Перейти к материалам
истории

Рунет начали переводить на отечественную криптографию На все телефоны хотят установить браузеры с шифрованием по ГОСТу — и это вызывает вопросы

Источник: Meduza
Пресс-служба Государственной Думы РФ

До конца 2020 года государственный НИИ «Восход» планирует закончить создание национального удостоверяющего центра — структуры, которая будет выдавать сайтам в Рунете отечественные цифровые сертификаты. По всему миру такие сертификаты используются на сайтах для создания безопасного соединения с браузерами пользователей, которое защищает их личные данные — например, пароли или номера банковских карт, передаваемые при онлайн-платеже. Российские сертификаты будут отличаться тем, что для шифрования соединения начнут использовать отечественную криптографию. Их использование планируется сделать обязательным для сайтов органов власти, а затем — так называемых организаторов распространения информации, то есть «Яндекса», Mail.ru Group и других крупных отечественных интернет-компаний. «Медуза» разобралась, как и почему софт с поддержкой отечественной криптографии хотят заранее устанавливать на все продаваемые в России компьютеры и смартфоны.

Скрытая угроза

В феврале 2019 года на заседании в Российском союзе промышленников и предпринимателей обсуждали еще не подписанный на тот момент закон о суверенном Рунете. Директор по развитию сетевой инфраструктуры «Яндекса» Алексей Соколов был сильно раздосадован: «Поскольку это заседание лично для меня является заседанием последней надежды, я вынужден быть более откровенным и честным, чем я был на предыдущих». Далее Соколов подробно объяснил (аудиозапись его выступления есть у «Медузы»), что закон не отвечает обозначенным в нем целям и направлен на защиту той сетевой инфраструктуры, которую можно физически уничтожить, — но на работоспособность Рунета это не повлияет. «Даже если инопланетяне все это взорвут, то никакого отключения интернета не будет — авторы законопроекта этого явно не понимают. Но беда-то в чем? Что есть единственная реальная угроза, которая на данный момент позволяет не то что отключить российский интернет, а парализовать вообще сеть, основанную на IP, в одно мгновение ока, — говорил Соколов. — Они [авторы законопроекта] про это даже не упоминают — в нем нет вообще проблемы отзыва корневых сертификатов, которая может привести к мгновенному параличу не только, извините, „Яндекса“ или „Мейла“, но и всех банков».

Иллюстрацией того, о чем говорил топ-менеджер «Яндекса», стала проблема, возникшая у Общественной палаты РФ за полгода до заседания с участием Соколова. В начале июня 2018 года сайт Общественной палаты перестал открываться у пользователей — вместо него в браузерах отображалось сообщение: «Ваше подключение не защищено. Злоумышленники могут попытаться похитить ваши данные с сайта www.oprf.ru». Однако злоумышленники были ни при чем — это стандартное уведомление появляется в браузерах, когда SSL— или TLS-сертификат сайта, используемый для организации зашифрованного соединения с браузером пользователя, является недействительным.

В Общественной палате заявили, что американская компания GeoTrust — один из крупных удостоверяющих центров (УЦ), выдающих цифровые сертификаты, — отозвала у ее сайта SSL-сертификат. Это якобы произошло из-за «аффилированности» палаты с Донецкой Народной Республикой, которая находится под санкциями США (подробностей, какие именно связи палаты с ДНР послужили причиной такого решения, в заявлении не содержалось). Для решения проблемы Общественная палата обращалась к послу США в России Джону Хантсману и замминистра иностранных дел России Сергею Рябкову, рассказали «Медузе» в пресс-службе организации. Однако устранить проблему удалось лишь через три недели — после покупки SSL-сертификата у европейской компании GlobalSign.

Что это за сертификаты и для чего они нужны

Для безопасного соединения в интернете повсеместно используется протокол TLS (его предшественником был SSL), который обеспечивает конфиденциальность и целостность передаваемых данных. В частности, он используется на многих сайтах для создания зашифрованного соединения с пользователями, чтобы защитить их пароли, данные банковских карт, передаваемые при онлайн-платеже, и другую личную информацию. 

В зоне .ru зарегистрировано почти 5 миллионов доменов, из них только 6,16% используют TLS-сертификаты для шифрования соединения, однако это, как правило, наиболее популярные сервисы: интернет-магазины, онлайн-банкинг, соцсети, сервисы электронной почты, сайты органов власти и др. По всему миру статистика выше — почти 50% из миллиона самых популярных сайтов в интернете используют зашифрованное соединение.

Для организации зашифрованного соединения сайту нужно получить TLS-сертификат в одном из УЦ. В мире существует около 70 центров, которые прошли аудит по программе WebTrust, после чего их корневые сертификаты были добавлены в хранилище доверенных сертификатов во всех основных ОС и браузерах. Перед выдачей сертификата УЦ проверяет, действительно ли сайт принадлежит той компании, которая обратилась за ним. По этой причине TLS-сертификат на сайте используется не только для создания зашифрованного соединения, но и является гарантией принадлежности этого сайта той компании, которая на нем указана. Эта схема позволяет бороться с фишингом в интернете.

В России уже существуют УЦ, которые выдают собственные TLS-сертификаты, однако они не предустановлены в ОС и браузерах в качестве «доверенных», а потому пользователи, зашедшие на сайт с таким сертификатом, получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «корневые доверенные центры сертификации» на своем компьютере — такая опция тоже существует, но, как правило, немногие пользователи хотят самостоятельно разбираться с настройками сертификатов безопасности на компьютере. По этой причине большинство сайтов в Рунете, даже принадлежащих госструктурам, используют иностранные TLS-сертификаты. Например, на сайте Министерства цифрового развития используется сертификат от компании Thawte из Южной Африки.

Для создания зашифрованного соединения по протоколу TLS могут использоваться разные криптографические алгоритмы. Сейчас в мире в основном используются иностранные криптоалгоритмы RSA и AES — их работу по умолчанию поддерживают все наиболее распространенные операционные системы, браузеры и другое программное обеспечение. 

Российский технический комитет «Криптографическая защита информации», которым руководит представитель ФСБ, разработал собственные реализации протокола TLS на основе отечественных криптоалгоритмов «Магма» и «Кузнечик», которые были созданы Центром защиты информации и специальной связи ФСБ и утверждены в качестве стандарта в ГОСТ. Однако для установления безопасного соединения с помощью отечественной реализации TLS на компьютерах пользователей должно стоять специальное программное обеспечение с поддержкой ГОСТ-алгоритмов — криптопровайдер от одной из российских компаний, которая обладает лицензией ФСБ на разработку такого рода софта. Такими разработками, например, занимаются компании «ИнфоТеКС», «КриптоПро», «ЛИССИ-Софт».

К тому моменту чиновники уже пару лет, как минимум с начала 2016 года, неспешно обсуждали необходимость создания в России собственного национального УЦ, который бы выдавал сайтам в Рунете отечественные TLS-сертификаты, работающие на российских криптографических алгоритмах. Однако этот проект не развивался по одной глобальной причине. «Проблема не в том, чтобы создать национальный центр сертификации. Проблема в том, чтобы эти сертификаты акцептировались, соответственно, операционными системами или браузерами, которые пока не собираются этого делать», — говорил Алексей Соколов.

Он имел в виду, что властям нужно как-то договориться с производителями популярных операционных систем (Microsoft и Apple) или браузеров (Google Chrome, Mozilla Firefox и Opera) — чтобы они добавили российский УЦ в список доверенных центров сертификации в своем софте. В софт также пришлось бы добавлять и криптопровайдер от одной из российских компаний. Если не выполнить оба условия, то у пользователей, зашедших на сайт, использующий отечественный цифровой сертификат, по-прежнему будет появляться уведомление о небезопасном соединении.

«История с Общественной палатой стала триггером, после нее от разговоров быстренько перешли к делу», — говорит бывший сотрудник Минкомсвязи. Так, к концу 2018 года необходимость создания национального УЦ закрепили в программе «Цифровая экономика» и выделили на это 971,5 миллиона рублей. Исполнителем назначили подведомственный Минкомсвязи НИИ «Восход» — в ноябре 2019 года он получил все эти деньги в качестве субсидии и уже через месяц объявил конкурс на создание информационной системы, которая обеспечит работу центра. По плану национальный УЦ должен быть создан до конца 2021 года, но источник «Медузы», близкий к НИИ «Восход», говорит, что его разработку намерены закончить раньше срока — уже к концу этого года. При этом ответ на вопрос, как иностранных производителей софта заставят добавить поддержку отечественных цифровых сертификатов в свои программы, публично так и не прозвучал.

«Яндекс» нам поможет

В декабре 2019 года Владимир Путин подписал закон, обязывающий производителей электроники предустанавливать российское программное обеспечение на компьютеры, смартфоны и телевизоры с функцией Smart TV, предназначенные для продажи в России. Он вступит в силу с 1 июля 2020 года. Позже Федеральная антимонопольная служба (ФАС), которой поручили разработать список обязательных приложений, сообщила, что на смартфоны надо будет устанавливать антивирус, навигатор, поисковик, программу доступа к госуслугам и платежные системы. Примерно такие же программы должны быть на планшетах и компьютерах.

Теперь этот закон решили использовать для решения проблемы с сертификатами. «Идея проста — не упрашивать, например, Microsoft, чтобы он добавил в свой софт поддержку отечественной криптографии и сделал национальный УЦ „доверенным“, а самим ставить на ввозимые гаджеты отечественный софт со всем необходимым в рамках закона о предустановке софта. Тем более один из критериев выбора ПО для предустановки как раз обеспечение безопасности данных. Вон у того же „Яндекса“ есть специальная версия его браузера с поддержкой ГОСТ-шифрования, в использовании ничем не хуже Chrome, — пусть он и будет заранее установлен у пользователей», — объясняет «Медузе» руководитель департамента в одном из профильных федеральных министерств.

Сама идея предустановки российского ПО на ввозимую в Россию технику впервые появилась в дорожной карте по развитию конкуренции, которую в 2018 году представила ФАС и затем утвердило правительство. Заместитель руководителя ФАС Анатолий Голомолзин сообщил «Медузе», что предустановка софта с использованием криптографических средств защиты информации действительно предусмотрена этой дорожной картой. Но более подробных комментариев по теме не предоставил.

Член рабочей группы по информационной безопасности нацпрограммы «Цифровая экономика» и бывший замминистра связи Илья Массух подтвердил, что идея предустановки софта для работы с отечественными цифровыми сертификатами обсуждается. «В разработанной ФАС концепции подзаконных актов к закону о предустановке российского софта есть перечень видов ПО, которое предлагается устанавливать на ввозимые в Россию устройства, — говорит Массух. — В этом перечне, в частности, указан специальный „браузер, обеспечивающий доступ к инфраструктуре электронного правительства“. На одном из заседаний поднимался вопрос о том, что это должен быть браузер, поддерживающий работу сайтов с отечественными сертификатами безопасности, которые будет выдавать национальный удостоверяющий центр, создаваемый НИИ „Восход“». Эту информацию подтвердил еще один собеседник «Медузы» в рабочей группе по информационной безопасности нацпрограммы «Цифровая экономика».

Источник, близкий к НИИ «Восход», подтверждает, что предустановка софта, который поддерживает TLS с отечественной криптографией, возможна. «Но тут надо действовать очень осторожно — у нас граждане мнительные, везде видят „большого брата“, слежку. В принципе, это сделать можно, и такая возможность обсуждается, но стоит иметь в виду общественную реакцию», — говорит собеседник «Медузы».

По его словам, использование TLS-сертификатов с отечественной криптографией действительно будет обязательным для органов власти — соответствующая нормативная база сейчас разрабатывается Минкомсвязью, а Владимир Путин давал такое поручение еще в 2016 году. При этом в конце января министерство уже анонсировало пилотный проект по организации взаимодействия между государственными информационными системами и гражданами «с использованием российских криптографических алгоритмов и средств шифрования».

Другая категория сайтов, для которых использование отечественных TLS-сертификатов будет обязательным, — это организаторы распространения информации (ОРИ), то есть сервисы, через которые можно обмениваться электронными сообщениями, говорит собеседник, близкий к НИИ «Восход». Информация об обязательном использовании отечественных TLS-сертификатов органами власти и ОРИ также есть в концепции мероприятий по созданию НУЦ, разработанной НИИ «Восход» (есть у «Медузы»).

В реестре ОРИ, который ведет Роскомнадзор, сейчас около 200 сервисов, среди которых «Яндекс.Почта», «Яндекс.Диск» и «Яндекс.Район», «Одноклассники», «Почта Mail.ru», «Рамблер/почта» и даже формально заблокированный в России Telegram. «Встреча с ОРИ, на которой обсуждался данный вопрос, в 2019 году проходила на площадке Mail.ru», — говорит он. В пресс-службах Mail.ru Group и «Яндекса» от комментариев отказались.

При этом запрещать использование зарубежной криптографии на этих сайтах не планируется, говорит собеседник, близкий к НИИ «Восход»: «Доступ будет предоставляться с использованием как зарубежной, так и отечественной криптографии, потому что на эти сайты заходят и иностранцы. Наши граждане тоже будут иметь выбор, каким соединением пользоваться». Другой собеседник «Медузы» добавляет, что в Рунете уже есть несколько сайтов, на которых настроено соединение одновременно с использованием и отечественной, и зарубежной криптографии: «Помимо государственных сайтов, например nalog.ru, эта схема работает на созданном „Ростехом“ агрегаторе закупок „Березка“ по адресу agregatoreat.ru».

Федеральный чиновник отмечает, что концепция обязательной предустановки отечественного софта с поддержкой российских криптоалгоритмов и цифровых сертификатов является более надежной, чем попытки уговорить западных вендоров сотрудничать. «Ну договоримся мы с Google об установке национального УЦ в доверенные центры сертификации в Chrome, а потом какие-нибудь новые санкции подпишут — и они одним днем выкинут из Chrome наш корневой сертификат. После этого весь Рунет, использующий отечественные TLS-сертификаты, просто встанет. А браузеры „Яндекс“ или „Спутник“, заранее установленные на компьютеры пользователей, будут работать при любом политическом раскладе», — объясняет он. Министр цифрового развития и связи Максут Шадаев от комментариев отказался, так же поступили в пресс-службе НИИ «Восход».

Митинг против блокировки мессенджера Telegram. Москва, 30 апреля, 2018 года
Татьяна Макеева / Reuters / Scanpix / LETA

Мировой опыт и дешифровка трафика

В документе НИИ «Восход», описывающем систему безопасности национального УЦ (есть у «Медузы»), указано, что правами доступа к ресурсам центра будут обладать «полномочные сотрудники правоохранительных и контролирующих органов государственной власти Российской Федерации». Однако собеседник «Медузы» в рабочей группе по информационной безопасности нацпрограммы «Цифровая экономика» отмечает, что инфраструктура открытых ключей, которая лежит в основе работы всех УЦ, не предполагает хранения или резервного копирования на оборудовании УЦ приватных ключей сайтов — они известны только владельцу сайта, получившего TLS-сертификат. «Поэтому не стоит рассматривать инициативу с позиции „теперь и тут за нами будут следить“, потому что государство не будет обладать всеми ключами», — отмечает он.

Однако государственные УЦ разных стран неоднократно ловили на другого рода злоупотреблениях, в частности, выдаче недействительных сертификатов и организации MITM-атак. Они позволяют расшифровывать перехваченный трафик пользователей практически к любому сайту в интернете, а не только к тем, TLS-сертификат которым выдал УЦ, организовавший атаку. Ключевое условие — в браузере на устройстве пользователя УЦ, организующий атаку, должен быть установлен в качестве «доверенного».

Так, в 2013 году Google обнаружил в интернете несколько собственных неавторизованных SSL-сертификатов на сторонних доменах. То есть ряд сайтов, не имеющих отношения к американской корпорации, использовали цифровые сертификаты, в которых утверждалось, что они принадлежат Google, — это вводило пользователей в заблуждение. Выяснилось, что сертификаты были выданы структурой, подконтрольной государственному УЦ, созданному внутри Агентства по кибербезопасности Франции (ANSSI). В заявлении Google сообщалось, что фальшивые SSL-сертификаты использовались для «анализа зашифрованного трафика пользователей». В результате Google добавил в свой браузер Chrome ограничения для удостоверяющего центра ANSSI, согласно которым браузер распознает только те сертификаты, которые ANSSI выдал для сайтов в официальном домене Франции .fr и ее отдельных регионов, таких как домен Гваделупы .gp.

На похожих злоупотреблениях через пару лет поймали китайский государственный удостоверяющий центр CNNIC — авторизованная им структура MCS Holdings в 2015 году также выдала нескольким сайтам, не имеющим отношения к Google, цифровые сертификаты, в которых утверждалось обратное. В ходе расследования выяснилось, что с помощью фальшивых сертификатов MCS Holdings организовала слежку за собственными сотрудниками: компания перехватывала и расшифровывала их трафик с помощью MITM-атаки. В результате Google и Mozilla удалили из списка доверенных центров сертификации CNNIC. Спустя год на злоупотреблениях поймали еще один китайский УЦ — WoSign, который обвинили в «постоянном обмане пользователей». Его также удалили из списка доверенных центров сертификации в своих браузерах и ОС компании Apple, Microsoft, Google и Mozilla.

Собственный государственный УЦ несколько лет назад появился в Казахстане. Власти страны безрезультатно пытались договориться о его включении в список доверенных центров сертификации в популярных иностранных браузерах. Не добившись успеха, они стали действовать иным путем: местные операторы связи начали рассылать пользователям сообщения о необходимости срочной установки отечественного сертификата безопасности на свои устройства, мотивируя это требованиями местного законодательства. Комитет национальной безопасности Казахстана заявлял, что это необходимо «для защиты граждан, государственных органов и частных компаний от хакеров, интернет-мошенников и иных видов киберугроз». Однако пользователи поймали местный УЦ на организации MITM-атак. Проект Censored Planet, который ведет исследовательская лаборатория Университета Мичигана, в середине 2019 года выпустил отчет, в котором подтвердил, что правительство Казахстана использует свой УЦ для выполнения MITM-атак с целью перехвата трафика пользователей к таким сайтам, как Facebook, Twitter и Google.

В России легальный доступ к трафику правоохранительным органам обеспечил так называемый «закон Яровой», в рамках которого ОРИ по требованию ФСБ должны передавать им ключи для дешифровки трафика. При этом в реестре ОРИ нет Facebook, Google и других крупных иностранных сервисов, то есть они не обязаны сотрудничать с ФСБ. Крупные российские сервисы, которые подпадают под эту норму, тоже не спешат передавать ключи: Telegram отказался выполнять требование ФСБ и за это попал в реестр запрещенных сайтов Роскомнадзора. «Яндекс», по данным РБК, в прошлом году тоже всячески сопротивлялся сотрудничеству с силовиками.

Антон Сушкевич, совладелец компании «РДП.РУ», которая сейчас поставляет свое оборудование для реализации «закона о суверенном Рунете», в 2016 году утверждал, что организация MITM на государственному уровне — один из возможных путей для дешифровки трафика по «закону Яровой». «Два основных метода шифрования в интернете — end-to-end, который очень популярен в мессенджерах, и SSL-сертификаты — с их помощью шифруется около 80% интернет-трафика. Для того чтобы выполнять задачу, поставленную „законом Яровой“, то есть бороться с терроризмом, нужно расшифровывать и анализировать трафик в прямом эфире, а не какое-то время спустя. Организация MITM — один из возможных путей», — говорил Сушкевич.

Но это чревато последствиями. «Я люблю пример с национальным УЦ Бразилии, он хорошо иллюстрирует проблему, — говорит генеральный директор Института исследований интернета Карен Казарян. — В Бразилии свой УЦ был создан в начале 2000-х, тогда это был хороший проект с правильной идеологией — предоставить местному бизнесу возможность получить недорогие сертификаты, а также обеспечить информационную безопасность. Долгое время так и было, но со сменой власти в стране в работе УЦ стали появляться, скажем так, странности, и в итоге он был исключен из списка доверенных центров сертификации в популярных браузерах, а все его попытки вернуться туда пока безуспешны».

По словам Казаряна, с учетом политической ситуации, в которой находится Россия, зависеть от иностранных УЦ «не очень правильно», и поэтому идея создать национальный центр сертификации неплоха. «Просто когда хорошие люди из правильных побуждений начинают реализовывать такие проекты, к ним, как правило, приходят люди уровнем выше и начинают параллельно решать свои задачи — отсюда появляются все эти идеи про массовую установку пользователям браузеров с отечественными сертификатами и MITM», — отмечает Казарян.

При этом у иностранных экспертов также есть вопросы к работе отечественного алгоритма шифрования «Кузнечик», который можно использовать для защиты соединения на сайтах с отечественными цифровыми сертификатами. Исследователь Лео Перрин из Университета Люксембурга и его коллеги в 2015 и 2019 годах представили два доклада, в которых говорилось о скрытых особенностях этого алгоритма. В компании «ИнфоТеКС», которая помогала ФСБ с разработкой алгоритма, тогда заявили, что исследование Перрина «носит спекулятивный характер и имеет своей целью срыв работ российских экспертов по продвижению указанных криптоалгоритмов в стандарты ISO».

«Особенности и свойства, которые были показаны [Перрином], никак не означают наличие чего-либо плохого в алгоритме», — говорит заместитель генерального директора компании «КриптоПро» Станислав Смышляев. Он отмечает, что в иностранных криптоалгоритмах тоже находили немало подобных структурных особенностей. «Это естественное развитие криптографии, когда обнаруживаются те или иные свойства [криптоалгоритма]. В некоторых случаях они могут приводить к отрицательным последствиям, то есть атакам, а в других — к положительным, например построению более быстрых реализаций работы алгоритма. С момента появления результатов Перрина, а прошло уже больше года, совершенно никаких данных о возможности использования найденных свойств для создания уязвимости или бэкдора не было», — говорит Смышляев.

Импортозамещение 2.0

«В теории все просто, но на практике для реализации всей этой идеи с предустановкой софта, поддерживающего работу отечественной криптографии, есть ряд сложностей. Основная — отсутствие необходимых решений под некоторые виды операционных систем. Если под Windows есть несколько браузеров с поддержкой ГОСТ-шифрования и криптопровайдеров на выбор, то, например, под iOS решений нет вообще», — говорит консультант по информационной безопасности Cisco Systems Алексей Лукацкий.

Вторая сложность, по его словам, состоит в том, что предустановить на устройство пользователя нужный браузер недостаточно, нужно еще «заставить» его им пользоваться — особенно если власти планируют оставить вариант установки соединения с сайтом с использованием иностранных TLS-сертификатов с зарубежной криптографией. Собеседник, близкий к НИИ «Восход», говорит, что пользователей будут «мотивировать» использовать ГОСТ-шифрование. «Например, при открытии портала госуслуг у пользователей будет возможность выбрать, какой криптографией воспользоваться, и если он выберет отечественную, то сможет получить скидку при оплате штрафа. Это самый простой пример, но какая-то такая система мотивации разработана будет», — утверждает он.

Третья проблема, по словам Лукацкого, заключается в действующем законодательстве, согласно которому средства криптографической защиты информации являются предметом учета и экспортного контроля. «Компании-разработчики средств криптозащиты обязаны вести учет по каждому пользователю, установившему их софт. А выезд за рубеж с компьютером или смартфоном, на котором установлено отечественное средство шифрования, сейчас ограничен законодательством, за которым обязаны следить ФСБ, ФСТЭК и таможня», — отмечает он. Таким образом, для свободной продажи россиянам гаджетов с предустановленными криптопровайдерами нужно менять законодательство.

Эта проблема обозначена и в отчете по разработке проекта дорожной карты «Российская криптография в российском сегменте интернет», созданном в рамках нацпрограммы «Цифровая экономика» (есть у «Медузы»). В нем отмечено, что отраслевое законодательство нуждается в гармонизации: «Необходимо предусмотреть введение понятия „массовой криптографии“, при котором не требовалось бы проведение поэкземплярного учета и контроля встраивания средств криптографической защиты информации в стороннее программное обеспечение».

«Вся эта история с отечественными TLS-сертификатами — лишь часть государственных амбиций по переводу всего российского сегмента сети на отечественную криптографию, — говорит руководитель крупной IT-компании. — Есть еще масштабные истории по переводу всех платежных систем к 2024 году на российскую криптографию, продаже „доверенных“ сим-карт с отечественным шифрованием. В общем, размах довольно впечатляющий — это такое „импортозамещение 2.0“».

Мария Коломыченко