Рунет получит шифровку из центра
Национальные сертификаты вносят в закон
Правительство предлагает обязать разработчиков браузеров и операционных систем поддерживать государственные сертификаты шифрования, на которые переведены сайты подпавших под санкции компаний. Речь идет в том числе о сертификатах, использующих российские алгоритмы. Сейчас их поддержки нет ни в ПО от Microsoft, Apple и Google, ни в браузерах «Яндекса» и VK. Пока штрафы и другие санкции за нарушения не предусмотрены, но эксперты допускают их введение. Если же российская криптография станет тотально обязательной, уточняют участники рынка, может нарушиться хождение электронной почты.
“Ъ” ознакомился с проектом поправок к ФЗ «Об информации», внесенным правительством в Госдуму 28 ноября. Документ, в частности, описывает работу Национального удостоверяющего центра (НУЦ) Минцифры, выдающего сертификаты для установления зашифрованного соединения между сайтами и пользователями. Проект предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу. Правительство предлагает обязать всех, кто разрабатывает или дорабатывает браузеры и ОС в РФ, включать в продукты поддержку таких сертификатов.
Наказания за неисполнение требования не предусматривается, уточнили “Ъ” в Минцифры: «Мы надеемся на добросовестность разработчиков, поскольку это обеспечит беспрепятственный и защищенный доступ к российским сайтам».
В ФСБ и ФСТЭК (они должны подготовить подзаконные акты к документу) на запросы “Ъ” не ответили.
НУЦ начал выдавать собственные сертификаты для зашифрованного соединения с сайтами (HTTPS) в марте, после того как зарубежные центры стали отзывать их у подсанкционных российских организаций. Тогда в сертификатах не использовалась российская криптография по ГОСТу, но теперь она становится обязательной. ОС и браузеры от Microsoft, Google и Apple поставляются без корневого сертификата НУЦ, и при попытке открыть в них сайты, перешедшие на национальный сертификат (например, Сбербанка), защищенное соединение не устанавливается. Такие сайты открываются по HTTPS только из российских браузеров, в которые включен корневой сертификат НУЦ («Яндекс Браузер» и Atom от VK) или же если пользователь сам установит его на устройство.
В «Яндексе» уточнили “Ъ”, что, несмотря на наличие корневого сертификата НУЦ, доступ к сайтам с шифрованием по ГОСТу возможен только при установке стороннего компонента «КриптоПро». Добавлять в «Яндекс Браузер» встроенную поддержку не планируется. О том же говорят в VK.
Сейчас от разработчиков ОС и браузеров в России — даже тех, чьи продукты включены в реестр отечественного ПО,— не требуется поддерживать российскую криптографию, говорит директор НКО «Информационная культура» Иван Бегтин: «Такое требование предъявлялось к некоторым государственным информационным системам, например ГИС "Электронный бюджет". Но оно часто игнорировалось, так как удаленные соединения устанавливались через сертифицированные VPN». Он отметил, что законопроект вводит само понятие НУЦ как одной из ГИС, но для его работы правовая база не требуется.
Российская криптография, скорее всего, «в приказном порядке будет использоваться на сайтах госорганов и госпредприятий», остальные же организации проигнорируют ее, считает руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский.
В проекте поправок, добавил он, не учитывается, что шифрование используется и при обмене электронной почтой: «Если будут менять и эти сертификаты, то обмен почтой с заграницей станет невозможным — никто не будет внедрять поддержку гостовских алгоритмов в зарубежные почтовые серверы».
По словам управляющего партнера юридической фирмы DRC Саркиса Дарбиняна, новые правила затронут как российских, так и иностранных разработчиков, которые предоставляют сервисы в РФ или поддерживают в стране ПО, но пока действительно не предполагают ответственности за нарушения. Эксперт считает, что следующим шагом может стать блокировка сайтов или штрафы для разработчиков за отказ от российской криптографии.