В России из-за технической цензуры обвалится 95% интернет-трафика, если идею «русского файервола» попытаются реализовать. В любом случае при контроле и мониторинге узлов связи сети и попытках блокировать сетевые протоколы Рунет функционировать нормально не сможет.
По поручению Совета Безопасности Министерство цифрового развития РФ подготовило законопроект, запрещающий использование протоколов шифрования, скрывающих имя сайта.
Согласно документу, который был опубликован для общественного обсуждения на портале правовой информации, речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу.
Если уполномоченный орган обнаружит такое нарушение, ресурс должен быть остановлен в течение одного рабочего дня.
Протоколы шифрования снижают эффективность систем фильтрации, затрудняя «выявление ресурсов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено», пишет Минцифра в пояснительно записке.
Перечисленные министерством протоколы шифруют запросы к доменной системе имен (DNS). Цель такого шифрования — защитить пользователя хакерских атак, позволяющих направить его запрос на подставной сайт и получить, например, пароли или платежные данные. Одновременно эти протоколы скрывают информацию о том, какой сайт хочет посетить пользователь, от систем глубокой инспекции трафика (DPI), которые внедряются в России в рамках закона о «суверенном рунете».
«DoH и DoT — это шифрование для запросов соответствия доменных имен IP-адресам — фундамент интернета. Это все технологии против цифровых «следов», — говорит создатель «Эшер II» Филипп Кулин. ESNI и DoT можно запретить, DoH — сильно сложнее, считает он.
Реализовать законопроект по сути можно только через блокировку всего шифрованного трафика, которого в рунете как минимум 95%, говорит директор АНО «Информационная культура» Иван Бегтин.
«Необходимо либо договариваться с вендорами браузеров, чтобы они прекратили использовать эти технологии на территории РФ, либо пытаться блокировать трафик, в котором используются DoT, DoH и ESNI», — рассуждает аудитор информбезопасности Digital Security Илья Булатов. Второй вариант, однако, может привести к непреднамеренной блокировке случайных ресурсов, предупреждает он.
По сути российскому интернету предлагается «китайская модель». Сейчас в КНР , под блокировку уже попадает весь HTTPS-трафик, использующий TLS 1.3 и его расширение ESNI, говорит ведущий аналитик направления «Информационная безопасность» КРОК Анастасия Федорова. Проект Минцифры технически реализуемый, считает она: это возможно с помощью систем DPI в составе специальных технических средств, и китайский пример это показывает.
Впрочем, реализовать китайскую модель в России вряд ли возможно из-за разницы в технологическом развитии, считает гендиректор Group‑IB Илья Сачков: «Пока не будет российских аналогов китайского Huawei или американского Cisco, говорить о китайской модели контроля за интернетом не имеет смысла».
К тому же, продолжает Сачков, любая система блокировок в интернете — это временное решение, которое увеличивает затраты государства, соответственно ухудшает экономическую ситуацию и не приносит результатов. «В конечном итоге любая блокировка всегда обходится. Если и удастся реализовать задуманное, то это потребует привлечения больших финансовых и интеллектуальных ресурсов, но решение будет временным и система обхода будет найдена», — считает он (цитаты по РИА Новости).
Скорее всего, закон будет применяться избирательно, либо его ждет та же судьба, что постигла Роскомнадзор в его борьбе с Telegram, считает Кулин.
Leave a Reply