02.02.2016

"Налог на Гугл" не самое страшное в поручении Президента или когда в России запретят западную криптографию?

Вчера многие СМИ, анализируя список поручений Президента, писали только про "налог на Гугл", поставив его на первое место. У меня немного иная точка зрения по поводу последствий принятия нормативных актов, которые вытекают из этих поручений.

12-м пунктом в поручении Президента значится регулирование вопросов шифрования данных в отечественных сетях связи. Сначала я думал, что это та идея, которая уже звучала многократно на разных открытых и не очень площадках - отделить государственную криптографию от гражданской. Но потом обратил внимание, что за нарушение новых требований по шифрованию данных в российских сетях связи предлагается наказывать. А значит речь идет не о послаблениях, а об ограничениях.

Потом вспомнилась озвученная на форуме идея по мониторингу зашифрованного трафика иностранных соцсетей и Интернет-сервисов, а потом и прошедшая немного в стороне новость о введении с 1-го января 2016-го года в Казахстане узаконенного MITM (Man-in-the-Middle), то есть перехвата и расшифрования всех передаваемых данных. Видимо, эту идею решили внедрить и у нас. Понятно, что для борьбы с терроризмом и экстремизмом. Нельзя же подумать, что государство, которое так заботится о правах граждан и постоянно упоминает о необходимости обеспечения конфиденциальности персональных данных и других видов тайн, хочет получить доступ к этой информации для каких-то своих, не очень понятных целей.

Меня в данном поручении интересуют чисто технологические нюансы реализации. На кого распространят требования будущего нормативного акта? На иностранных владельцев социальных сетей и Интернет-сервисов, работающих в России? Или на иностранных владельцев Интернет-сервисов, которые и слыхом не слыхивали об очередной юридической новации (как в случае с ФЗ-242, когда РКН распространяет его действие даже на зарубежные юрисдикции). В последнем случае лично меня интересует вопрос, значит ли это, что доступ к зарубежным Интернет-банкам или Интернет-брокерам будет перлюстрироваться российскими "фискалами" (или спецслужбами)?

Но еще более мне интересно узнать, попадут ли под действие предполагаемого законопроекта публичные или корпоративные VPN-сервисы? Не только SSL/TLS/DTLS/IPSec с мобильных устройств, но и межофисный  Site-to-Site VPN? В свое время, после ряда поездок в дружественный нам Китай, российские чиновники и сотрудники определенных структур, загорелись идеей заблокировать применение в России всей западной криптографии. Тогда это не получилось, но идея взять под контроль трансграничные потоки данных засела у некоторых в голове прочно. Потом г-жа Мизулина с ЛГБТ, ЛБИ (Лигой безопасного Интернета) носились с идеей запрета и введения уголовной ответственности за использование анонимайзеров и сети Tor (тоже не прошло). И вот новый виток интереса к данному вопросу, исходящий уже из уст самого Гаранта Конституции, в которой, как известно, говорится и про тайну переписки, и про невмешательство в личную жизнь (кроме как по решению суда). Но по миру идет уже не призрак коммунизма, а призрак терроризма, который заставляет поступиться некоторыми правами граждан и ввести определенные ограничения на свободы, в том числе и в Интернет. В конце концов, даже демократические США такой фокус провернули, о чем нам поведал Сноуден, которого никто никогда вживую не видел и не слышал. Почему же другой демократической державе нельзя сделать тоже самое?

И что будет с теми, кто откажется пустить уполномоченный орган к передаваемым данным? Видимо им запретят доступ на территорию России (и к ним с территории России). Одновременно решается сразу много задач - и запрет анонимизации, и раскрытие воров интеллектуальной собственности, и раскрытие заговоров террористов и экстремистов, и борьба с пятой колонной, и контроль тех, кто хочет хранить свои сбережения в иностранных финансовых организациях, забыв поделиться с государством... Да много еще каких применений можно найти в случае контроля всей зашифрованной переписки. Мечта любой спецслужбы мира...

Разумеется, знатоки практической криптографии могут задаться вопросом, а как тогда быть с такими технологиями как Certificate pinning или HTTP Public Key pinning (не говоря уже про HSTS), специально разработанными для борьбы с MITM? Но на этот вопрос я ответить не могу. Пока не могу. Ведь пока никакого законопроекта нет - есть только поручение Президента на 4 строчки, из которого я уже высосал целую заметку. Может я просто раздуваю из мухи слона? А может быть и нет... Посмотрим. До 1-го июня ждать осталось недолго; ведь именно к дню защиты детей приурочили завершение формирования указанных предложений.

PS. Фонд "Общественное мнение" уже посчитал, что 3/4 россиян согласны с прослушкой своей Интернет-переписки. То есть общественное мнение уже подготовлено :-(

4 коммент.:

Julia Omelyanenko комментирует...

Да, знаем мы это "Общественное мнение". Бабки, которые "мы ничего не понимаем в ваших интернетах, поэтому пусть будет да"

p.a.kulikov комментирует...

"считаете ли Вы обязанностью государства обеспечивать безопасность Вас и Ваших детей в режиме 24/7 и 365 дней в году, даже если надо будет поджигать газеты в почтовых ящиках?"
так звучал вопрос, да? Да? ДА?!

Алексей Лукацкий комментирует...

Как вы можете не доверять общественному мнению?! Крамола

Alexey комментирует...

Общественное мнение массово принимает скалениум и не приемлет так называемых свобод. Но, вообще, выражение "общественное мнение" применительно к РФ - это оксюморон. В РФ нет общества.