О борьбе с криптографией

28 сентября 2020, 00:00

Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации», предполагающие запретить интернет-сайтам в России использовать современные технологии шифрования, скрывающие имя сайта. Эти технологии широко используются для чувствительных данных, когда необходимо не только их зашифровать, но и обеспечить высокий уровень приватности и избежать атаки злоумышленников по типу «человек посередине»: пользователя перенаправляют на сайт-близнец, крадущий данные. Соответственно современные системы шифрования не просто скрывают данные, но не знают, на какие сайты те отправляются. Такой механизм усложняет для госорганов блокировку ресурсов, но позволяет крупнейшим интернет-ресурсам, в том числе банкам, защитить пользователей от обмана, не давая злоумышленникам видеть адрес сайта, чтобы те не подменили его фишинговым (введенные на такой странице личные данные попадают в руки злоумышленникам). И если для пользователей и компаний это новый шаг к приватности и безопасности в интернете, то для государства — новый вопрос о пределах контроля.

ВЛАДИМИР ГЕРДО/ТАСС

Защитить пользователей интернета от обмана или облегчить государству блокировку ресурсов?

Читайте Monocle.ru в

Одна из самых распространенных технологий защиты сегодня — протокол TLS. Он используется в банках, в том числе для проведения онлайн-платежей, в госуслугах и проч. TLS пришел на смену морально устаревшим протоколам SSL. Согласно пояснительной записке к поправкам, Минцифры ведет речь о последней редакции протокола TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и указывает, что применение таких алгоритмов шифрования снизит эффективность существующих систем фильтрации трафика и это затруднит выявление запрещенного в России контента и блокировку ресурсов. TLS 1.3 активно развивается в последние два года.

Проект поправок опубликован на портале проектов нормативно-правовых актов Regulation.gov.ru, где оценку ему могут давать только аккредитованные Минюстом России независимые антикоррупционные эксперты (срок — до 5 октября). «Полагаю, что общественное обсуждение позволит нам собрать весь спектр мнений и найти оптимальное решение. По итогам общественного обсуждения законопроекта соберем рабочую группу и обсудим перспективы внесения законопроекта», — заявил министр Максут Шадаев. По замыслу Минцифры, принятие законопроекта позволит более эффективно выявлять в интернете ресурсы, содержащие информацию, распространение которой в стране ограничено или запрещено. В то же время развитие систем шифрования — естественный процесс, связанный с необходимостью защищать финансовые и личные данные в цифровой экономике, а курс на ее развитие задан во всех крупнейших странах.

Увеличивает значение шифрования в интернете и то, что современные браузеры и другое ПО в большинстве своем построены на принципах международных протоколов (вроде TLS) и их запрет, во-первых, будет крайне сложно администрировать, а во-вторых, даже создание собственных криптографических систем сначала должно быть завязано на ПО, которое нужно научить их «читать». История с неудачной блокировкой Telegram уже показала, что современные технологии не позволяют блокировать что угодно в лоб. Для этого необходимо как минимум закрывать интернет — по китайской модели, но даже это не остановит развитие алгоритмов, математики и криптографии.