Минцифра и запрет TLS v. 1.3 (а заодно и HTTPS): отзыв на законопроект
Привет, Хабр.
В прошлый раз мы писали о том, что Минцифра внесла на публичное рассмотрение законопроект, согласно пояснительной записке, запрещающий в России работу сервисов с технологиями сокрытия доменных имён — eSNI/ECH, а если брать шире, то и весь TLS v. 1.3, а согласно букве законопроекта — до кучи ещё и HTTPS вообще.
Сейчас хотелось бы показать, что могут делать айтишники в таких случаях — помимо бурных обсуждений на Хабре. Будет ли это иметь эффект — посмотрим в ближайшие недели, но как минимум — это правильный способ общения с государственными органами по таким законопроектам.
Собственно, у каждого рассматриваемого законопроекта Минцифры, как и других ведомств, есть своя страничка на regulation.gov.ru — в данном случае вот она. На ней есть ссылка «Ваши предложения», нажав которую и авторизовавшись через Госуслуги, можно отправить предложения текстом или в виде приложенного файла.
Что нужно и что не нужно делать?
- Отправляйте только предложения, написанные по сути и делу законопроекта, с конкретными замечаниями. Потратьте день-два, чтобы внимательно вчитаться в суть законопроекта, и сформулируйте конкретные претензии к нему.
- Не бомбите министерство однотипными шаблонами, предложенными где-то в интернете. Чиновник, на которого вдруг свалилось 500 писем, из которых 10 уникальны, а остальные 490 — под копирку, не будет читать их все, оптом. Вы не впечатлите его своим негодованием, а наоборот, обнулите старания тех, кто писал отзыв серьёзно.
- Оптимальный размер отзыва — в пределах двух-трёх страниц, нумерованным списком. Если к законопроекту имеются замечания из существенно разных областей, разбейте отзыв на подразделы.
- Если у вас есть возможность отправить отзыв на бланке компании, ассоциации, etc. — пользуйтесь ей. Если нет — подумайте, как вы подпишетесь так, чтобы была понятна ваша компетенция в данном вопросе.
- Если у вас есть возможность открыто опубликовать отзыв и пояснительную записку к нему, например, в СМИ или на сайте какой-либо профильной ассоциации или организации — пользуйтесь ей. Пусть след вашей деятельности останется в публичном поле и будет находиться гуглом.
- Не забывайте про Хабр. Чем раз за разом стонать в комментариях, которые никто не читает, про бездушных чиновников, проделайте указанную работу и поделитесь ей здесь.
Так вот, а теперь — наглядный пример.
Обращение к Минцифре: эксперты об опасности нового законопроекта
«Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности»Бенджамин Франклин,
официальное письмо Ассамблеи Пенсильвании
губернатору Томасу Уортону
11 ноября 1755 г.
В понедельник, 5 октября, закончился приём отзывов в рамках общественного обсуждения нового проекта закона Минцифры РФ, вносящего изменения в 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
1) Статью 2 дополнить пунктом 21 следующего содержания:«Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» — это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы.»;
2) Пункт 2 статьи 10 дополнить абзацами следующего содержания:
«Запрещается использование на территории Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет», за исключением случаев, установленных законодательством Российской Федерации.
Нарушение запрета использования в Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет», влечет приостановление функционирования Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти»
По мнению многих экспертов, которое мы полностью разделяем, в текущей форме этот законопроект не просто вреден, а опасен — в первую очередь для отечественного сегмента интернета, который он призван защищать.
Начнём немного издалека. Значительная часть существования и развития интернета за последние два десятилетия, с момента, когда он стал общепринятым средством коммуникации, в том числе — для передачи критически важной информации, включая финансовую, личные данные пользователи и тому подобное — это борьба с мошенниками и другими людьми с недобросовестными намерениями. В ней было много этапов: бурное развитие антивирусов, защиты от спама и поддельных (фишинговых) электронных писем, распространение сертификатов, удостоверяющих, что сайт, на который вы зашли, действительно тот, за кого он себя выдаёт, наконец — шифрование передаваемых между вашим компьютером и сайтом данных так, чтобы мошенники не смогли их перехватить, подслушать, подделать.
Эти задачи решаются постепенно, как и в любом соревновании снаряда и брони.
Очередной этап защиты пользователей интернета от мошенников — это сокрытие от посторонних лиц не только содержания информации, которой вы обмениваетесь с сайтами, но и самих названий сайтов, на которые вы заходите. Никто, кроме вас, не должен знать, каким банком и когда вы пользуетесь, на каких сервисах зарегистрированы. Эти технологии известны профессионалам под названием eSNI и ECH, сейчас они находятся на ранних стадиях внедрения.
Да, эти технологии мешают Роскомнадзору блокировать нежелательные сайты, в том числе сайты, размещающие запрещённый контент. Но точно так же замки на дверях квартир и подъездов мешают милиции преследовать подозреваемых в совершении преступлений — однако здесь общество без колебаний пришло к консенсусу о том, что личное пространство должно оставаться личным и защищённым. Что право на защиту этого пространства не должно безусловно делегироваться компетентным органам, потому что они всё равно не смогут поставить полицейского у каждой двери. Что есть граница, которую нельзя переходить. Да, честному человеку нечего скрывать. Нет, это не значит, что можно запретить ему задёргивать шторы на окнах.
К сожалению, в области цифровых технологий этого консенсуса нет — поэтому, если развивать аналогию, Минцифра предлагает начать с запрета на задёргивание штор, а потом перейти и к незаконности замков на дверях.
Помимо самой недопустимости подобных запретов, необходимо отметить тот колоссальный урон, который они нанесут российской интернет-индустрии уже в среднесрочной перспективе. Вышеупомянутые eSNI и ECH являются частью общемировых стандартов — например, стандарта TLS v. 1.3 — которые не просто будут всё шире использоваться зарубежными компаниями, но и безусловно войдут в те или иные требования, например, в требования по обеспечению безопасности обработки финансовой информации PCI DSS, которым обязаны удовлетворять все банковские и платёжные организации.
Что ответит Минцифра, когда к ней придут представители российских банков и скажут, что больше не могут работать с картами VISA и MasterCard, потому что новая версия PCI DSS делает TLS v. 1.3 обязательным —, а Минцифра его запретила? Когда окажется, что крупнейшие мировые сервисы переходят на новые стандарты просто в ходе планового обновления программного обеспечения на своих серверах?
Более того, крайняя нечёткость формулировок законопроекта позволяет, в случае его принятия, закрыть практически весь интернет, включая российский, буквально на следующий день. Фраза «позволяющих скрыть имя (идентификатор) Интернет-страницы» формально может быть применена к любому сайту, работающему по протоколу HTTPS — то есть, практически к 100% крупных сайтов. Зайдите на Яндекс, Мейл.ру, Сбербанк, Культура.рф — видите значок замочка рядом с адресом сайта? Это и есть тот самый HTTPS, который «скрывает имя Интернет-страниц» —, а заодно не даёт злоумышленникам подменить настоящий сайт фейковым, перехватить данные вашей кредитки или узнать ваши пароли.
Не отрицая важности борьбы с распространением противоправного контента в интернете, мы подчёркиваем: при принятии в текущем виде законопроект нанесёт непоправимый урон российскому сегменту интернета, отрезав российский рынок от крупнейших мировых сервисов, поставив под угрозу процесс цифровизации российской экономики и резко снизив конкурентоспособность отечественных интернет-компаний на международном рынке. Отставание в технологиях защиты передаваемых данных поставит под угрозу и национальную безопасность страны, облегчив сбор заинтересованными иностранными агентами соответствующей информации.
Мы настаиваем, что законопроект должен быть радикально пересмотрен с учётом высказанных выше замечаний.
Приложение: Отзыв экспертов Партии прямой демократии на законопроект «О внесении изменений в статьи 2 и 10 Федерального закона «Об информации, информационных технологиях и о защите информации» (PDF, 171 кбайт)
Под данным отзывом подписываются:
Макаров Вячеслав Викторович
Генеральный секретарь Высшего координационного совета Партии прямой демократии
Артамонов Олег Николаевич
Руководитель группы научно-технической экспертизы Партии прямой демократии
Шевяков Тимофей Николаевич
Пресс-секретарь, член Высшего координационного совета Партии прямой демократии
Лысаковский Дмитрий Иванович
Предприниматель, член Высшего координационного совета Партии прямой демократии
Чигидин Борис Викторович
Член Высшего координационного совета Партии прямой демократии, к.ю.н.
Филиппов Андрей Александрович
Член Высшего координационного совета Партии прямой демократии
Палюлин Антон Юрьевич
Управляющий партнер юридического бюро «Палюлин и партнеры»
Нестерович Сергей Александрович
Зам. главного редактора «Агентства Политических Новостей»
Щербаков Алексей Александрович
Ведущий разработчик FoodPlex
Толкач Александр Александрович
Предприниматель, Community Lead в Gaijin Entertainment
Калошин Вячеслав Владимирович
Предприниматель, архитектор, проектный менеджер
Зайцев Алексей Владимирович
Веб-разработчик
Поволоцкий Александр Борисович
Системный администратор и программист
Большаков Николай Борисович
Руководитель проектов
Иванов Павел Борисович
Руководитель проекта Learnee, разработчик
Маддалена Александр Николович
Независимый профессионал
Петров Алексей Алексеевич
Предприниматель, web-разработчик
Вардиев Павел Анатольевич
IT специалист с более чем 20-летним опытом
***
Оригинал обращения опубликован здесь. Если вы хотите добавиться в подписанты — пусть и post factum — по ссылке внизу есть форма.
Скажем честно — не знаем, возымеет ли это какой-либо эффект, однако мы постараемся сделать так, чтобы обращение в Минцифре было замечено.
Давайте в следующие разы повторять этот опыт? Как минимум, тогда никто не сможет сказать «да там хакеры с ресурса Хабр были недовольны, но замечаний по сути не поступило».