Российский интернет будут шифровать с помощью русской криптографии

3189
7 минут
Российский интернет будут шифровать с помощью русской криптографии

В Госдуме предложили защитить Рунет с помощью отечественного шифрования.

Поправки в законопроект о суверенном Рунете подготовил профильный комитет Госдумы. Нововведения обяжут шифровать весь трафик с помощью российской криптографии. Это может облегчить спецслужбам расшифровку сообщений, указывают эксперты.

Комитет Госдумы по информационной политике подготовил поправки ко второму чтению в, так называемый, законопроект о суверенном Рунете, которые обязывают передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования.

«Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования», - говорится в проекте текста поправок.

Данный документ отдельно обязывает организаторов распространения информации (ОРИ), то есть компании, управляющие сервисами по обмену сообщениями, обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством.

Заметим однако, что в реестре ОРИ, который ведет Роскомнадзор, сейчас находится более 170 компаний, среди которых «Яндекс», Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo.

Теперь отечественное шифрование, как говорится в поправках, также будет использоваться в государственных информационных системах (ГИС), то есть в системе госзакупок, на портале госуслуг, в системе государственных и муниципальных платежей и др.

На чем сегодня основано шифрование в интернете?

До сих пор в браузерах при установлении защищенного HTTPS-соединения используются SSL-сертификаты, которые позволяют зашифровать данные и проверить, действительно ли сайт, на который заходит пользователь, принадлежит той компании, которая на нем указана.

Кроме того, в основных настройках браузеров есть список корневых доверенных центров сертификации, и каждый сайт, который хочет зашифровать обмен данными со своими поcетителями, должен приобрести сертификат у одного из таких центров.

На сегодня годовая лицензия на популярные SSL-сертификаты стоит от 3 тыс. до 30 тыс. руб. Эта система позволяет зашифровать трафик в соцсетях, онлайн-банкинге, интернет-магазинах и на других сайтах, где важен защищенный обмен данными.

К сожалению, у нашей страны собственных корневых доверенных центров сертификации нет, поэтому даже на государственных сайтах используются иностранные SSL-сертификаты. Так, на сайте gosuslugi.ru стоит сертификат американской компании COMODO, а на сайте nalog.ru - сертификат от Thawte.

Большинство мессенджеров в последние годы стали использовать end-to-end шифрование, при котором ключи генерируются и хранятся на устройствах пользователей, и у администрации сервиса нет доступа к ним.

Такой вид шифрования используется в WhatsApp, Telegram и Viber. У Telegram на почве этого возник конфликт с ФСБ - ведомство требовало от компании передать ключи шифрования, чтобы декодировать переписку некоторых пользователей, а основатель компании Павел Дуров утверждал, что сервис ими просто не обладает.

Интернет переходит на отечественное шифрование

Что же означают на практике предложенные поправки? Теперь все крупные российские интернет-компании должны будут внедрить российские средства шифрования в свои продукты - почтовые клиенты, браузеры, мессенджеры и др., считает гендиректор Института исследований интернета Карен Казарян.

«Например, в случае с браузерами это означает, что им придется добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации - это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво - взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», -  разъяснил Казарян.

Так, в апреле 2015 года Google и Mozilla Foundation удалили корневые сертификаты китайского государственного удостоверяющего центра CNNIC из браузеров Chrome и Firefox после того, как обнаружили, что организация выдала сертификаты некой компании, создавшей фальшивые страницы Google. Предполагалось, что подставные страницы могли быть использованы для слежки за китайскими посетителями ресурсов Google.

Как отметил разработчик отечественных систем шифрования Дмитрий Белявский, криптография сейчас используется во всех значимых интернет-сервисах - мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти.

Белявский отмечает, что предлагаемые поправками меры не дают шансов сделать использование отечественной криптографии добровольным и удобным.

Разработчик отечественных систем шифрования убежден, что в идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах.

«Я имею в виду не принудительно заставлять внедрять отечественное шифрование в «Яндекс.Браузер», а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идет», - уточнил Белявский.

Кого беспокоит российская криптография?

Некоторые эксперты уже выразили беспокойство тем, что массовое использование отечественных средств шифрования может помочь российским силовым структурам расшифровывать российский интернет-трафик, который операторы связи и ОРИ с прошлого года должны хранить в рамках так называемого закона Яровой.

Устранить возможные проблемы возможно, если российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями. Объяснить их можно тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей.

Однако, как утверждают независимые эксперты, мы не знаем, насколько надежны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объемы которого в рамках «закона Яровой» должны хранить операторы связи».

У экспертов по криптографии ранее уже возникали вопросы к двум российским криптографическим стандартам - «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС».

Исследователь Лео Перрин из Университета Люксембурга и его коллеги представили доклад, в котором рассказывалось о некоторых скрытых особенностях упомянутых алгоритмов, которые могут свидетельствовать о специально заложенных уязвимостях. Несколько лет спустя Перрин представил еще одно исследование, в котором вновь обосновал этот тезис.

Однако статью Лео Перрина уже подвергли критике за то, что в ней без каких-либо обоснований и примеров реализации атак на криптоалгоритмы, делается вывод о наличии в них недекларированных возможностей, то есть закладок. В публикации усмотрели, что она носит явно спекулятивный характер и имеет своей целью срыв работ российских экспертов по продвижению указанных криптоалгоритмов в международные стандарты ИСО.

Как Рунет скажется на работе иностранных компаний?

«В реестре ОРИ есть немало иностранных компаний, поэтому требование использовать отечественную криптографию коснется и их. Но есть подозрение, что ни один иностранный игрок на это не пойдет, а даже если и решится, из-за экспортных ограничений внедрить российскую криптографию он не сможет», - замечает Карен Казарян.

В то же время независимый эксперт в сфере информационной безопасности Алексей Лукацкий утверждает, что по действующему российскому законодательству разработать средства криптографической защиты и встроить их в готовые решения, например мессенджеры, могут только резиденты России, имеющие соответствующую лицензию ФСБ.

Лукацкий сообщил, что «ряд иностранных вендоров пытался встроить в свои продукты отечественную криптографию, в ходе чего выяснилось, что единственный легитимный вариант - это создание совместного продукта с российской компанией - разработчиком средств криптографической защиты информации (СКЗИ)».

Законодательство о «суверенном» Рунете

Напомним, что законопроект о суверенном Рунете внесли в Госдуму в середине декабря 2018 года, его авторы - сенаторы Андрей Клишас и Людмила Бокова, а также депутат Андрей Луговой. Документ призван защитить российский сегмент интернета от внешних угроз.

Законопроект, в частности, предписывает всем операторам связи установить на свои сети специальное оборудование, которое позволит отражать различные атаки, а также даст возможность управлять Рунетом Роскомнадзору в случае какой-либо критической ситуации.

Фильтровать трафик, ограничивая доступ к запрещенным в России ресурсам также будет установленное оборудование В прошлом году данное оборудование уже протестировали на сети «Ростелеком», а в ближайшее время его тестирование может начаться на сетях операторов МТС, «МегаФон» и «ВымпелКом».

По данным программы «Цифровая экономика», расходы на этот законопроект запланированы в размере более 30 млрд руб., из которых 20,8 млрд руб. должны пойти на закупку оборудования.

Заметим, что в феврале 2019 года законопроект был принят в первом чтении, дата второго еще не назначена.

Материалы по темам "Законодательство" и "Социальные сети Интернет"

Рекомендуем

Загрузка...