Начинается тестирование российских SSL-сертификатов на сайте госуслуг

acb74f62dcdb4639b1d86290a8f34975.jpgРоссийские власти предпринимают меры, чтобы вылечить «сертификатозависимость» от западных стран — и внедряют собственную систему шифрования трафика HTTPS.

О планах по созданию российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов стало известно в прошлом году. Тогда сообщалось, что администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнёрами. Тогда же эксперты высказывали предположение: первые российские SSL-сертификаты будут устанавливать на сайте госуслуг и других государственных порталах, а для массового использования SSL-сертификатов российского УЦ, основных производителей операционных систем и браузеров — Microsoft, Google, «Яндекс» и других — могут обязать предустановить в свои продукты специальный корневой сертификат.

Сейчас реализация плана началась, рассказал «Известиям» советник президента РФ Герман Клименко.
Пилотные испытания российских SSL-сертификатов проведут на портале госуслуг и сайтах проектов национальной поисковой системы «Спутник». Затем планируется подключить «сайты, где есть персональные данные, финансовые транзакции и юридическая информация». Внедрением отечественного SSL занимаются Минкомсвязи, Ростелеком (совладелец системы «Спутник») и ведущие российские разработчики криптографического оборудования, в том числе компания «Крипто-Про», которую называют тесно связанной с ФСБ. Руководство компании утверждает, что около трети сотрудников фирмы раньше работали в ФСБ.

Давним поборником внедрения российских SSL-сертификатов является директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух. Он объясняет, в чём опасность использования иностранных сертификатов: «Основная опасность в том, что сертификат можно отозвать, причем сделать это может та организация, которая его выдаёт. Как только он будет отозван, соединение перестает быть шифрованным и защищённым. Российский трафик можно будет расшифровать».

Но некоторые независимые эксперты видят ситуацию с точностью наоборот. Именно после внедрения российских сертификатов у государственных органов появится возможность расшифровать трафик, в соответствии с законом Яровой. С иностранными SSL-сертификатами госорганы не могут получить ключи шифрования, а это неприемлемо. Тех, кто занимается прослушкой, не может не удручать тот факт, что в российских доменных зонах количество сайтов, использующих SSL-сертификаты, быстро растёт. В июле 2015 года в зоне .ru таких ресурсов было 109 тыс., в июле 2016 года — 189 тыс., а в июле 2017 года — 531 тыс.

Илья Массух отметил, что в России есть собственная школа шифрования, но, несмотря на это, она стала «сертификатозависимой» страной. Проблему необходимо срочно решать.

Российский стандарт шифрования уже активно используется в электронно-цифровых подписях. Их выдачей занимаются удостоверяющие центры, получившие соответствующую лицензию в ФСБ. Теперь российские ключи шифрования будут внедрять и для протокола HTTPS:

«Наш протокол шифрования надёжнее и быстрее, чем иностранный», — подчёркивает руководитель проекта «Нетоскоп» Павел Храмцов.

По словам Храмцова, сегодня отечественные сертификаты поддерживает браузер «Спутник» и все браузеры, собранные на открытом коде. Есть специальный модуль для Mozilla Firefox. «Работа российского сертификата не создаст трудностей для пользователей, — сказал глава проекта «Спутник» Максим Хромов. — Если браузер поддерживает отечественное шифрование, то будет использовано оно. В противном случае будет подключение через иностранные SSL-сертификаты». Вероятно, по такой схеме в будущем должны работать все браузеры, использование которых разрешат в России.

«Для этих целей планируется внести изменения в 8 ФЗ («Об обеспечении доступа к информации о деятельности госорганов…»). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определённую версию «Спутника» или «Яндекс.Браузера», — сказал Илья Массух, который также возглавляет рабочую подгруппу «Интернет + суверенитет» при администрации президента.

Поисковик «Спутник» создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании «Крипто-Про» весной 2016 года. Тогда же сообщалось, что над аналогичным проектом работает и «Яндекс», хотя в компании это опровергали. Однако в мае 2016 года Илья Массух говорил, что «Спутник» и «Яндекс» разработали бета-версии своих браузеров с использованием российских алгоритмов шифрования. Эту информацию тогда подтвердил и коммерческий директор «Крипто-Про» Юрий Маслов. Он сказал, что компания предоставила на некоммерческой основе «Спутнику» и «Яндексу» свою утилиту «КриптоПРО CSP», которая используется для шифрования и имитозащиты данных, обеспечения целостности и подлинности информации: «У «Спутника», насколько я знаю, такая версия браузера готова и уже демонстрировалась, «Яндекс» еще в процессе».

По оценке гендиректора Технического центра интернет (ТЦИ) Алексея Платонова, стоимость развёртывания УЦ с имплементацией поддержки корневого сертификата в основные браузеры и ОС составит всего лишь 200–300 млн руб. и на это потребуется четыре-пять лет. По мнению собеседника газеты «Коммерсантъ», близкого к администрации президента, предустановка российского сертификата будет решаться на переговорах с компаниями-разработчиками ОС и браузеров и, если они не пойдут навстречу, «мерами законодательного регулирования».

© Geektimes