Госдума намерена защитить Рунет с помощью отечественного шифрования

Профильный комитет Госдумы подготовил поправки в законопроект о суверенном Рунете, которые обяжут шифровать весь трафик с помощью российской криптографии.

В поправках отмечается, что правительство в лице кабинета министров будет устанавливать порядок выдачи и использования кодов и средств шифрования, которые необходимы для кодирования данных, а также будет определять лиц, уполномоченных выдавать такие коды и средства. Проект текста поправок подписал глава думского комитета Леонид Левин.

Документ отдельно обязывает организаторов распространения информации (ОРИ), то есть компании, управляющие сервисами по обмену сообщениями, обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством. Сейчас в реестре ОРИ, который ведёт Роскомнадзор, находится более 170 компаний, включая «Яндекс», Telegram, Сбербанк, Mail.Ru Group, Opera, WeChat, Vimeo и др.

На практике поправки означают, что все крупные интернет-компании, работающие в стране, должны будут внедрить российские средства шифрования в свои продукты – почтовые клиенты, браузеры, мессенджеры и т. д.

Эксперты отмечают, что в реестре ОРИ есть немало иностранных компаний, поэтому требование использовать российскую криптографию коснётся и их. Но есть подозрение, что ни один иностранный игрок на это не пойдёт, а даже если и решится, из-за экспортных ограничений не сможет внедрить российскую криптографию, поскольку, по действующему российскому законодательству, разрабатывать средства криптографической защиты и встраивать их в готовые решения, например мессенджеры, могут только резиденты России, имеющие соответствующую лицензию ФСБ.

Предлагаемые законодателями поправки подразумевают, что браузерам, например, придётся добавлять российскую структуру в доверенные корневые центры сертификации в настройках. Однако все мировые центры сертификации — это, как правило, частные компании: GlobalSign, DigiCert и др. Попытка Китая создать свой государственный центр сертификации привела к скандалу: в апреле 2015 года Google и Mozilla Foundation удалили корневые сертификаты китайского государственного удостоверяющего центра CNNIC из браузеров Chrome и Firefox после того, как обнаружили, что организация выдала сертификаты некой компании, создавшей фальшивые страницы Google. Предполагалось, что подставные страницы могли быть использованы для слежки за китайскими посетителями ресурсов Google.

Именно поэтому бытует мнение, что «национальные стандарты криптографии» продвигаются странами исключительно в целях контроля за гражданами.

Хотя российские власти объясняют необходимость использования отечественных средств шифрования тем, что в иностранной криптографии могут быть уязвимости или закладки, которые позволят расшифровывать сообщения пользователей, никто не знает, насколько надёжны отечественные средства шифрования. Если предположить, что в них тоже есть закладки, то массовое использование российской криптографии позволит силовым структурам расшифровывать весь трафик, большие объёмы которого в рамках «закона Яровой» должны хранить операторы связи.

Стоит также отметить, что в России рынок средств криптографической защиты информации практически поделён между двумя компаниями, которые в конечном счете могут оказаться бенефициарами законопроекта: «ИнфоТеКС» и «Код безопасности».

Средства криптографической защиты информации, разрабатываемые «ИнфоТеКС», неявно прописан во многих постановлениях правительства – их используют госорганы в системе межведомственного электронного взаимодействия, а также для присоединения к системам ФинЦЕРТа Банка России и ГосСОПКА, которую создаёт ФСБ.

В сентябре 2018 года компания «ИнфоТеКС» попала под санкции США за «способствование злонамеренной деятельности в киберпространстве».

Напомним, что 14 декабря 2018 года члены Совета Федерации Андрей Клишас, Людмила Бокова и Андрей Луговой внесли в Госдуму законопроект о защите российского Интернета от угроз со стороны других государств, предусматривающий отключение Рунета от мировой сети.

В пояснительной записке к документу отмечалось, что проект закона «подготовлён с учетом агрессивного характера принятой в сентябре 2018 года Стратегии национальной кибербезопасности США». 12 февраля 2019 года Госдума приняла законопроект в первом чтении. Проект закона поддержали в правительстве, экспертный совет при котором подсчитал, что его исполнение потребует до 130 миллиардов рублей дополнительных расходов ежегодно.

Законопроект вызвал резкую критику в СМИ, социальных сетях и в среде участников телекоммуникационного рынка. Активисты движения «Роскомсвобода» в докладе за 2018 год отметили, что реализация предложения «открывает куда более широкие возможности для перлюстрации всего пользовательского трафика и наиболее эффективной онлайн-цензуры». Кроме того, по мнению критиков, законопроект приведёт к подорожанию доступа в Интернет.