Шифрно умные
Сайтам отрежут пути обхода блокировок
Минцифры по поручению Совбеза предложило под угрозой блокировок запретить использование в России интернет-протоколов, скрывающих имя сайта, включая DoH, который внедряют Mozilla и Google. Появление таких протоколов, по сути, может поставить под угрозу всю систему блокировки государством сайтов в России. Однако большинство экспертов считают, что с технической стороны проект практически нереализуем, по крайней мере, без существенного ущерба для бизнеса. В то же время на борьбу с подобными протоколами уже успешно вышел Китай.
Минцифры 21 сентября опубликовало на regulation.gov.ru проект поправок к закону «Об информации», по которым на территории России предлагается запретить использование протоколов шифрования, скрывающих имя сайта. Согласно пояснительной записке, речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу.
Применяющиеся в протоколах алгоритмы и методы шифрования способны «снизить эффективность использования существующих систем фильтрации», что затруднит идентификацию запрещенных в России сайтов, следует из документа.
Он вводит наказание за использование таких протоколов: если Роскомнадзор выявит нарушение, сайт должен быть заблокирован в течение суток. Минцифры обосновывает подготовку документа исполнением протокола оперативного совещания Совета безопасности России в декабре.
Пока технологии DoH и DoT экспериментальны, но их постепенно внедряют разработчики браузеров Firefox (компания Mozilla) и Google Chrome. В феврале в Firefox включили DoH по умолчанию для американских пользователей. Google начала поэтапно включать поддержку DoH для пользователей Chrome на Android в начале сентября.
DoH и DoT используются для шифрования запроса, который устройство пользователя направляет DNS-серверу провайдера, чтобы открыть желаемый сайт.
Обычно он передается в открытом виде, что, например, позволяет узнать, какой сайт хочет посетить пользователь. Этим могут воспользоваться мошенники, если речь идет о публичных сетях. Кроме того, запрос видит и провайдер. Если пользователь собрался на заблокированный сайт, то провайдер, как правило, не позволяет его открыть. Но если DNS-запрос зашифрован, то сайт откроется.
Отработать возможность блокировки трафика, зашифрованного с помощью DoH и DoT, Минцифры планировало еще в марте на учениях в рамках закона о «суверенном интернете». Однако из-за пандемии и доработки регулирования в этом году учений пока не было.
DoH и DoT — ключевые разрабатываемые сейчас экспериментальные протоколы, их повсеместное использование помешало бы работе системы блокировки сайтов в России, подтверждает гендиректор Института исследований интернета Карен Казарян.
Дело в том, что хотя их основная задача — повышение безопасности в сети, в качестве «побочного эффекта» протоколы позволяют также обходить блокировки, говорит он. Любое шифрование в сети скрывает данные, а чем меньше данных видно, тем хуже работают блокировки, объясняет технический директор QRator Labs Артем Гавриченков. Это, по его словам, касается и системы фильтрации DPI (Deep Packet Inspection; используется по закону о «суверенном интернете»).
Большинство экспертов критикуют инициативу, хотя и сомневаются в ее эффективности. «Все современные браузеры начинают поддерживать перечисленные технологии, непонятно, как предполагается исполнять поправки. Необходимо либо договариваться с вендорами браузеров, чтобы они прекратили использовать эти технологии на территории РФ, либо пытаться блокировать трафик, в котором используются DoT, DoH и ESNI»,— рассуждает аудитор информбезопасности Digital Security Илья Булатов. Второй вариант, однако, может привести к непреднамеренной блокировке случайных ресурсов, предупреждает он.
В нынешнем варианте закон работать просто не может, уверен Артем Гавриченков. По сути его можно реализовать только через блокировку всего шифрованного трафика, полагает директор АНО «Информационная культура» Иван Бегтин. По данным «Яндекс.Радара» на сентябрь, как минимум 95% трафика в рунете зашифровано.
«Без ущерба цифровому бизнесу внедрить такое невозможно, а сама реализация, хоть и не предусматривает финансирование по документам, без дополнительных бюджетных средств происходить не может»,— отмечает Иван Бегтин.
Подобную ситуацию мы уже наблюдали при блокировке Telegram, напоминает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. Если законопроект Минцифры будет принят, то пополнит перечень законов с избирательным применением, предполагает господин Гавриченков: «То есть если кого-то надо заблокировать, то это станет одним из формальных поводов».
Впрочем, есть и мнение, что проект в принципе реализуем. Это возможно с помощью систем DPI в составе специальных технических средств, примеры уже есть, утверждает ведущий аналитик направления «Информационная безопасность» КРОК Анастасия Федорова. По ее словам, в Китае, например, под блокировку уже попадает весь HTTPS-трафик, использующий TLS 1.3 и его расширение ESNI.