Рунету выписали сертификат безопасности
для контроля за шифрованием интернет-трафика
"Ъ" ознакомился с первыми итогами работы чиновников по импортозамещению средств шифрования трафика в рунете. Поисковик "Спутник" создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании "Крипто-ПРО". По данным источников "Ъ", над аналогичным проектом работает и "Яндекс", хотя в компании это опровергают. Использовать отечественные шифровальные средства чиновники намерены и при выдаче SSL-сертификатов, используемых для шифрования данных и идентификации сайтов. Первым делом отечественные средства защиты информации появятся на порталах государственных органов и некоторых банков.
"Спутник" и "Яндекс" разработали бета-версии своих браузеров с использованием российских алгоритмов шифрования, рассказал "Ъ" глава рабочей подгруппы "Интернет + суверенитет" при администрации президента Илья Массух. "Мы решили попробовать использовать российские алгоритмы шифрования, эта позиция согласована с Минкомсвязью и ФСБ. У нас в стране есть свои шифрсредства и уже созданные версии протокола TLS с использованием криптографических алгоритмов шифрования, которые соответствуют ГОСТу. Среди компаний, которые разрабатывают свои шифрсредства, планируется сотрудничество с "Крипто-ПРО", "ИнфоТеКС" и другими",— уточнил господин Массух.
Коммерческий директор "Крипто-ПРО" Юрий Маслов подтвердил "Ъ", что компания предоставила на некоммерческой основе "Спутнику" и "Яндексу" свою утилиту "КриптоПРО CSP", которая используется для шифрования и имитозащиты данных, обеспечения целостности и подлинности информации. "У "Спутника", насколько я знаю, такая версия браузера готова и уже демонстрировалась, "Яндекс" еще в процессе",— рассказал господин Маслов. В Минкомсвязи от комментариев отказались.
Представитель "Спутника" Дмитрий Чистов подтвердил "Ъ", что компания разработала версию доверенного браузера с встроенным средством криптографической защиты информации от "Крипто-ПРО" под ОС Windows. "В ближайшее время начнутся тестирование браузера в рамках существующих соглашений и контрактов "Спутника" и "Ростелекома" и сертификация браузера в ФСБ",— сообщил он.
Представитель "Яндекса" заявил, что информация о создании беты "Яндекс.Браузера" с российскими алгоритмами шифрования недостоверна, компания "не занималась и не занимается" ею. "Любой сайт должен быть совместим со всеми популярными браузерами и операционными системами, это не должно зависеть от специальных региональных настроек или предустановки дополнительного корневого сертификата специально для российских пользователей",— сообщил представитель "Яндекса".
Как уже сообщал "Ъ" (подробно см. номер от 15 февраля), администрация президента обсуждает создание российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, используемых для шифрования данных и идентификации сайта при установлении защищенного https-соединения. "Выдавать SSl-сертификаты с российскими алгоритмами шифрования будет удостоверяющий центр НИИ "Восход" или кто-то из других УЦ, аккредитованных Минкомсвязью. В российских браузерах эти УЦ будут добавлены в список "доверенных"",— говорит господин Массух. Он сообщил, что первым делом SSL-сертификаты с российскими алгоритмами шифрования от местного УЦ будут использовать сайты органов власти, портал госуслуг и, возможно, некоторые банки. "Для этих целей планируется внести изменения в 8 ФЗ ("Об обеспечении доступа к информации о деятельности госорганов..."). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определенную версию "Спутника" или "Яндекс.Браузера"",— отмечает он.
Наиболее популярными мировыми УЦ являются Comodo, Symantec, GoDaddy, Geotrust, GlobalSign и др. В России продажей сертификатов этих УЦ занимается множество частных компаний — например, Ru-Center, Reg.Ru, Agava и др. Число используемых SSL-сертификатов только в доменной зоне .ru по итогам 2015 года составило 124,5 тыс., сообщала Reg.Ru.
"У нас в стране есть ряд криптопровайдеров, соответствующих ГОСТу, поэтому реализация браузера с российскими алгоритмами шифрования вполне возможна, как и использование на одном домене набора SSL-сертификатов, среди которых был бы сертификат от российского УЦ. С точки зрения национальной безопасности это имеет смысл, хотя со стороны и немного отдает паранойей",— говорит основатель и гендиректор Qrator Labs Александр Лямин. При этом, напоминает он, в теории появление в стране своего УЦ для выдачи SSL-сертификатов может привести к злоупотреблениям и MITM-атакам (или атакам посредника) со стороны структур, имеющих отношение к этому УЦ. В ходе MITM злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. "Подобные случаи были в Китае, после чего Google намеревалась удалить местный УЦ из "доверенных" в Chrome",— добавляет он.
"С точки зрения обеспечения цифрового суверенитета наличие собственного удостоверяющего центра, выдающего SSL-сертификаты, и браузеров, поддерживающих российское шифрование, безусловно, положительный факт. Однако надо понимать, что если данный национальный центр будет скомпрометирован и атакующие получат доступ к корневым сертификатам, то при наличии доступа к SSL-трафику между пользователем браузера и сайтом можно организовать MITM-атаку, расшифровав SSL-трафик",— согласен гендиректор Digital Security Илья Медведовский. Впрочем, подобная атака может быть с таким же успехом осуществлена и на любой западный удостоверяющий центр, что уже недавно случалось, в частности, с Comodo, добавляет он.