Министерство цифрового развития хочет запретить современные протоколы шифрования в Рунете. Безусловно, благодаря этому в России будет проще блокировать сайты
Министерство цифрового развития, связи и массовых коммуникаций хочет запретить веб-сайтам использовать современные технологии для шифрования соединения между сайтом и пользователем,
Министерство цифрового развития, связи и массовых коммуникаций хочет запретить веб-сайтам использовать современные технологии для шифрования соединения между сайтом и пользователем, чтобы Роскомнадзору было проще блокировать ресурсы с запрещенным контентом в Рунете. Эксперты отмечают, что эти технологии сейчас используют многие крупные компании, включая "Яндекс", и новая инициатива может привести к массовой блокировке IP-адресов крупных провайдеров, таких как Amazon Web Services или Cloudflare, у которых хостится много сайтов.Министерство цифрового развития опубликовало для общественного обсуждения проект закона, которым "запрещается использовать на территории Российской Федерации протоколы шифрования, позволяющие скрыть имя (идентификатор) интернет-страницы или сайта в сети интернет". Сайт, который будет нарушать этот запрет, смогут заблокировать в течение одного рабочего дня после обнаружения нарушения, говорится в проекте документа.В пояснительной записке к нему отмечено, что речь идет о протоколах с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DNS over HTTPS и DNS over TLS, которые "получают все большее распространение". "Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации [трафика в интернете], что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено", - говорится в документе."Когда-то давно все адреса сайтов и страниц в интернете передавались открытым текстом, не зашифровано, поэтому когда в России только начинала работать система блокировки сайтов Роскомнадзора, предполагалось, что фильтрация будет работать как раз по URL, то есть адресам отдельных страниц на сайтах в интернете, - объясняет разработчик систем шифрования Дмитрий Белявский. - Однако через год после внедрения, во многом под влиянием разоблачений Эдварда Сноудена, весь мир стал стремительно переходить на использование https - протокола, который обеспечивает шифрование между сайтом и устройством пользователя. По этой причине блокировать по URL отдельные страницы сайтов, на которых используется https, невозможно".В результате, по словам Белявского, пришло время блокировок по hostname - имени сервера, на котором расположен сайт, который нужно "выключить", так как hostname все еще передавался открытым текстом для установления соединения. "Однако публичная доступность hostname тоже в некотором смысле подставляет пользователей и во всех смыслах выдает сайт. А люди на Западе привыкли думать, что компании все-таки заботятся об их конфиденциальности. Поэтому сейчас разрабатываются и внедряются технологии DNS over TLS, DNS over HTTPS, Encrypted Client Hello, которые прячут от внешнего наблюдателя и hostname, тем самым еще больше усложняя возможность узнать, на какие сайты ходит пользователь, а также процедуру блокировки каких-либо сайтов в интернете".Эти технологии сейчас активно внедряются в интернете, их начинают использовать многие сайты, хостящиеся у крупных зарубежных провайдеров. Так, Google поэтапно внедряет поддержку DNS over HTTPS в свой браузер Chrome, Mozilla тоже постепенно разворачивает поддержку этого протокола в браузере Firefox по умолчанию.В России сервера DNS over TLS и DNS over HTTPS "подняты" у "Яндекса", говорит Белявский. "Согласно этому законопроекту, все те сайты, которые используют их, в России будут вне закона и должны будут быть заблокированы. А так как по одиночке их заблокировать невозможно, как раз по причине использования этих технологий, то блокировать будут целыми подсетями хостинг-провайдеров, то есть опять Роскомнадзор будет блокировать целые диапазоны ip-адресов Amazon Web Services, Digital Ocean, Cloudflare, как это было, когда ведомство пыталось заблокировать Telegram в России несколько лет назад. В итоге страдать снова будут пользователи", - подводит он итог.В апреле-мае 2018 года, когда Роскомнадзор только приступил к попыткам заблокировать Telegram, он отдал распоряжения о блокировке нескольких миллионов ip-адресов Amazon Web Services, Google, Digital Ocean, из-за чего возникли проблемы с доступом ко многим другим сервисам, которые хостились у этих провайдеров.Авторы законопроекта из министерства цифрового развития в пояснительной записке отмечают, что в Едином реестре российского софта, который ведет министерство, "содержатся сведения о протоколах с применением криптографических алгоритмов и методов шифрования, возможных к использованию в соответствии с законодательством Российской Федерации", то есть в России, по их словам, есть альтернативные технологии для шифрования, которые при этом не будут мешать блокировкам в интернете.Кроме того, подведомственный министерству НИИ "Восход" создает в России удостоверяющий центр, который намерен выдавать SSL-сертификаты для шифрования соединения на сайтах, использующие российские криптоалгоритмы "Магма" и "Кузнечик", ранее рассказывала "Медуза".Бывший совладелец хостинг-провайдера Diphost Филипп Кулин отмечает, что у российских властей давно есть желание заменить в Рунете иностранную криптографию отечественной, однако этому есть препятствие - большинство операционных систем и браузеров не работают с российскими криптографическими алгоритмами.
Также по теме: