Ни паспорта, ни имени, только ZIP-код. Новый сотовый оператор Phreeli ломает стандарты слежки

Новый американский оператор связи Phreeli обещает анонимную мобильную связь: чтобы подключиться, от абонента требуют только почтовый индекс. Никаких ФИО, адреса, номера паспорта или даже e-mail — минимум данных, который основатель проекта Николас Меррилл считает юридически обязательным лишь для налоговой отчётности. Его цель — сделать почти полную мобильную анонимность не экзотикой для «параноиков», а тихой, скучной нормой повседневной жизни.

Меррилл хорошо знает, как выглядит государственная слежка изнутри. В 2004 году, будучи владельцем небольшого интернет-провайдера Calyx в Нью-Йорке, он получил секретное требование ФБР — National Security Letter (NSL) — передать данные одного из клиентов. Ордер не был подписан судьёй, но сопровождался жёстким запретом рассказывать кому-либо о самом факте его получения. Меррилл отказался, подключил юристов из ACLU и на долгие годы превратил свою жизнь в судебную войну с ФБР и Минюстом США. В итоге правозащитники добились ограничения полномочий по таким письмам, а сам Меррилл получил право публично рассказать о давлении спецслужб.

Разочаровавшись в том, как медленно и тяжело меняются законы, Меррилл сделал другой вывод: бороться с избыточной слежкой можно не только через суды и парламент, но и через технологии. В 2010 году он создал некоммерческий Calyx Institute, который развивал «обезгугленную» версию Android с упором на Signal, поднимал XMPP-серверы для защищённого чата, предоставлял VPN без логов и помогал развивать анонимную сеть Tor. Эти сервисы за годы набрали сотни тысяч и даже миллионы пользователей, а сам Меррилл стал одной из заметных фигур в сообществе цифровой приватности.

Со временем он всё чаще упирался в один и тот же системный предел: как бы ни были защищены приложения и операционная система, оператор связи всё равно видит, какой телефон к какой базовой станции подключается и когда. Эти данные регулярно уходят по запросам спецслужб — от «разгрузки башен» с выгрузкой всех устройств, находившихся в определённой зоне, до адресных ордеров. Их же американские операторы годами продавали брокерам данных, которые перепродавали точные локации клиентов тем же государственным агентствам, обходя формальные ограничения на внутреннюю слежку.

Phreeli задуман как ответ именно на эту проблему. Формально это виртуальный оператор (MVNO), который арендует инфраструктуру T-Mobile, но сам заключает договоры с абонентами и определяет, какие данные о них собирать. Вышки принадлежат T-Mobile, а личная информация — зоне ответственности Phreeli. Идея Меррилла проста: максимально разорвать связь между личностью человека и его активностью в сети оператора. Закон не требует от сотовой компании знать имя клиента — достаточно ZIP-кода для налоговых расчётов. Всё остальное — добровольный выбор пользователя.

Самая сложная часть задачи — принимать оплату, не создавая при этом ещё одну базу, по которой можно связать конкретную банковскую карту с конкретным номером и его историей. Для этого Phreeli реализует собственную криптосистему Double-Blind Armadillo, основанную на современных криптографических протоколах с нулевым разглашением (zero-knowledge proofs). С их помощью система может «знать», что за конкретный номер связи заплачено, и верифицировать это при подключении к сети, но при этом не хранить связку «конкретный платёж — конкретный телефон». Клиент может расплатиться обычной картой, но в базе оператора это не превратится в привычный идентификатор, по которому его легко найти.

Для тех, кто хочет ещё больше анонимности, предусмотрены криптовалюты: Phreeli готов принимать, например, Zcash или Monero. При этом модель работы — только предоплата, потому что компания физически не может «разыскать» анонимного клиента, который остался должен. Чуть менее параноидальным пользователям предлагают «компромиссы»: можно указать e-mail, чтобы облегчить восстановление аккаунта при утере телефона, или ввести почтовый адрес для доставки физической SIM-карты (по обещанию компании, этот адрес сразу удаляется после отправки). Для самых осторожных будет доступна eSIM, которую можно скачать с сайта, расположенного в том числе в анонимной сети Tor.

Меррилл описывает модель Phreeli через образ своего маскота — броненосца. У животного всегда есть броня, но оно само решает, насколько плотно свернуться в шар и сколько «мягкого подбрюшья» выставить наружу. Так же и клиент: базовый уровень защиты есть всегда, а дальше он сам выбирает, насколько удобно ему жить с дополнительными мерами анонимности.

Важно, что сама по себе такая схема не запрещена: по словам основателя, подключать абонентов без имени и адреса законно во всех 50 штатах США. Ограничения начинаются там, где речь идёт о финансовом комплаенсе и противодействии отмыванию денег, но именно здесь, по замыслу Phreeli, cryptography-first модель и должна позволить соблюсти требования, не превращая базу данных оператора в список мишеней для слежки и утечек.

Конечно, Phreeli не волшебная таблетка от наблюдения. Даже если оператор не связывает историю подключения телефона и реальную личность, это всё ещё может сделать операционная система или конкретные приложения — от SDK рекламных сетей до аналитики крупных платформ. Меррилл это признаёт открыто: его задача — закрыть именно тот «дырявый» слой, который сегодня представляют крупные сотовые операторы, а не решить все проблемы приватности разом.

Отдельный вопрос — злоупотребления. Любой сервис, который даёт анонимность, неизбежно привлекает часть людей с преступными мотивами: это уже случалось и с Signal, и с Tor, и с криптовалютами. Меррилл говорит, что не питает иллюзий: да, некоторые клиенты Phreeli будут использовать анонимные номера в криминальных схемах. Но это не значит, что сама идея — токсична: ровно так же анонимными были уличные таксофоны, где достаточно было бросить монету. 99,9 % людей пользовались ими для обычных звонков, а не для преступлений, и это нормально.

При этом Phreeli не собирается превращаться в рай для спамеров и робоколлеров. Даже не зная реальной личности абонента, оператор может ограничивать аномально высокую активность, лимитируя количество звонков и SMS и баня SIM-карты, которые очевидно используются для злоупотреблений. «Если кто-то думает, что это будет безопасная гавань для тех, кто засоряет телефонную сеть, — не выйдет», — подчёркивает Меррилл.

Скептики, обжёгшиеся на маркетинге «приватности как фичи» от больших технокомпаний, вполне могут воспринять Phreeli как очередной красивый слоган. Но за спиной у Меррилла не рекламные кампании, а двадцать с лишним лет довольно жёсткой борьбы — от незаконных ордеров до построения реальных защищённых сервисов. Правозащитники из EFF и ACLU подчёркивают: для него коммерческий проект — это инструмент, а не самоцель, и конечная цель всё та же — сделать приватность нормой для всех, а не роскошью для узкого круга фанатов.

Меррилл не любит слово «бернер-фон» — оно тянет за собой образ наркоторговцев и конспирологов в чёрных худи. Но по сути Phreeli претендует именно на то, чтобы вернуть в эпоху смартфонов то ощущение «телефона с занавесками», которое когда-то давали привычные стационарные аппараты и таксофоны: связь, которая просто работает и не превращает вашу жизнь в товар на рынке данных. «Другие операторы продают вам квартиру без штор, где окна сделаны так, что повесить шторы невозможно, — говорит он. — Мы же говорим: нет, шторы — это нормально. Приватность — это нормально».