Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Власти запрещают в России современные интернет-протоколы, потому что они мешают блокировать сайты

22/09/20

block that 4Минцифра подготовила поправки к закону «Об информации, информационных технологиях и защите информации» о запрете использования на территории России протоколов шифрования, позволяющих скрыть имя интернет-страницы. Соответствующий документ опубликован на портале regulation.gov.ru.

Документ определяет, что «протокол шифрования, позволяющий скрыть имя интернет-страницы или сайта в интернете – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы».

Использование такого рода протоколов на территории России запрещается за исключением случаев, установленных законом. Нарушение данного запрета влечет приостановление функционирования интернет-ресурса в срок не позднее одного рабочего дня со дня обнаружения данного нарушения уполномоченным органом исполнительной власти. CNews отмечает, что ранее такая норма наказания, как приостановление функционирования интернет-ресурса, в России не применялась.

Почему надо запрещать новые протоколы шифрования

Согласно пояснительной записке к законопроекту, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. «Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)», - утверждают авторы документа.

«Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в России ограничено или запрещено», - отмечается в пояснительной записке.

При этом в Едином реестре российских программ для ЭВМ и баз данных содержатся сведения о протоколах с применением криптографических алгоритмов и методов шифрования, возможных к использованию в соответствии с законодательством России.

Что представляют из себя протоколы, которые предлагается запретить

TLS – базовый протокол шифрования в интернете. DNS – сервис определения IP-адреса узла в интернете по его доменному имени. Обращение к DNS происходит при каждом запросе пользователем доменного имени. HTTPS – версия протокола HTTP, по которому передаются веб-страницы, с шифрованием. Шифрование происходит путем обмена сертификатами между пользователем и серверов.

DoH и DoT – экспериментальные версии DNS, которые работают поверх протоколов HTTPS и TLS соответственно. При использовании таких протоколов интернет-провайдер не видит, к какому домену обращается пользователь, что затрудняет блокировку доступа к запрещенным ресурсам. SNI – технология, которая позволяет передавать имя запрашиваемого пользователем домена при работе по протоколу HTTPS.

Как поясняет эксперт по информационной безопасности и автор Telegram-канала «Лаборатория Артимовича» Дмитрий Артимович, до появления SNI все заголовки в HTTPS были шифрованными. В результате было сложно разместить несколько шифрованных ресурсов на одном сервере: не было понятно, какой домен нужен пользователю, и соответственно, не было понятно, какой сертификат нужно использовать.

SNI решает эту проблему, передавая информацию о домене в незашифрованном виде. ESNI же позволяет передавать имя домена зашифрованным. Упоминание протокола TLS 1.3 в пояснительной записке к законопроекту, скорее всего, было ошибкой, полагает гендиректор хостинг-провайдера «Дремучий лес» и автор Telegram-канала «Эшер II» Филипп Кулин: по всей видимости, авторы документа имели ввиду ESNI, который должен был выйти вместе с протоколом TLS 1.3, но не вышел.

Власти довольно давно начали понимать опасность указанных протоколов. Согласно утвержденному Минкомсвязи в начале 2020 г. плану проведения учений по «суверенному интернету», в 2020 г. должна быть отработана возможность блокировки трафика, защищенного с использованием технологий DoT и DoH.

Мнения экспертов

По мнению Филиппа Кулина, запретить протокол DNS over TLS теоретически возможно – для этого нужно заблокировать соединения с портом «853». А вот в случае с протоколом DNS over HTTPS трафик данного протокола сложно отличить от стороннего трафика. Решить проблему можно будет лишь блокировкой основных серверов DoH, поддерживаемых Google, Cisco и CloudFlare.

Дмитрий Артимович полагает, что запрет DoT может реализовать только интеллектуальный фаервол, который сможет отличать обычный запрос к DNS от шифрованного. Аналогичная история и с запретом ESNI. Но если блокировка ESNI будет налажена, это приведет к недоступности большого числа сайтов.

Кто стоит за идей запретить новые протоколы шифрования

Эксперт телеком-отрасли и автор Telegram-канала «За Телеком» Михаил Климарев отмечает, что законопроект предлагает наказание за использование указанных протоколов для владельцев сайтов. Но использование протоколов в первую очередь зависит от пользователей. В результате чиновники смогут наказать любой сайт в интернете, полагает эксперт.

Климарев полагает, что ответственным за разработку данного законопроекта является замминистра цифрового развития Олег Иванов, чьи фамилия и инициалы стоят в поле «ФИО руководителя (заместителя руководителя) принявшего решение об отказе от размещения уведомления» карточки законопроекта на сайте regulation.gov.ru.

Иванов-2

В 2018 г. Олег Иванов был замруководителя Роскомнадзора и руководил блокировкой мессенджера Telegram, которая привела к перебоям в работе большого числа интернет-ресурсов и в этом году была полностью отменена. Сейчас Иванов курирует в Минцифре телекоммуникационную отрасль. Недавно он также стал куратором федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика».

«Либо Иванов некомпетентен, предлагая такой законопроект, либо его кто-то подставил», - резюмирует автор Telegram-канала «За телеком» Михаил Климарев.

Темы:МинкомсвязиБлокировка сайтовгосинициативыУгрозыШифрование
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...