Новости 2 апреля 2019

Зашифрованный рунет может стать прозрачным для ФСБ

В законопроект о суверенном рунете внесут поправки об обязательном шифровании на основе отечественных алгоритмов, пишет РБК. Однако особенности отечественной криптографии не только вызывают подозрения, что у ФСБ будут все ключи, но и не позволяют надеяться на ее быструю интеграцию в браузеры и приложения. Коме того, с суверенных сертификатов начинался и китайский файрвол.

Подробнее. Комитет Госдумы по информполитике под председательством Леонида Левина хочет, чтобы информация в российском сегменте интернета передавалась с использованием отечественных средств шифрования.

  • Отечественную криптографию придется применять всем компаниям из реестра организаторов распространения информации (ОРИ). В их числе «Яндекс», Telegram, Mail.Ru Group, Opera, WeChat и больше 100 других компаний.
  • Всем крупным российским интернет-компаниям придется внедрять российские средства шифрования в свои продукты, включая браузеры и мессенджеры.
  • Под проект придется создавать российские центры сертификации по аналогии с системой SSL, на которой основан протокол шифрования HTTPS. Сейчас таких центров нет, и даже сайт gosuslugi.ru пользуется сертификатом американской COMODO.
  • Добиться признания российской сертификации и поддержки российской криптографии от международных компаний будет сложно, если не невозможно.

«Попытки некоторых стран создать свои государственные центры сертификации, как показывает практика, заканчиваются не очень красиво — взять, к примеру, случай с Китаем. Именно поэтому бытует мнение, что национальные стандарты криптографии продвигаются странами исключительно в целях контроля за гражданами», — говорит гендиректор Института исследований интернета Карен Казарян.

Отечественные закладки

Наибольшие опасения рынка вызывает то, что у отечественного шифрования будут «закладки» российских спецслужб.

Существуют два отечественных криптостандарта, соответствующих ГОСТ, — «Кузнечик» и «Стрибог», разработанные Центром защиты информации и специальной связи ФСБ при участии компании «ИнфоТеКС». Но оба имеют особенности, которые могут свидетельствовать о специально заложенных уязвимостях ключевого компонента — блока подстановок.

Кроме того, участники опасаются чисто административных проблем. Дело в том, что единственный работающий вариант встраивания отечественной криптографии для иностранных вендоров — создание совместного продукта с российской компанией — разработчиком средств криптографической защиты информации (СКЗИ), пишет РБК. Таких тоже две: «ИнфоТеКС» и «Код безопасности». В сентябре 2018 года «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».

Сергей Смирнов