Министерство цифрового развития, связи и массовых коммуникаций хочет запретить веб-сайтам использовать современные технологии для шифрования соединения между сайтом и пользователем, чтобы Роскомнадзору было проще блокировать ресурсы с запрещенным контентом в Рунете. Эксперты отмечают, что эти технологии сейчас используют многие крупные компании, включая «Яндекс», и новая инициатива может привести к массовой блокировке IP-адресов крупных провайдеров, таких как Amazon Web Services или Cloudflare, у которых хостится много сайтов.
Министерство цифрового развития опубликовало для общественного обсуждения проект закона, которым «запрещается использовать на территории Российской Федерации протоколы шифрования, позволяющие скрыть имя (идентификатор) интернет-страницы или сайта в сети интернет». Сайт, который будет нарушать этот запрет, смогут заблокировать в течение одного рабочего дня после обнаружения нарушения, говорится в проекте документа.
В пояснительной записке к нему отмечено, что речь идет о протоколах с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DNS over HTTPS и DNS over TLS, которые «получают все большее распространение».
«Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации [трафика в интернете], что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в Российской Федерации ограничено или запрещено», — говорится в документе.
«Когда-то давно все адреса сайтов и страниц в интернете передавались открытым текстом, не зашифровано, поэтому когда в России только начинала работать система блокировки сайтов Роскомнадзора, предполагалось, что фильтрация будет работать как раз по URL, то есть адресам отдельных страниц на сайтах в интернете, — объясняет разработчик систем шифрования Дмитрий Белявский. — Однако через год после внедрения, во многом под влиянием разоблачений Эдварда Сноудена, весь мир стал стремительно переходить на использование https — протокола, который обеспечивает шифрование между сайтом и устройством пользователя. По этой причине блокировать по URL отдельные страницы сайтов, на которых используется https, невозможно».
В результате, по словам Белявского, пришло время блокировок по hostname — имени сервера, на котором расположен сайт, который нужно «выключить», так как hostname все еще передавался открытым текстом для установления соединения. «Однако публичная доступность hostname тоже в некотором смысле подставляет пользователей и во всех смыслах выдает сайт. А люди на Западе привыкли думать, что компании все-таки заботятся об их конфиденциальности. Поэтому сейчас разрабатываются и внедряются технологии DNS over TLS, DNS over HTTPS, Encrypted Client Hello, которые прячут от внешнего наблюдателя и hostname, тем самым еще больше усложняя возможность узнать, на какие сайты ходит пользователь, а также процедуру блокировки каких-либо сайтов в интернете».
Эти технологии сейчас активно внедряются в интернете, их начинают использовать многие сайты, хостящиеся у крупных зарубежных провайдеров. Так, Google поэтапно внедряет поддержку DNS over HTTPS в свой браузер Chrome, Mozilla тоже постепенно разворачивает поддержку этого протокола в браузере Firefox по умолчанию.
В России сервера DNS over TLS и DNS over HTTPS «подняты» у «Яндекса», говорит Белявский. «Согласно этому законопроекту, все те сайты, которые используют их, в России будут вне закона и должны будут быть заблокированы. А так как по одиночке их заблокировать невозможно, как раз по причине использования этих технологий, то блокировать будут целыми подсетями хостинг-провайдеров, то есть опять Роскомнадзор будет блокировать целые диапазоны ip-адресов Amazon Web Services, Digital Ocean, Cloudflare, как это было, когда ведомство пыталось заблокировать Telegram в России несколько лет назад. В итоге страдать снова будут пользователи», — подводит он итог.
В апреле-мае 2018 года, когда Роскомнадзор только приступил к попыткам заблокировать Telegram, он отдал распоряжения о блокировке нескольких миллионов ip-адресов Amazon Web Services, Google, Digital Ocean, из-за чего возникли проблемы с доступом ко многим другим сервисам, которые хостились у этих провайдеров.
Авторы законопроекта из министерства цифрового развития в пояснительной записке отмечают, что в Едином реестре российского софта, который ведет министерство, «содержатся сведения о протоколах с применением криптографических алгоритмов и методов шифрования, возможных к использованию в соответствии с законодательством Российской Федерации», то есть в России, по их словам, есть альтернативные технологии для шифрования, которые при этом не будут мешать блокировкам в интернете.
Кроме того, подведомственный министерству НИИ «Восход» создает в России удостоверяющий центр, который намерен выдавать SSL-сертификаты для шифрования соединения на сайтах, использующие российские криптоалгоритмы «Магма» и «Кузнечик», ранее рассказывала «Медуза».
Бывший совладелец хостинг-провайдера Diphost Филипп Кулин отмечает, что у российских властей давно есть желание заменить в Рунете иностранную криптографию отечественной, однако этому есть препятствие — большинство операционных систем и браузеров не работают с российскими криптографическими алгоритмами.