Профильный комитет Госдумы подготовил поправки в законопроект о СУВЕРЕННОМ РУНЕТЕ , которые обяжут шифровать весь трафик с помощью РОССИЙСКОЙ КРИПТОГРАФИИ. Это может облегчить СПЕЦСЛУЖБАМ расшифровку сообщений, указывают эксперты.
Комитет Госдумы по информационной политике подготовил поправки ко второму чтению в так называемый законопроект о суверенном Рунете, которые обязывают передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования. Об этом РБК рассказали два источника в ИТ-индустрии.
«Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования», — говорится в проекте текста поправок, подписанном главой думского комитета Леонидом Левиным (копия документа есть у РБК). Левин от комментариев отказался, отметив, что поправки еще находятся в работе.
Документ отдельно обязывает организаторов распространения информации (ОРИ), то есть компании, управляющие сервисами по обмену сообщениями, обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством. В реестре ОРИ, который ведет Роскомнадзор, сейчас находится более 170 компаний, среди которых «Яндекс», Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo.
Отечественное шифрование, согласно поправкам, также будет использоваться в государственных информационных системах (ГИС), то есть в системе госзакупок, на портале госуслуг, в системе государственных и муниципальных платежей и др.
КОМУ ПРИДЕТСЯ ИСПОЛЬЗОВАТЬ ОТЕЧЕСТВЕННУЮ КРИПТОГРАФИЮ
На практике предложенные поправки означают, что все крупные российские интернет-компании должны будут внедрить российские средства шифрования в свои продукты — почтовые клиенты, браузеры, мессенджеры и др., считает гендиректор Института исследований интернета Карен Казарян.
«Например, в случае с браузерами это означает, что им придется добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации — это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво — взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», — говорит Казарян.
В апреле 2015 года Google и Mozilla Foundation удалили корневые сертификаты китайского государственного удостоверяющего центра CNNIC из браузеров Chrome и Firefox после того, как обнаружили, что организация выдала сертификаты некой компании, создавшей фальшивые страницы Google. Предполагалось, что подставные страницы могли быть использованы для слежки за китайскими посетителями ресурсов Google.
«Криптография сейчас используется во всех значимых интернет-сервисах — мессенджерах, соцсетях, онлайн-банкинге, ради которого, собственно, изобрели протокол SSL. В интернете сейчас больше 80% шифрованного трафика, и его доля продолжает расти», — говорит разработчик отечественных систем шифрования Дмитрий Белявский. Он отмечает, что предлагаемые поправками меры не дают шансов сделать использование отечественной криптографии добровольным и удобным. «В идеале нужно было бы добиваться поддержки российской криптографии на международном уровне в массово распространяемом программном обеспечении, например браузерах. Я имею в виду не принудительно заставлять внедрять отечественное шифрование в «Яндекс.Браузер», а добиться поддержки отечественных средств шифрования в Google Chrome, Mozilla Firefox и т.д. Также необходим международно признанный удостоверяющий центр с российской криптографией, а об этом пока речи не идет», — говорит Белявский.
КАКИЕ РИСКИ ВОЗНИКАЮТ ПРИ ИСПОЛЬЗОВАНИИ РОССИЙСКОГО ШИФРОВАНИЯ
Ряд опрошенных РБК экспертов выразили беспокойство тем, что массовое использование отечественных средств шифрования может помочь российским силовым структурам расшифровывать российский интернет-трафик, который операторы связи и ОРИ с прошлого года должны хранить в рамках так называемого закона Яровой.
«Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надежны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объемы которого в рамках «закона Яровой» должны хранить операторы связи», — говорит независимый эксперт Алексей Семеняка.
У экспертов по криптографии ранее уже возникали вопросы к двум российским криптографическим стандартам — «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС». Так, в 2015 году исследователь Лео Перрин из Университета Люксембурга и его коллеги представили доклад, в котором рассказывалось о некоторых скрытых особенностях упомянутых алгоритмов, которые могут свидетельствовать о специально заложенных уязвимостях. В феврале 2019 года Перрин представил еще одно исследование, в котором вновь обосновал этот тезис.
ЧТО БУДУТ ДЕЛАТЬ ИНОСТРАННЫЕ КОМПАНИИ
«В реестре ОРИ есть немало иностранных компаний, поэтому требование использовать отечественную криптографию коснется и их. Но есть подозрение, что ни один иностранный игрок на это не пойдет, а даже если и решится, из-за экспортных ограничений внедрить российскую криптографию он не сможет», — говорит Карен Казарян.
Независимый эксперт в сфере информационной безопасности Алексей Лукацкий подтверждает, что по действующему российскому законодательству разработать средства криптографической защиты и встроить их в готовые решения, например мессенджеры, могут только резиденты России, имеющие соответствующую лицензию ФСБ. «Ряд иностранных вендоров пытался встроить в свои продукты отечественную криптографию, в ходе чего выяснилось, что единственный легитимный вариант — это создание совместного продукта с российской компанией — разработчиком средств криптографической защиты информации (СКЗИ)», — говорит Лукацкий.
При этом рынок СКЗИ в России практически поделен между двумя компаниями, которые в конечном счете могут оказаться бенефициарами этого законопроекта, утверждают два собеседника РБК на рынке информационной безопасности. «На 90% рынок СКЗИ делят «ИнфоТеКС» и «Код безопасности» (входит в холдинг «Информзащита». — РБК), причем у первой компании доля больше.
«ИнфоТеКС» неявно прописан во многих постановлениях правительства — их используют госорганы в системе межведомственного электронного взаимодействия, а также для присоединения к системам ФинЦЕРТа Банка России и ГосСОПКА, которую создает ФСБ», — говорит собеседник РБК. В сентябре 2018 года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве». $