Внедрение отечественных сертификатов шифрования трафика, доступных для чтения ФСБ, начнётся с госуслуг

Пилотные испытания российского SSL будут проведены на портале госуслуг и сайтах проектов национального поисковика «Спутник».

Советник Президента РФ по вопросам интернета Герман Клименко анонсировал импортозамещение в области систем шифрования трафика (SSL). По его словам, пилотные испытания проведут на портале госуслуг и сайтах проектов национальной поисковой системы «Спутник». Затем планируется подключить «сайты, где есть персональные данные, финансовые транзакции и юридическая информация». Внедрением отечественного SSL занимаются Минкомсвязь, Ростелеком (совладелец системы «Спутник») и ведущие российские разработчики криптографического оборудования, в том числе компания «Крипто-Про», которую называют тесно связанной с ФСБ. Руководство компании утверждает, что около трети сотрудников фирмы раньше работали в «компетентных органах». 

Давним поборником внедрения российских SSL-сертификатов является директор Центра компетенций по импортозамещению в сфере информационно-коммуникационных технологий Илья Массух. Он объясняет, в чём опасность использования иностранных сертификатов:

«Основная опасность в том, что сертификат можно отозвать, причем сделать это может та организация, которая его выдаёт. Как только он будет отозван, соединение перестает быть шифрованным и защищённым. Российский трафик можно будет расшифровать».

.

Однако есть подозрения, что дело совсем не в этом — именно после внедрения российских сертификатов у государственных органов появится возможность расшифровать трафик, в соответствии с законом Яровой. С иностранными SSL-сертификатами госорганы не могут получить ключи шифрования, что их, разумеется, не устраивает.

Тех, кто занимается прослушкой, не может не удручать тот факт, что в российских доменных зонах количество сайтов, использующих SSL-сертификаты, быстро растёт. В июле 2015 года в зоне .ru таких ресурсов было 109 тыс., в июле 2016 года — 189 тыс., а в июле 2017 года — 531 тыс.

Илья Массух отметил, что в России есть собственная школа шифрования, но, несмотря на это, она стала «сертификатозависимой» страной. Проблему необходимо срочно решать.

Российский стандарт шифрования уже активно используется в электронно-цифровых подписях. Их выдачей занимаются удостоверяющие центры, получившие соответствующую лицензию в ФСБ. Теперь российские ключи шифрования будут внедрять и для протокола HTTPS. «Наш протокол шифрования надёжнее и быстрее, чем иностранный», — подчёркивает руководитель проекта «Нетоскоп» Павел Храмцов.

По словам Храмцова, сегодня отечественные сертификаты поддерживает браузер «Спутник» и все браузеры, собранные на открытом коде. Есть специальный модуль для Mozilla Firefox. Храмцов также уверяет, что работа российского сертификата не создаст трудностей для пользователей — просто браузер должен будет поддерживать отечественное шифрование. Вероятно, по такой схеме в будущем должны работать все браузеры, использование которых разрешат в России. По словам Ильи Массуха, «для этих целей планируется внести изменения в 8 ФЗ („Об обеспечении доступа к информации о деятельности госорганов…”). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определённую версию „Спутника” или „Яндекс.Браузера”».

О планах по созданию российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов стало известно в прошлом году. Тогда сообщалось, что администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнёрами. Тогда же эксперты высказывали предположение: первые российские SSL-сертификаты будут устанавливать на сайте госуслуг и других государственных порталах, а для массового использования SSL-сертификатов российского УЦ, основных производителей операционных систем и браузеров — Microsoft, Google, «Яндекс» и других — могут обязать предустановить в свои продукты специальный корневой сертификат.

Поисковик «Спутник» создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании «Крипто-Про» весной 2016 года. Тогда же сообщалось, что над аналогичным проектом работает и «Яндекс», хотя в компании это опровергали. Однако в мае 2016 года Илья Массух говорил, что «Спутник» и «Яндекс» разработали бета-версии своих браузеров с использованием российских алгоритмов шифрования. Эту информацию тогда подтвердил и коммерческий директор «Крипто-Про» Юрий Маслов. Он сказал, что компания предоставила на некоммерческой основе «Спутнику» и «Яндексу» свою утилиту «КриптоПРО CSP», которая используется для шифрования и имитозащиты данных, обеспечения целостности и подлинности информации: «У „Спутника”, насколько я знаю, такая версия браузера готова и уже демонстрировалась, „Яндекс” еще в процессе».

По оценке гендиректора Технического центра интернет (ТЦИ) Алексея Платонова, стоимость развёртывания УЦ с имплементацией поддержки корневого сертификата в основные браузеры и ОС составит всего лишь 200-300 млн руб. и на это потребуется четыре-пять лет. По мнению источника, близкого к администрации президента, предустановка российского сертификата будет решаться на переговорах с компаниями-разработчиками ОС и браузеров и, если они не пойдут навстречу, «мерами законодательного регулирования».

В Минкомсвязи подтвердили, что само ведомство, Ростелеком и ведущие российские разработчики криптографического оборудования совместными усилиями внедряют отечественный SSL-сертификат.

«Разработанная модель на примере «Спутника» должна поддерживать все существующие мировые SSL-сертификаты, включая отечественный, — сообщили в пресс-службе министерства. — Решение находится на стадии тестирования. Его готовы предоставить всем заинтересованным разработчикам браузеров. Отечественный сертификат бесплатен для пользователей».

В Минкомсвязи отметили, что использование отечественного SSL-сертификата позволит повысить защищенность передаваемых персональных данных для портала госуслуг.

IT-предприниматель и создатель Telegram-канала «ЗаТелеком» Михаил Климарёв резонно предположил, что российский сертификат будет иметь бэкдор, иначе «чтение» трафика спецслужбами будет невозможно, и в связи с этим запустил голосование с главным вопросом «Через какой срок КЦ и все «российские сертификаты» будут взломаны?». Если вам небезразлична судьба импортозамещения в отечественном ПО, примите участие в голосовании и вы.

Читайте также:

Всё больше сайтов в зонах .RU и .РФ переходят на безопасные соединения через HTTPS
?
Итог отечественного импортозамещения: 5-1 в пользу западного ПО
?
Chrome и Firefox будут предупреждать пользователей при передаче чувствительных данных через незащищённый протокол
?
Google обвинил Symantec в ненадлежащем шифровании интернета
?
Сервисы Google всё активнее используют шифрование трафика. Лидер — YouTube, который шифрует уже 97% подключений