Поиск сообщества

Министерство цифрового развития, связи и массовых коммуникаций РФ вынесло на обсуждение законопроект, который в текущей форме может парализовать работу отечественного интернета. Рассказываем, в чём суть проекта и насколько вероятно, что его примут. Что случилось Минцифры предлагает запретить сайтам и сервисам пользоваться современными протоколами шифрования — TLS 1.3, ESNI, DNS over HTTPS и DNS over TLS. Предусмотрено, что эти алгоритмы должны быть запрещены в России, а ресурсы, которые их применяют, могут быть заблокированы «в срок не позднее одного рабочего дня со дня обнаружения нарушения». Как уверяют авторы, законопроект позволит противодействовать распространению противоправной информации. Эксперты уточняют: разработчики хотят перекрыть обходные пути доступа к заблокированным ресурсам. Как это устроено Разберём сценарий работы этих продвинутых протоколов шифрования. Допустим, они поддерживаются сервером, где размещены ваши любимые ресурсы. В вашем браузере тоже реализована поддержка этих протоколов. И когда вы набираете в строке адрес сайта, соцсети или видеохостинга, протоколы шифруют его. В результате ни ваш интернет-провайдер, ни другие «посредники» в передаче данных не могут отследить, на какой именно ресурс отправился пользователь. «Сейчас устроено так. Если обратиться к какому-то ресурсу, пользователь вводит в браузере строку какую-то. Оператор связи ему отвечает, по какому адресу находится этот ресурс. Эта система называется DNS. Оператор связи может видеть, куда каждый пользователь ходит. А новые протоколы, которые сейчас хотят внедрить, подразумевают, что оператор связи не сможет видеть, куда пользователи ходят. Эти запросы будут шифроваться», — говорит Михаил Климарёв, директор «Общества защиты интернета». Сейчас такими протоколами уже оснащены крупнейшие в мире облачные службы, например, Microsoft Azure и Google Cloud, где размещается огромное количество полезных интернет-сервисов и сайтов, включая российские. Многие отечественные компании используют эти облачные платформы в своих бизнес-процессах. Ещё пример: новое шифрование применяет Cloudflare. Это сервис, который успешно защищает огромное количество сайтов по всему миру от DDoS-атак. В чём проблема Крайне сомнительно, что западные гиганты вроде Microsoft и Google вдруг откажутся использовать на своих серверах самые современные протоколы. Даже если последние окажутся вне закона в РФ. Получается, единственный способ запретить шифрование на территории страны — закрыть доступ к «непослушным» серверам. А заодно придется каким-то образом ограничить использование россиянами популярных браузеров, ведь тот же Chrome и Firefox поддерживают запретное шифрование. Что говорят эксперты Специалисты утверждают, что реализовать законопроект в нынешней форме либо попросту невозможно, либо это приведёт к массовым отключениям сайтов и сервисов. «Указанные протоколы, по замыслу разработчиков, предназначены для скрытия информации. Теперь садимся и думаем, как будет фиксироваться факт использования таких протоколов? Ответ — никак. То есть изначально невозможно доказать факт использования “протоколов сокрытия”», — рассказывает Михаил Климарёв. Другие эксперты заявляют, что исполнение закона возможно, но оно повлечёт перебои в работе интернета. «В этом случае практически нельзя заблокировать сайты теми методами, которые используются сейчас. А блокировать по IP — придётся блокировать не только то, что необходимо по закону, но и то, что „висит“ с ним рядом. Примерно так блокировали Telegram, когда полегли Сбербанк, Slack и так далее», — объясняет технический директор Роскомсвободы Станислав Шакиров. Но это же только законопроект? Да, законопроект находится в стадии обсуждения. Туда будут вносить комментарии и пожелания — процесс продлится до 5 октября. После этого чиновники соберут все мнения и дополнят законопроект. Возможно, они доработают или вообще отменят эту инициативу. И тогда мы не лишимся привычного интернета. А может, и нет. Над интернет-пользователями опять сгущаются тучи. Если законопроект одобрят в текущем виде, нас ждут масштабные перебои в работе сети. Надеемся, что всё ещё изменится. Дополнительно по теме: Минцифры хотят запретить сайтам шифроваться Роскомнадзор запустил систему слежки за поисковиками и VPN Роскомнадзор потребовал от VPN-сервисов подключиться к ФГИС, но те отказались Источник: 4pda.ru

Министерство цифрового развития хочет запретить современные протоколы шифрования в Рунете. Безусловно, благодаря этому в России будет проще блокировать сайты. Министерство цифрового развития, связи и массовых коммуникаций хочет запретить веб-сайтам использовать современные технологии для шифрования соединения между сайтом и пользователем, чтобы Роскомнадзору было проще блокировать ресурсы с запрещенным контентом в Рунете. Эксперты отмечают, что эти технологии сейчас используют многие крупные компании, включая «Яндекс», и новая инициатива может привести к массовой блокировке IP-адресов крупных провайдеров, таких как Amazon Web Services или Cloudflare, у которых хостится много сайтов. Министерство цифрового развития опубликовало для общественного обсуждения проект закона, которым «запрещается использовать на территории Российской Федерации протоколы шифрования, позволяющие скрыть имя (идентификатор) интернет-страницы или сайта в сети интернет». Сайт, который будет нарушать этот запрет, смогут заблокировать в течение одного рабочего дня после обнаружения нарушения, говорится в проекте документа. В пояснительной записке к нему отмечено, что речь идет о протоколах с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DNS over HTTPS и DNS over TLS, которые «получают все большее распространение». «Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации [трафика в интернете], что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено», — говорится в документе. «Когда-то давно все адреса сайтов и страниц в интернете передавались открытым текстом, не зашифровано, поэтому когда в России только начинала работать система блокировки сайтов Роскомнадзора, предполагалось, что фильтрация будет работать как раз по URL, то есть адресам отдельных страниц на сайтах в интернете, — объясняет разработчик систем шифрования Дмитрий Белявский. — Однако через год после внедрения, во многом под влиянием разоблачений Эдварда Сноудена, весь мир стал стремительно переходить на использование https — протокола, который обеспечивает шифрование между сайтом и устройством пользователя. По этой причине блокировать по URL отдельные страницы сайтов, на которых используется https, невозможно». В результате, по словам Белявского, пришло время блокировок по hostname — имени сервера, на котором расположен сайт, который нужно «выключить», так как hostname все еще передавался открытым текстом для установления соединения. «Однако публичная доступность hostname тоже в некотором смысле подставляет пользователей и во всех смыслах выдает сайт. А люди на Западе привыкли думать, что компании все-таки заботятся об их конфиденциальности. Поэтому сейчас разрабатываются и внедряются технологии DNS over TLS, DNS over HTTPS, Encrypted Client Hello, которые прячут от внешнего наблюдателя и hostname, тем самым еще больше усложняя возможность узнать, на какие сайты ходит пользователь, а также процедуру блокировки каких-либо сайтов в интернете». Эти технологии сейчас активно внедряются в интернете, их начинают использовать многие сайты, хостящиеся у крупных зарубежных провайдеров. Так, Google поэтапно внедряет поддержку DNS over HTTPS в свой браузер Chrome, Mozilla тоже постепенно разворачивает поддержку этого протокола в браузере Firefox по умолчанию. В России сервера DNS over TLS и DNS over HTTPS «подняты» у «Яндекса», говорит Белявский. «Согласно этому законопроекту, все те сайты, которые используют их, в России будут вне закона и должны будут быть заблокированы. А так как по одиночке их заблокировать невозможно, как раз по причине использования этих технологий, то блокировать будут целыми подсетями хостинг-провайдеров, то есть опять Роскомнадзор будет блокировать целые диапазоны ip-адресов Amazon Web Services, Digital Ocean, Cloudflare, как это было, когда ведомство пыталось заблокировать Telegram в России несколько лет назад. В итоге страдать снова будут пользователи», — подводит он итог. В апреле-мае 2018 года, когда Роскомнадзор только приступил к попыткам заблокировать Telegram, он отдал распоряжения о блокировке нескольких миллионов ip-адресов Amazon Web Services, Google, Digital Ocean, из-за чего возникли проблемы с доступом ко многим другим сервисам, которые хостились у этих провайдеров. Авторы законопроекта из министерства цифрового развития в пояснительной записке отмечают, что в Едином реестре российского софта, который ведет министерство, «содержатся сведения о протоколах с применением криптографических алгоритмов и методов шифрования, возможных к использованию в соответствии с законодательством Российской Федерации», то есть в России, по их словам, есть альтернативные технологии для шифрования, которые при этом не будут мешать блокировкам в интернете. Кроме того, подведомственный министерству НИИ «Восход» создает в России удостоверяющий центр, который намерен выдавать SSL-сертификаты для шифрования соединения на сайтах, использующие российские криптоалгоритмы «Магма» и «Кузнечик», ранее рассказывала «Медуза». Бывший совладелец хостинг-провайдера Diphost Филипп Кулин отмечает, что у российских властей давно есть желание заменить в Рунете иностранную криптографию отечественной, однако этому есть препятствие — большинство операционных систем и браузеров не работают с российскими криптографическими алгоритмами. Дополнительно по теме: Обход блокировок роскомнадзора Роскомнадзор разблокировал Telegram Роскомнадзор запустил систему слежки за поисковиками и VPN Роскомнадзор потребовал от VPN-сервисов подключиться к ФГИС, но те отказались Источник: meduza.io