По поручению Совета Безопасности Министерство цифрового развития РФ подготовило законопроект, запрещающий использование протоколов шифрования, скрывающих имя сайта.
Согласно документу, который был опубликован для общественного обсуждения на портале правовой информации, речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу.
Если уполномоченный орган обнаружит такое нарушение, ресурс должен быть остановлен в течение одного рабочего дня.
Протоколы шифрования снижают эффективность систем фильтрации, затрудняя «выявление ресурсов в сети «Интернет», содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено», пишет Минцифра в пояснительно записке.
Перечисленные министерством протоколы шифруют запросы к доменной системе имен (DNS). Цель такого шифрования — защитить пользователя хакерских атак, позволяющих направить его запрос на подставной сайт и получить, например, пароли или платежные данные. Одновременно эти протоколы скрывают информацию о том, какой сайт хочет посетить пользователь, от систем глубокой инспекции трафика (DPI), которые внедряются в России в рамках закона о «суверенном рунете».
«DoH и DoT — это шифрование для запросов соответствия доменных имен IP-адресам — фундамент интернета. Это все технологии против цифровых «следов», — говорит создатель «Эшер II» Филипп Кулин. ESNI и DoT можно запретить, DoH — сильно сложнее, считает он.
Реализовать законопроект по сути можно только через блокировку всего шифрованного трафика, которого в рунете как минимум 95%, говорит директор АНО «Информационная культура» Иван Бегтин.
«Необходимо либо договариваться с вендорами браузеров, чтобы они прекратили использовать эти технологии на территории РФ, либо пытаться блокировать трафик, в котором используются DoT, DoH и ESNI», — рассуждает аудитор информбезопасности Digital Security Илья Булатов. Второй вариант, однако, может привести к непреднамеренной блокировке случайных ресурсов, предупреждает он.
По сути российскому интернету предлагается «китайская модель». Сейчас в КНР , под блокировку уже попадает весь HTTPS-трафик, использующий TLS 1.3 и его расширение ESNI, говорит ведущий аналитик направления «Информационная безопасность» КРОК Анастасия Федорова. Проект Минцифры технически реализуемый, считает она: это возможно с помощью систем DPI в составе специальных технических средств, и китайский пример это показывает.
Впрочем, реализовать китайскую модель в России вряд ли возможно из-за разницы в технологическом развитии, считает гендиректор Group‑IB Илья Сачков: «Пока не будет российских аналогов китайского Huawei или американского Cisco, говорить о китайской модели контроля за интернетом не имеет смысла».
К тому же, продолжает Сачков, любая система блокировок в интернете — это временное решение, которое увеличивает затраты государства, соответственно ухудшает экономическую ситуацию и не приносит результатов. «В конечном итоге любая блокировка всегда обходится. Если и удастся реализовать задуманное, то это потребует привлечения больших финансовых и интеллектуальных ресурсов, но решение будет временным и система обхода будет найдена», — считает он (цитаты по РИА Новости).
Скорее всего, закон будет применяться избирательно, либо его ждет та же судьба, что постигла Роскомнадзор в его борьбе с Telegram, считает Кулин.