Эпоха тотального недоверия

Мы живём в странное время. Раньше технологии воспринимались как инструменты свободы: компьютер делает то, что ты ему скажешь, а не то, что приказали корпорации или государству. Интернет был пространством анонимности и самовыражения. Шифрование — способом защитить личную переписку от посторонних глаз.

Теперь всё ровно наоборот.

Apple анонсировала планы по сканированию фотографий в iCloud под предлогом борьбы с детской порнографией — но эта же технология может искать политические мемы или запрещённую литературу. Google и Microsoft давно интегрировали телеметрию в свои операционные системы так глубоко, что отключить её полностью невозможно без потери функциональности. Android и iOS — это устройства слежки, которые иногда делают телефонные звонки и отправляют SMS.

Все вендоры следят за пользователями. Это уже никого не удивляет.

Но вот что действительно меняет правила игры: даже тех, кто не следил, теперь пытаются заставить.

Когда государство приходит за свободным ПО

Open source воспринимался как последний бастион приватности. Ведь код открыт — его можно проверить, скомпилировать самому, убедиться, что никакой телеметрии нет. Можно взять Debian, Arch или FreeBSD и быть уверенным: эта система не шпионит за тобой.

Силовые структуры государств решили закрыть и эту лазейку.

California Assembly Bill 1043 (Digital Age Assurance Act), подписанный губернатором Гэвином Ньюсомом в октябре 2025 года, требует от всех операционных систем — включая GNU/Linux и FreeBSD — внедрить систему идентификации пользователей к 1 января 2027 года.

Закон не делает исключений ни для размера проекта, ни для некоммерческих разработок. Определение «провайдера операционной системы» настолько широкое, что под него попадает любой, кто «разрабатывает, лицензирует или контролирует программное обеспечение операционной системы на компьютере, мобильном устройстве или любом другом вычислительном устройстве общего назначения».

Все. От Windows до дистрибутивов Arch Linux. От macOS до прошивки калькулятора HP48.

Что требует закон

Согласно AB 1043, провайдеры ОС обязаны:

собирать информацию о возрасте пользователей при создании учётной записи;
поддерживать «постоянно доступный API реального времени», который категоризирует пользователей в четыре возрастные группы: младше 13, от 13 до 16, от 16 до 18 и старше 18 лет;
передавать эти данные любому разработчику приложений, который запросит их при загрузке или запуске программы.

Формально это «защита детей от вредного контента». Фактически — инфраструктура тотальной идентификации и слежки, встроенная на уровне операционной системы.

Калькулятор по паспорту

Абсурд проявляется в деталях. Разработчик открытой системы DB48x для калькуляторов HP уже объявил, что его продукт не будет доступен жителям Калифорнии с 2027 года, а жителям Колорадо — с 2028 года (там похожий закон).

Причина проста: у него нет ресурсов, желания и технической возможности внедрять «верификацию возраста» в систему для математических вычислений. Калькулятор. Программа, которая складывает числа. Теперь она должна знать, сколько вам лет, и сообщать об этом «куда следует».

Логика простая: если ты не можешь запретить людям использовать свободное ПО, заставь разработчиков встроить слежку. А если разработчики откажутся — объяви их продукты вне закона на твоей территории.

Проверка возраста как инфраструктура слежки

В феврале 2026 года исследователи обнаружили открытый код системы Persona — компании по верификации возраста, которую используют Discord, Reddit, Roblox, OpenAI и сотни других платформ. То, что позиционировалось как «простая проверка возраста», оказалось системой тотальной слежки.

Что выяснилось:

система выполняет 269 различных проверок, включая сканирование по 14 категориям «негативной информации» (терроризм, шпионаж и прочее);
производит сравнение лиц с базами «политически значимых лиц» (politically exposed persons) с вычислением коэффициента сходства;
хранит биометрические данные лиц до трёх лет;
анализирует IP-адреса, отпечатки браузера, устройства, фоны на селфи;
напрямую передаёт отчёты в FinCEN (финансовую разведку США) и FINTRAC (канадский аналог).

Классическая схема: говорят «мы просто проверяем, что вам есть 18», а на деле строят систему тотального профилирования.

Сегодня — возраст. Завтра — биометрия. Послезавтра — мониторинг всей активности в реальном времени. API для передачи возрастных данных «любому разработчику приложений» — это инфраструктура, которую легко расширить до передачи любых данных. Имени, адреса, истории посещений, списка контактов.

Калифорнийский закон — лишь первый шаг. Завтра аналогичные требования появятся в Европе (где уже принят Chat Control с «добровольным» сканированием переписки), послезавтра — в других юрисдикциях. Круг будет сужаться, пока не останется вообще ничего.

Доверие утрачено

Вы не можете доверять Windows — он шлёт телеметрию в Microsoft, а Microsoft отдаёт данные по первому запросу спецслужб. Вы не можете доверять macOS — Apple встраивает сканирование контента и закрывает загрузчик, чтобы вы не могли запустить неподписанный код. Вы не можете доверять Android — это рекламная платформа Google с функциями телефона.

Но теперь вы не можете доверять и Linux.

Не потому, что разработчики Debian или Arch вдруг стали злодеями, а потому, что им законодательно запретят распространять свои продукты без встроенной идентификации. Хотите использовать Gentoo в Калифорнии? Извините, нет API для передачи возраста — значит, нет Gentoo.

Больше нет безопасных операционных систем. Больше нет приватных устройств. Вас деанонимизируют ещё на этапе включения компьютера, а потом будут отслеживать каждое действие — какие сайты вы посещаете, что печатаете, какие файлы храните.

Да, формально вы всё ещё можете скомпилировать ядро Linux из исходников. Но сможете ли вы его использовать? Попробуйте подключиться к Wi-Fi через драйвер, который требует проприетарного блоба прошивки. Попробуйте установить приложение из репозитория, который блокирует «неверифицированные» ОС. Попробуйте зайти в банк через систему без «цифровой подписи доверенного провайдера».

Заботливо предусмотренные бэкдоры

Отдельная ирония — «верифицированные» алгоритмы шифрования.

Помните историю с Dual_EC_DRBG, генератором случайных чисел, который АНБ снабдило бэкдором и продвигало через стандарты NIST? Или требования властей встроить «законный доступ» (lawful access) в мессенджеры? Или совсем свежую историю про бэкдоры в «верифицированных» криптобиблиотеках libcrux, hpke-rs и libcrux-psq, которые используются в защищённом мессенджере Signal?

Теперь представьте: вы шифруете документы «проверенным» алгоритмом, встроенным в вашу «легальную» операционную систему, которая прошла «сертификацию» и получила «цифровую подпись». А потом выясняется, что сертификация требовала наличия мастер-ключа для спецслужб.

Доверие утрачено не просто к конкретным продуктам — к самой концепции доверенных вычислений в современном виде.

Что делать?

Приватности больше нет. Каждое действие записывается, анализируется, сопоставляется с базами данных. «Умный дом» следит за вами в спальне и туалете. Зашифрованные документы расшифровывает любопытный Большой Брат через заботливо предусмотренный бэкдор в «доверенном» алгоритме.

Миллионы людей приняли это как неизбежность.

Но есть и другой путь.

Например, Project Oberon — операционная система, разработанная Никлаусом Виртом. Вся система с компилятором, текстовым редактором, сетевым стеком и даже веб-браузером помещается на одну дискету 3.5". Компилируется за 10 секунд. Весь исходный код открыт и помещается в одну книгу — можно прочитать и понять полностью.

Для современного интернета Oberon ограничен, но для работы с текстами, вычислений, баз данных — вполне функционален. А главное: учитывая открытость системы, её можно доработать, допилить под себя и точно быть уверенным, что она за вами не следит. Более современная версия — A2 (Bluebottle) — поддерживает многопроцессорность и активно развивается.

Это пример философии минимализма: система делает только то, что нужно вам, и ничего больше. Никакой телеметрии, никаких API для передачи «возрастных данных», никаких встроенных механизмов слежки.

Можно идти дальше — писать собственные приложения, использовать проверенные криптографические примитивы в открытом коде, который вы прочитали сами или доверяете тем, кто прочитал. Строить инфраструктуру, где сервер не знает, кто вы, а клиент не доверяет серверу.

Это сложно. Это требует времени и знаний. Но если вы хотите иметь хоть какую-то уверенность, что ваш компьютер работает для вас, а не против вас — другого пути нет.

Заключение

Калифорнийский закон, требующий от всех операционных систем внедрить идентификацию пользователей, — не аномалия. Это закономерный итог эпохи, в которой приватность и свобода воспринимаются как угроза. Угроза бизнес-моделям, построенным на сборе данных. Угроза государственному контролю, построенному на тотальной слежке.

Разработчик калькулятора DB48x не может и не хочет встраивать систему деанонимизации в программу для математических вычислений. Он просто объявляет, что его продукт не будет доступен в Калифорнии. Завтра то же самое сделают разработчики небольших дистрибутивов Linux. Послезавтра — авторы свободных приложений.

Круг допустимого программного обеспечения будет сужаться, пока не останется только то, что одобрено, сертифицировано и снабжено всеми необходимыми механизмами контроля.

А нам останется либо смириться, либо научиться обходиться своими силами.

Доверие утрачено. Пора привыкать жить в мире, где технологии больше не на нашей стороне.