Забудьте Let's Encrypt. В суверенном Рунете — только отечественное шифрование

fo4aod2wqybjodksternnxvgwxa.png

Депутаты продолжают вносить предложения ко второму чтению законопроекта о суверенном интернете. Очередное предложение от комитета Госдумы по информационной политике — использовать в российском сегменте интернета только отечественные средства шифрования, рассказали РБК два источника в IT-индустрии.

Возможно, правительство собирается внедрить корневые сертификаты государственного удостоверяющего центра РФ в различное программное обеспечение, по примеру китайского CNNIC.
Проект текста поправок, в частности, содержит следующий текст: «Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования».

Среди прочего это означает, что SSL-сертификаты смогут выдавать только уполномоченные лица, то есть только те удостоверяющие центры, деятельность которых разрешена та территории России. Забудьте про Let’s Encrypt и другие зарубежные центры сертификации.

Для справки, список аккредитованных удостоверяющих центров опубликован на сайте Минкомсвязи.

Согласно действующему законодательству, интернет-компании, которые предоставляют в интернете услуги по обмену сообщениями, обязаны зарегистрироваться как организаторы распространения информации (ОРИ) и использовать одобренные правительством средства шифрования. Сейчас в реестр ОРИ входит более 170 компаний, среди которых «Яндекс», Telegram (не соблюдает требования РФ по шифрованию), Mail.ru и другие.

Законодатели мотивируют переход на отечественное шифрование усилением безопасности и защищённости российского сегмента интернета. Кроме гражданских сайтов, шифрование будет в обязательном порядке использоватьcя в государственных информационных системах (ГИС), то есть в системе госзакупок, на портале госуслуг, в системе государственных и муниципальных платежей и так далее.

Можно предположить, что российские центры сертификации воспользуются ситуацией, чтобы заработать на продаже SSL-сертификатов. Вряд ли кто-то будет предлагать их бесплатно, как Let’s Encrypt. Годовая лицензия на популярные SSL-сертификаты стоит от 3000 до 30 000 руб., в зависимости от типа сертификата и продавца. В России нет собственных корневых доверенных центров сертификации, поэтому даже на государственных сайтах сейчас используются иностранные SSL-сертификаты. Так, на сайте gosuslugi.ru стоит сертификат американской компании Comodo, а на сайте nalog.ru — сертификат от Thawte.

Вероятно, комитета Госдумы по информационной политике в первую очередь хочет внедрить отечественные сертификаты именно на государственные сайты, такие как сайт госуслуг. Однако если поправки будут приняты в нынешнем виде, то это требование распространится и на всех остальных. Но в любом случае на российские сайты и сервисы по обмену сообщениями распространяется требование закона Яровой предоставлять по запросу компетентных органов серверные ключи для расшифровки трафика HTTPS.

Чтобы уклониться от этого требования, многие мессенджеры в последнее время стали использовать оконечное (end-to-end) шифрование, когда сессионные ключи генерируются и хранятся только на устройствах пользователей, а у администрации сервиса в определённых случаях нет доступа к ним. Такой вид шифрования используется в WhatsApp, Telegram и Viber. Например, сервис Telegram отказался помогать ФСБ и предоставить ключи шифрования для чтения переписки своих пользователей, за что его оштрафовали, а затем формально заблокировали на территории Российской Федерации (впрочем, с тех пор российская аудитория Telegram только выросла). Сейчас Роскомнадзор готовится к внедрению системы DPI для более надёжной блокировки Telegram, незарегистрированных VPN и других запрещённых сервисов. Китайский опыт показывает, что системы DPI вполне надёжно выполняют эту задачу.

Гендиректор Института исследований интернета Карен Казарян считает, что соблюдение новых поправок в закон о суверенном интернете означает, что всем крупным российским интернет-компаниям придётся внедрить российские средства шифрования в свои продукты — почтовые клиенты, браузеры, мессенджеры и др. «Например, в случае с браузерами это означает, что им придётся добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации — это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво — взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», — сказал Казарян.

«Криптография сейчас используется во всех значимых интернет-сервисах — мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти, — говорит разработчик отечественных систем шифрования Дмитрий Белявский. Он заметил, что предлагаемые меры не позволяют сделать использование отечественной криптографии добровольным и удобным. — В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в «Яндекс.Браузер», а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идёт».

Разумеется, внедрение отечественного шифрования намного облегчит расшифровку трафика спецслужбами: «Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надёжны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объёмы которого в рамках «закона Яровой» должны хранить операторы связи», — сказал независимый эксперт Алексей Семеняка.

Предположение о внедрённых «закладках» вполне обоснованное. Два месяца назад исследователь Лео Перрин из Университета Люксембурга представил доклад с описанием скрытых особенностей российских криптографических стандартов «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС».

В комментариях для РБК эксперты высказали мнение, что выгоду от этих поправок в законопроект могут получить две компании, между которыми сейчас практически поделен рынок средств криптографической защиты информации (СКЗИ): «На 90% рынок СКЗИ делят «ИнфоТеКС» и «Код безопасности» (входит в холдинг «Информзащита»), причём у первой компании доля больше. «ИнфоТеКС» неявно прописан во многих постановлениях правительства — их используют госорганы в системе межведомственного электронного взаимодействия, а также для присоединения к системам ФинЦЕРТа Банка России и ГосСОПКА, которую создаёт ФСБ», — сказал собеседник РБК.

В сентябре 2018 года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».

Напомним, что законопроект № 608767–7 «О внесении изменений в некоторые законодательные акты Российской Федерации (в части обеспечения безопасного и устойчивого функционирования сети «Интернет» на территории Российской Федерации)» внесён в Госдуму 14 декабря 2018 года и принят в первом чтении, а в феврале 2019 года одобрен в первом чтении. Законопроект накладывает новые обязательства на операторов связи и владельцев точек обмена трафиком и даёт дополнительные полномочия Роскомнадзору. В частности, операторы связи обязаны выполнять правила маршрутизации, установленные Роскомнадзором, а при резолвинге доменных имен использовать разрешённые Роскомнадзором программно-технические средства, а также национальную систему доменных имён.

jysdrr7tqgfjt50wtcshw89ctho.png

Минутка заботы от НЛО


Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

© Habrahabr.ru