Запрет новых протоколов шифрования трафика, предложенный Министерством цифрового развития, означает конец рунета в его современном виде и огромный ущерб бизнесу. В полном виде проект вряд ли реализуем, но тот же Китай добился в блокировке этих протоколов вполне заметных успехов.
Что произошло
Министерство связи и массовых коммуникаций предложило запретить в России новые протоколы шифрования, позволяющие скрывать имя или идентификатор сайта в интернете. Если уполномоченный орган обнаружит такое нарушение, ресурс должен быть остановлен в течение одного рабочего дня.
Министерство пишет, что протоколы снижают эффективность систем фильтрации, затрудняя «выявление ресурсов в сети Интернет, содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено».
Что нужно знать о шифровании трафика
Перечисленные министерством новые запрещаемые протоколы TLS 1.3, ESNI, DNS over HTTPS и DNS over TLS шифруют запросы к доменной системе имен (DNS). Цель шифрования — защита от хакерских атак типа посредника (man-in-the-middle), позволяющих злоумышленникам направить пользователя на подставной сайт и получить его пароли и платежные данные.
То, что эти протоколы скрывают информацию о том, какой сайт хочет посетить пользователь, и от систем глубокой инспекции трафика (DPI) — побочный эффект. Однако он фактически лишает смысла DPI, внедренные в России по закону о «суверенном рунете»: поскольку система не знает, что пользователь заходит на запрещенный сайт, заблокировать доступ к нему она не может. В DPI в России вложены десятки миллиардов рублей госсредств, писал The Bell.
Пока технологии DoH и DoT экспериментальны, но их внедряют разработчики браузеров Firefox (компания Mozilla) и Google Chrome, отмечает «Коммерсант». В феврале в Firefox включили DoH по умолчанию для американских пользователей, а Google недавно начала поддержку DoH для пользователей Chrome на Android.
В России DNS over HTTPS и DNS over TLS использует «Яндекс», рассказал «Медузе» разработчик систем шифрования Дмитрий Белявский.
Об этом говорят
Эксперты сразу увидели в ситуации аналогию с блокировкой Telegram, которую Роскомнадзор был вынужден отменить в этом году. Блокировать сайты, использующие новые протоколы шифрования, поодиночке невозможно, говорит Белявский. Это значит, что Роскомнадзор опять будет блокировать целые диапазоны IP-адресов, а страдать будут пользователи, уверен эксперт.
Инициатива нерабочая: эффективное исполнение предложения Минцифры означает блокировку всего шифрованного трафика, которого в рунете уже 95% (включая простой HTTPS), и остановку всей сети, сказал «Коммерсанту» директор АНО «Информационная культура» Иван Бегтин. «Без ущерба цифровому бизнесу внедрить такое невозможно, а сама реализация, хоть и не предусматривает финансирование по документам, без дополнительных бюджетных средств происходить не может», — уверен эксперт.
Использование новых протоколов, скорее всего, станет дополнительным поводом заблокировать нужный сайт, пишет «Коммерсант».
При желании и наличии немалых ресурсов избирательно заблокировать новые протоколы все-таки можно — в августе выяснилось, что пакеты HTTPS с шифрованием TLS 1.3 и ESNI уже не пропускают за «Великий китайский файрволл». Специалисты тут же нашли шесть способов обойти и эту блокировку, но предупредили, что лазейки несложно прикрыть.