Хроники чебурнета

@Workless_Bezopasnik

В Госдуме предложили в обязательном порядке шифровать в Рунете весь трафик с помощью российской криптографии. Комитет Госдумы по информационной политике подготовил поправки ко второму чтению в так называемый законопроект о суверенном Рунете, которые обязывают передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования. Об этом РБК рассказали два источника в ИТ-индустрии. В пояснительной записке к законопроекту № 608767−7 сказано, что он «подготовлен с учетом агрессивного характера принятой в сентябре 2018 года Стратегии национальной кибербезопасности США». В этом документе декларируется принцип «сохранения мира силой», а Россия обвиняется в совершении хакерских атак.

Глава думского комитета Леонид Левин:

«Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования»

Документ отдельно обязывает организаторов распространения информации (ОРИ), то есть компании, управляющие сервисами по обмену сообщениями, обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством. В реестре ОРИ (РосКомНадзор), который ведет Роскомнадзор, сейчас находится более 170 компаний, среди которых «Яндекс», Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo.

SSL-сертификаты

Для защищенного HTTPS-соединения в браузерах используются SSL-сертификаты. Они позволяют зашифровать данные и проверить, действительно ли сайт, на который заходит пользователь, принадлежит компании, которая на нем указана. Каждый сайт, который хочет защитить обмен данными, должен купить сертификат (своего рода аналог ЭЦП для ЮЛ и ФЛ, только для сайтов) у специальных центров.

Сертификаты SSL. В поле "Подтверждено:" указан центр сертификации. Слева сертификат с расширенной проверкой (Extended Validation — EV), справа сертификат с проверкой домена (Domain Validation — DV)

В России нет центров сертификации так что все сайты используют иностранные сервисы сертификации. К слову на сайте ГосУслуг стоит сертификат американской компании Comodo, на сайте СберБанка и Центрального Банка РФ также американской компании DigiCert.

Чтобы реализовать идею депутатов, Россия должна создать свой международно признанный центр сертификации. Но об этом речи пока не идет, отмечает разработчик отечественных систем шифрования Дмитрий Белявский.

Опрошенные РБК эксперты обеспокоены тем, что массовое использование отечественных средств шифрования может помочь российским силовым структурам расшифровывать интернет-трафик, который операторы связи с прошлого года должны хранить в рамках закона Яровой.

Классическая атака "MiTM" (Человек по середине)

Работает это таким образом. Сертификат, выданный российским центром сертификации позволит переупаковать ваш шифрованный трафик, попутно прослушивая все что нужно, просматривая личную переписку, собирая ваши логины и пароли от любых сервисов на которых будет установлен данный сертификат. Разумеется, исключительно ради вашей безопасности. Вас ставят перед фактом: либо вы устанавливаете Российский сертификат и разрешите MitM, либо вы лишаетесь всех сервисов, использующих TLS-шифрование (так как при изоляции рунета может перестать проверяться валидность сертификата сайта выданного зарубежным центром ибо закон об автономном рунете подразумевает, что Рунет сможет работать без зарубежных технологий).

Опыт соседей

Уведомление о необходимости установки сертификата для пользователя.

В России пока планируют только сертификацию для веб-ресурсов, но в Казахстане пошли дальше и кроме веб-ресурсов национальный сертификат необходимо было [почему "было" будет дальше] установить для пользователей - физических лиц.

Источник из Казахстана на вопрос внедряется ли все-таки это или нет ответил:

Мягонько. Но точных данных нет. Начали форсировать письма от провайдеров об обязательной установке сертификата.

Нет, по причине того, что не готовы

Ссылки на Казахстанский Билайн или КазТелеком исчезли, но осталась версия с Web Archive

Скриншот из веб-архива страницы сайта КазТелеком.

Хотя и есть информация что все в силе.

Уважаемые Абоненты,

Настоящим, ТОО «Современные телекоммуникационные системы» уведомляет Вас о необходимости установки сертификата безопасности, в соответствии с требованиями подпункта 4) пункта 3-1 статьи 26 Закона Республики Казахстан "О связи" от 5 июля 2004 года № 567, предусматривающего обязанность Операторов связи осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории Республики Казахстан.

Cертификат безопасности подлежит установке на все устройства, имеющие выход в сеть Интернет.

Путь для скачивания сертификата безопасности:

http://network.kz/media/ggIsu2A93L/QAZNET_TRUST_NETWORK.cer

Инструкция по установке сертификата:

http://network.kz/media/UlAkW3BoJF/cert_installation.pdf

Надеемся на Ваше понимание и дальнейшее плодотворное сотрудничество.

Что в России сейчас

Разработчик отечественных систем шифрования Дмитрий Белявский:

"Криптография сейчас используется во всех значимых интернет-сервисах — мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти. Предлагаемые поправками меры не дают шансов сделать использование отечественной криптографии добровольным и удобным. В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в «Яндекс.Браузер», а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идет"

Рынок систем компьютерной защиты информации в России:

Есть мнение что рынок СКЗи по сути в России поделен между двумя крупными компаниями: холдинг "Информзащита" и компания "Инфотекс", а на третьей строчке можно разместить компанию "КриптоПро" . При чем у Инфотекса доля рынка больше, при этом Инфотекс прописан основным бенефициаром [между строк] многих правительственных постановлений, ибо тот же Vipnet Client используют:

▬ госорганы для систем межведомственного электронного документооборота;

▬ для подключения организаций к системам медицинских информационно-аналитических центров (ГИС МИАС) и систем ФОМС;

▬ для систем ФинЦерт от ЦБ и ГосСОПКА от ФСБ;

и многие другие.

В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах.

При этом напомню, что компания Инфотекс МинТоргом США обвинялась в том, что они способствовали злонамеренной деятельности в киберпространстве и попала под санкции в третьем квартале прошлого года. Так что создание центра сертификации признанного на международной арене компанией Инфотекс может быть весьма сомнительной.

Меняем иностранные закладки на свои скрепные

«Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надежны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объемы которого в рамках «закона Яровой» должны хранить операторы связи» - независимый эксперт Алексей Семеняк.

И уже был случай, когда независимый эксперт Лео Перрин из университета Люксембурга представил доклад, в котором рассказывалось о некоторых скрытых особенностях и заложенных уязвимостях в алгоритмах, разработанных Центром защиты информации и спец. связи ФСБ при участии компании «Инфотекс». По ссылке еще одно исследование этого автора на представленные тезисы. Так что совершенно нет сомнений что при разработке и использовании отечественных систем будут «в целях нашей безопасности» использованы закладки для силовиков.

Касаемо иностранных компаний:

Независимый эксперт в сфере информационной безопасности Алексей Лукацкий подтверждает, что по действующему российскому законодательству разработать средства криптографической защиты и встроить их в готовые решения, например мессенджеры, могут только резиденты России, имеющие соответствующую лицензию ФСБ. «Ряд иностранных вендоров пытался встроить в свои продукты отечественную криптографию, в ходе чего выяснилось, что единственный легитимный вариант — это создание совместного продукта с российской компанией — разработчиком средств криптографической защиты информации (СКЗИ)», — говорит Лукацкий.

Таким образом получается, что суверенный рунет, что Яровая и прочие клишасы это не только про нашу с вами безопасность, но и очередной способ заработать и прикупить новые часы за несколько миллионов рублей.

Сайт российской общественной инициативы (РОИ) порой кажется такой же фигней как и change.org, но тем не менее проголосуйте за отмену закона о суверенном рунете здесь. Покажите, что вам не все равно.

02.04.2019