Мессенджеры Рунета обяжут использовать российское шифрование

Вадим Владимирович Петров
Количество просмотров113

Мессенджеры Рунета обяжут использовать российское шифрование

Россия планирует заставить все браузеры и мессенджеры использовать методы и средства отечественной криптографии. Именно такой посыл содержится в новых поправках, представленных Госдумой к закону о «суверенном Рунете».

Согласно проекту организаторы распространения данных в виде сообщений (а проще говоря — мессенджеры и чаты в браузерах) обязаны использовать коды шифрования и средства кодирования и декодирования, круг которых определяется Правительством РФ. Оно же очертит круг организаций, уполномоченных предоставлять такие коды и средства шифрования. Разрабатывать методы и средства будут компании с лицензией ФСБ на криптографию.

Сейчас к организаторам обмена сообщениями относится более 170 крупных компаний, среди которых Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo и др. Все они зарегистрированы в специальном реестре ОРИ, который ведет Роскомнадзор.

Кроме того, такая схема шифрования должна применяться и в работе государственных информационных систем, применяющих аутентификацию и идентификацию (портал «Госуслуги», электронные тендерные площадки, системы интернет-платежей и другие ИС).

Как шифруются сейчас

В браузерах используются SSL-сертификаты, которые позволяют проверить подлинность сайта и его принадлежность тому лицу или компании, которые указаны владельцем. Такие сертификаты выдаются международными доверенными центрами.У России таких центров нет, поэтому если сайт желает зашифровать передаваемые данные (например, для онлайн-банкинга, интернет-магазина и др.), ему необходимо приобрести SSL-сертификат (от 3 до 30 тыс. рублей в год). По той же схеме с сертификатами, выданными иностранными доверенными центрами, работают и государственные информационные системы, где требуется шифрование данных.

Мессенджеры в отличие от сайтов используют технологию шифрования end-to-end: ключи шифрования создаются и хранятся на конечных устройствах (телефонах, планшетах, ПК), а администраторы не имеют к ним доступа, поэтому не могут предоставить данные для дешифровки спецслужбам и органам безопасности (вспомним историю с ФСБ и Telegram).

Перспективы законопроекта

Поправки, касающиеся шифрования данных, обязывают отечественные компании использовать принципы кодирования информации и средства для шифрования/расшифровки, разработанные российскими производителями. Официальная цель, озвученная авторами проекта — наличие уязвимостей и возможных «закладок» (умышленных лазеек для несанкционированного доступа). Отечественное шифрование, по мнению безопасников, позволит получать доступ и расшифровывать информацию только доверенным лицам (то есть, самим безопасникам в целях обеспечения безопасности и противодействия экстремизму и терроризму).

Однако на практике нет гарантий, что внедренные отечественные методы и средства криптографии не содержать тех же самых уязвимостей и возможностей считывать информацию без соответствующих разрешений. Тем более, что у международных экспертов по криптографии уже были сомнения насчет российских криптоалгоритмов, однако владельцы разработок указали, что все эти сомнения — ни что иное, как попытка скомпрометировать российские разработки и не допустить их международного признания в ISO.

По мнению авторов законопроекта и заинтересованных лиц, крупные игроки Рунета, являющиеся иностранными (и к тому же частными) компаниями, должны быть заинтересованы в том, чтобы добавить корневые сертификаты российского производства в свои продукты. При этом они забывают, что предыдущие случаи с попытками давления на зарубежные компании с целью подчинить их российскому законодательству и выполнить требования (например, о хранении данных россиян на серверах на территории РФ), с треском провалились.

Вероятнее всего, добровольно сподвигнуть зарубежные компании на использование российских сертификатов тоже вряд ли получится. Чтобы это сработало, российская криптография должна признаваться на международном уровне и использоваться в ПО массового распространения. Также необходим удостоверяющий центр, пользующийся положительной репутацией на международном уровне. Однако на сегодняшний день никаких предпосылок к этому нет, а законопроект — есть. Эксперты уже отмечают, что сейчас перспективы исполнения документа очень туманные. Автор же полагает, что проект еще «сырой» и обсуждать пока нечего.

Помимо международного признания и собственно наличия шифрования необходимо создать и юридические предпосылки, с которыми внедрение изменений станет удобным и легитимным. Так, сейчас, чтобы внедрить российские разработки в свои продукты, зарубежные производители продуктов должны стать соразработчиками вместе с российской компанией и оформить лицензию ФСБ на создание средств криптографической защиты данных. Пока стимулов для подобных решений у них нет.

Напомним, что сейчас в рамках проекта «Цифровая экономика» идет работа по созданию суверенного Рунета — при необходимости полностью автономного, подконтрольного Роскомнадзору, защищённого и в идеале использующего отечественное оборудование и ПО. На реализацию проекта выделено 30 миллиардов рублей, 21 из которых пойдет на закупку оборудования. Вышеуказанный законопроект направлен на обеспечение безопасности и защищенности российского сегмента интернета.

Нужна косультация по готовым фирмам с лицензией ФСБ?

Оставить комментарий