длительные сроки за само хранение программы. Ну а тех, до кого закон не дотягивается, получается, нужно, как в шпионских детективах, передавать государственной спецкоманде, чтобы завтра этот человек-редиска был случайно сбит самосвалом или выпал из окна.
Вот тут и проходит граница. «Выпал из окна» — это не забота о безопасности граждан. Это скорее злоупотребление властью без подотчётности. И когда защиту человека предлагают обеспечивать через возможность государства убить человека без суда, стоит остановиться и спросить: а гражданин-то в этой схеме кто — тот, кого защищают, или тот, от кого защищаются? Это то, что сейчас происходит с блокировками Роскомнадзора, который творит что хочет и никому не отчитывается.
Паспорт в трубке
Теперь к технике. Главная надежда сторонников тотального госконтроля — жёсткая привязка номера телефона к паспорту, симки к конкретному человеку. Тогда, как они думают, любого «мудака» можно будет найти.
Любопытный факт: значительную часть этого государство уже сделало. Анонимных симок в России нет уже много лет — во всяком случае, не должно быть. Требование оформлять номер только на идентифицированного человека заложено ещё в законе «О связи» 2003 года, а с 2018-го операторы обязаны блокировать номера, по которым не подтверждены паспортные данные. И дальше гайки только закручивали. Закон № 303-ФЗ от августа 2024 года усилил ограничения: больше двадцати номеров на гражданина не зарегистрировать, а иностранцу для симки теперь нужны биометрия, СНИЛС и подтверждённый аккаунт на «Госуслугах». С сентября 2025 года по закону № 281-ФЗ за передачу своей симки постороннему грозит штраф 30–50 тысяч рублей, а если та симка использовалась для совершения преступления — уже уголовная статья. Привязка телефона к паспорту и наказание за чужую симку — объективная реальность, данная в виде действующих законов РФ.
Короче, телефонный номер только по паспорту — не новость в 2026 году. Это сделано уже давно. Но несмотря на все попытки расширить и углУбить/ужесточить, в сценарии, ради которого всё это придумано, оно как не работало тогда, так и сейчас по большей части создаёт проблемы нормальным гражданам, но не мешает преступникам.
Ещё в 2020 году меня самого SWATили и травили по телефону — по обычному номеру, который тогда и у меня и у звонивших был привязан к паспорту. Или должен был быть привязан по закону. Ну то есть привязка вроде как была. Защиты не было. И найти никого не помогло. Отделы МВД “К” и “Э” в итоге развели руками.
Почему — понятно, если посмотреть на устройство атаки. Если номер телефона работает как идентификатор, то позвонить вам может кто угодно простым перебором: структура номера известна, десять цифр, из которых первые три — код, который почти не меняется. Перебирать нужно семь цифр. А симку для звонков оформляют на бомжа, на запуганного или на материально заинтересованного человека, в результате привязка к паспорту превращается в тыкву. Атрибуция есть на бумаге и отсутствует в реальности.
Самое свежее доказательство — государственный мессенджер MAX, запущенный уже при всех этих законах, с той самой жёсткой привязкой к телефону. Идентификация там ровно такая. И там же прекрасно работают мошенники — разводят и обманывают граждан, и никто их не ловит. Привязка к номеру дала не безопасность, а её ощущение. Вас она делает доступным каждому, кто перебирает номера. А преступники остаются в тени.
«Прочитаем и поймаем»
Вторая опора «безопасности» — возможность прочитать переписку. Кажется очевидным: видим, что человек пишет, значит, можем предотвратить.
Но тот, у кого есть умысел, не пишет «готовлю теракт». Он пишет так:
— Купи два батона и огурцы.
— Купил, батонов не было, пришлось буханку взять.
И всё. Кодовое сообщение, замаскированное под бытовую переписку, не значит ничего для того, кто его перехватил. Чтение содержимого ловит наивных и законопослушных — тех, кто и так ничего не замышляет, — и проходит мимо любого, кто хоть немного подготовился.
Посмотрите на результат вокруг. Дроны долетают, несмотря на белые списки и заблокированный «ради нашей безопасности» интернет. Преступники координируются, несмотря на блокировки мессенджеров с настоящим шифрованием, законы Яровой и закон об ОРИ. Мошенники звонят и пишут в защищённый госмессенджер с идентификацией по телефону. Если бы тотальное чтение работало, мы бы увидели другую картину, а не вот это вот всё.
Перевёртыш
А теперь — главное. То, из-за чего весь спор стоит затевать.
Мой собеседник опасается анонимов, которые напишут, будут угрожать, и которых не найти. Так вот: привязка к телефону таких анонимов создаёт, а приватный мессенджер их отрезает.
В Session или SimpleX вам в принципе не может написать случайный человек. Чтобы начать с вами разговор, ему нужен ваш QR-код или приглашение, которое выдаёте вы, — и вы же должны подтвердить подключение. Нет вашего согласия — нет канала. Перебором номеров вас тут не достать, потому что номера нет.
Получается парадоксальная ситуация. Те самые инструменты, которые запретили ради защиты от анонимных угроз, и есть защита от анонимных угроз — причём защита, которая срабатывает до того, как вам начали угрожать, а не разводит руками после. Контроль обещает найти и наказать обидчика потом. Когда-нибудь. Может быть. Приватность не пускает его к вам прямо сейчас.
Приватность — не дыра в безопасности. Это файрвол.
Бомба, порошок и топор
В таких спорах рано или поздно достают аргумент про абсолютную свободу. Достали и здесь:
Может, в рамках этой свободы каждому дать построить атомную бомбу? Лично для себя, я на кнопку нажимать не буду, просто чтоб была.
И следом — про порошок, который смешал с бензином и получил взрывчатку, разбросал по улице, а когда придут за списком покупателей — «мне нечего отдать, слабая позиция».
Звучит хлёстко, но это подмена через ложную аналогию. У бомбы и у разбросанной по улице взрывчатки нет применения, кроме вреда. У частной переписки оно есть почти у всех и почти всегда законное: банки, врачи, юристы, журналисты, переговоры по работе, откровенные разговоры с близкими. Шифрование — это не оружие, это замок на двери. По логике «преступники тоже шифруются, значит, шифрование надо запретить» придётся запретить и замки, ведь у преступников тоже есть двери, которые они закрывают.
Что же до «нечего отдать»: применительно к переписке это не соучастие, а приватность. Даже если бы Session идентифицировал своих пользователей, он не поймал бы того, кто общается кодовыми фразами с симки, оформленной на чужой паспорт. А доведение до абсурда работает в обе стороны: по той же логике пора запретить топоры и ножи длиннее пяти сантиметров, обязать продавцов проверять паспорт у покупателей топоров и передавать данные о покупках государству. Звучит дико, но ведь это ровно тот же конструкт, только про железо, а не про биты и байты. Не, ну реально, в умелых руках топор — страшное оружие!
Ключ, который открывает всем
Допустим, мы всё же решили: пусть будет «доступ только для хороших, только по решению суда». Технически это невозможно, и вот почему.
Криптография не умеет отличать «правильный» запрос от «неправильного». Если в системе есть ключ, которым можно открыть переписку по требованию органов, то это просто ключ, который существует. Им может воспользоваться не только следователь с постановлением, но и тот, кто этот ключ украдёт, купит или получит по долгу службы в недружественной стране. Запасной вход «для своих» — это запасной вход для всех, кто до него доберётся.
История это подтверждает раз за разом: от провалившегося американского Clipper Chip в девяностых до взлома систем легального прослушивания у операторов связи, через которые потом ходили чужие разведки. Подробнее я об этом писал в «Никто не ломает AES» и «Почему безопасность проигрывает удобству».
И вот что важно для любого, кто переживае за обороноспособность страны. Банки, больницы, энергосети, военная и государственная связь стоят на той же криптографии, что и приватный мессенджер. Нельзя ослабить шифрование «только для граждан» — математика одна на всех. Встраивая дыру ради чтения чужой переписки, государство проделывает дыру в собственной защите. Это не усиление обороноспособности. Это подкоп под неё.
Цена контроля
Даже если забыть про эффективность, у тотального контроля есть цена — и её в дискуссии назвали сами участники:
Контроль со стороны любого государства перерастает в паранойю. Затраты на контроль выше, чем результат от него. А ещё — злоупотребление. Масса примеров пробива остатков и движений по счетам компаний и граждан в банках.
Это сказано не мной и не «либералом-параноиком», а человеком из ИБ-отрасли. И это чистая правда. Собранные «ради безопасности» данные утекают и потом используются против самого гражданина — пробив по счетам продаётся, базы сливаются, по утёкшим номерам звонят мошенники и величают нас по имени-отчеству, подарки к дню рождения или даже годовщине свадьбы предлагают. А неоднозначные ГОСТы и приказы в отсутствие прецедентного права превращают регулирование в лотерею: за одно и то же в одном случае штрафуют, в другом — отменяют штраф, и понять заранее нельзя.
То есть контроль получается не точечный и подотчётный, как в красивой формулировке «по решению соответствующих органов». На практике он тотальный, дырявый и бесконтрольный — и потому опасен именно для тех, кого, как декларируется, должен был защищать.
Театр безопасности
И здесь мы упираемся в то, что вымораживает больше всего, — в подмену понятий. Когда вместо безопасности предъявляют её декларацию.
«Заблокировано несколько сотен тысяч вредоносных ресурсов» — и что? Стало безопаснее? «Количество звонков мошенников в WhatsApp и Telegram снизилось на 99 %» — да, потому что мошенники переехали в MAX следом за гражданами, отчёт просто перестал их считать. «Мы работаем на отечественных серверах» — на процессорах Intel, AMD и видеокартах NVIDIA. Это не суверенитет, это переклейка шильдиков, о которой я уже писал в «Шильдиках вместо суверенитета».
Всё это — театр безопасности: набор громких мер, которые создают ощущение защищённости, не создавая защищённости. Их удобно показывать в отчётах и невозможно проверить на результат. И именно под этот театр у граждан забирают рабочие инструменты — как «запрещённый контент», — и навязывают систему слежки, которая бьёт по своим и промахивается по чужим.
Как выглядит настоящая безопасность
Критиковать легко, поэтому скажу, как, на мой взгляд, должно быть. Настоящая безопасность отличается от театральной несколькими вещами.
Она конкретная и подотчётная. Не «читаем всех на всякий случай», а конкретный человек, конкретное подозрение, конкретная санкция суда и ответственность того, кто санкционировал, если он ошибся или злоупотребил. Массовая слежка ловит мало настоящих преступников, зато даёт уйму ложных срабатываний — под подозрение попадают обычные люди, которые ничего не нарушали, — система записывает их в допустимую погрешность. Адресная работа — наоборот.
Она опирается на сильную криптографию как на критическую инфраструктуру, а не воюет с ней. Шифрование защищает и гражданина, и государство одновременно. Его не нужно ломать, его нужно использовать, в том числе самому государству.
Она строится на минимизации сбора данных. Нельзя слить, продать или потерять то, чего ты не собрал. «Нечего отдать» — это не уязвимость, как пытаются представить, а свойство хорошо спроектированной системы. Session здесь — модель-образец, а не угроза.
Она защищает человека через дизайн, а не через паспорт. Мессенджер, в который нельзя написать без вашего согласия, защищает от мудаков надёжнее, чем любая привязка к номеру. Замок на двери работает лучше, чем список всех, у кого есть двери.
И она не лжёт о себе. Называет вещи своими именами, не выдаёт блокировку за защиту, отчёт — за результат, а шильдик — за суверенитет. Доверие строится на проверяемости, а не на принуждении.
Так где она, эта безопасность?
Вернусь к вопросу, которым закончился спор в комментариях: так где же она, эта настоящая безопасность?
Её нет там, где о ней громче всего говорят, — в блокировках, привязках к паспорту и праве прочитать чужую переписку. Зато она есть там, где её называют угрозой, — в инструментах, которые просто не дают добраться до человека без его согласия.
«Приватность против безопасности» — ложная дихотомия. Отдав приватность, вы не получаете взамен безопасность. Вы теряете и её. Настоящий вопрос — не «приватность или безопасность», а чья власть: ваша над собственной перепиской или чужая над вами. И почти всегда, когда вас уговаривают разменять одно на другое, речь не о вашей безопасности, а о чьём-то удобстве вас контролировать.
Мессенджер, которому нечего отдать, — это не лазейка для шпиона и не уголок для измены, как пугают. Это единственная связь, до которой не дотянется ни аноним с угрозами, ни мошенник с чужой симки, ни — что важнее всего — завтрашняя власть, которая в какой-то момент решит, что угроза безопасности государства — это лично вы.