16 октября вступит в силу новая редакция Национальной политики шифрования Индии. Её предварительная версия вызвала мощную волну протестов, поскольку она означает полную ликвидацию приватности и затрагивает международные компании, предоставляющие услуги связи, облачные технологии и другие современные сервисы, использующие криптографическую защиту.
Пока большинство активных интернет-пользователей из Индии вовлечено в борьбу за сетевой нейтралитет, правительство подготовило новый проект государственной политики шифрования. До её вступления в силу остаётся меньше месяца, и времени на преодоление бюрократических заслонов у правозащитников почти не остаётся. К тому же, ранее публично доступный законопроект был удалён с сайта Министерства.
Министерство коммуникаций и информационных технологий Индии (DeitY) намерено обязать пользователей не только расшифровывать свои сообщения по первому требованию властей, но и хранить их минимум 90 дней с момента отправки или получения.
Даже если сам текст сообщений не шифруется, криптографические алгоритмы часто используются для их передачи по сети. DietY не желает разрабатывать средства перехвата для каждого мессенджера и почтового сервиса. Министерство просто вменяет пользователям в обязанность самостоятельно хранить архив сообщений. Удаление любой переписки с неистёкшим сроком давности классифицируется как попытка скрыть важную информацию от правительства и считается серьёзным преступлением, близким по степени тяжести к подготовке террористического акта. Содержание самих сообщений при этом значения не имеет – важен сам факт их (не)доступности.
Начиная с середины октября за удаление писем в своём аккаунте Gmail или деинсталляцию приложения WhatsApp в Индии можно будет оказаться на скамье подсудимых. Местные провайдеры, а также представительства Google и Facebook будут обязаны сотрудничать с властями и изменить способ предоставления услуг соответствующим образом. В частности, «использовать алгоритмы шифрования и длину ключей, определённую постановлением Правительства».
Самое удивительное, что закон не делает никаких исключений. Индийские пользователи вскоре будут обязаны незамедлительно передавать все свои сообщения за три месяца и все свои ключи шифрования правоохранительным органам. Абсолютно неважно, хранятся ли они локально или на корпоративном сервере, в каких приложениях используются и какие данные защищают.