В Госдуме предложили шифровать трафик в Рунете отечественными средствами криптографии

2 апреля 2019 года

Комитет Госдумы по информационной политике подготовил поправки ко второму чтению (дата не назначена) законопроекта о суверенном Рунете, которые обязывают передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования.

«Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования», – говорится в проекте текста поправок, копия которого попала в распоряжение РБК.

В документе также говорится, что интернет-компании, включенные в реестр организаторов распространения информации (ОРИ), должны обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством. Наконец, поправки предлагают использовать отечественные средства шифрования в государственных информационных системах (ГИС), включая систему госзакупок и портал госуслуг.

По словам гендиректора Института исследований интернета Карена Казаряна, эти поправки означают, что все крупные российские интернет-компании должны будут внедрить российские средства шифрования в свои продукты: почтовые клиенты, браузеры, мессенджеры и т.д.

«Например, в случае с браузерами это означает, что им придется добавить российскую структуру в доверенные корневые центры сертификации в настройках. При этом все мировые центры сертификации – это, как правило, частные компании: GlobalSign, DigiCert и др. Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво – взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», – отметил Казарян.

Упомянутая история с китайскими центрами сертификации произошла в апреле 2015 года, когда Google и Mozilla Foundation удалили корневые сертификаты китайского государственного удостоверяющего центра CNNIC из браузеров Chrome и Firefox после того, как обнаружили, что организация выдала сертификаты некой компании, создавшей фальшивые страницы Google. Предполагалось, что подставные страницы могли быть использованы для слежки за китайскими посетителями ресурсов Google.

По словам разработчика отечественных систем шифрования Дмитрия Белявского, криптография в настоящее время используется во всех значимых интернет-сервисах, а доля шифрованного трафика в Сети превышает 80% и продолжает расти. При этом предлагаемые поправками меры не дают шансов сделать использование отечественной криптографии добровольным и удобным, считает Белявский.

Другие эксперты отмечают, что принудительное внедрение отечественных средств шифрования может помочь силовым ведомствам расшифровывать российский интернет-трафик, который операторы обязаны хранить по «закону Яровой».

«Полагаю, российские органы власти будут декларировать необходимость использования отечественных средств шифрования исключительно защитными функциями, объясняя это тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей. Однако мы не знаем, насколько надежны отечественные средства шифрования. Если предположить, что в них тоже есть какие-либо закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь тот трафик, большие объемы которого в рамках «закона Яровой» должны хранить операторы связи», – заявил независимый эксперт Алексей Семеняка.

РБК напоминает, что у экспертов по криптографии ранее уже возникали вопросы к российским криптографическим стандартам «Кузнечик» и «Стрибог», разработанным Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС». В 2015 году группа исследователей представила доклад, в котором говорилось о скрытых особенностях этих стандартов, которые могут свидетельствовать о специально заложенных уязвимостях. В феврале этого года эксперты представили еще одно исследование на эту тему.

«Ряд иностранных вендоров пытался встроить в свои продукты отечественную криптографию, в ходе чего выяснилось, что единственный легитимный вариант – это создание совместного продукта с российской компанией – разработчиком средств криптографической защиты информации (СКЗИ)», – рассказал эксперт по кибербезопасности Алексей Лукацкий.

По словам собеседников РБК, рынок СКЗИ в России фактически поделен между компаниями «ИнфоТеКС» и «Код безопасности» (входит в холдинг «Информзащита»). Они вместе занимают 90% рынка и могут оказаться бенефициарами этого законопроекта. При этом в сентябре прошлого года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».