Минцифры планирует запретить использование в России интернет-протоколов, скрывающих имя сайта
Минцифры 21 сентября опубликовало на regulation.gov.ru проект поправок к закону «Об информации», по которым на территории России предлагается запретить использование протоколов шифрования, скрывающих имя сайта. Согласно пояснительной записке, речь идет о протоколах TLS 1.3 с расширением ESNI (используется для размещения на одном IP-адресе нескольких HTTPS-сайтов), DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) и расширении к протоколу, пишет "Коммерсантъ".
Применяющиеся в протоколах алгоритмы и методы шифрования способны «снизить эффективность использования существующих систем фильтрации», что затруднит идентификацию запрещенных в России сайтов, следует из документа.Он вводит наказание за использование таких протоколов: если Роскомнадзор выявит нарушение, сайт должен быть заблокирован в течение суток.
Пока технологии DoH и DoT экспериментальны, но их постепенно внедряют разработчики браузеров Firefox (компания Mozilla) и Google Chrome. В феврале в Firefox включили DoH по умолчанию для американских пользователей. Google начала поэтапно включать поддержку DoH для пользователей Chrome на Android в начале сентября.
DoH и DoT используются для шифрования запроса, который устройство пользователя направляет DNS-серверу провайдера, чтобы открыть желаемый сайт. DoH и DoT — ключевые разрабатываемые сейчас экспериментальные протоколы, их повсеместное использование помешало бы работе системы блокировки сайтов в России, подтверждает гендиректор Института исследований интернета Карен Казарян. Дело в том, что хотя их основная задача — повышение безопасности в сети, в качестве «побочного эффекта» протоколы позволяют также обходить блокировки, говорит он.
Большинство экспертов критикуют инициативу, хотя и сомневаются в ее эффективности. «Все современные браузеры начинают поддерживать перечисленные технологии, непонятно, как предполагается исполнять поправки. Необходимо либо договариваться с вендорами браузеров, чтобы они прекратили использовать эти технологии на территории РФ, либо пытаться блокировать трафик, в котором используются DoT, DoH и ESNI»,— рассуждает аудитор информбезопасности Digital Security Илья Булатов. Второй вариант, однако, может привести к непреднамеренной блокировке случайных ресурсов, предупреждает он.
По сути этот закон можно реализовать только через блокировку всего шифрованного трафика, полагает директор АНО «Информационная культура» Иван Бегтин. По данным «Яндекс.Радара» на сентябрь, как минимум 95% трафика в рунете зашифровано.
Впрочем, есть и мнение, что проект в принципе реализуем. Это возможно с помощью систем DPI в составе специальных технических средств, примеры уже есть, утверждает ведущий аналитик направления «Информационная безопасность» КРОК Анастасия Федорова. По ее словам, в Китае, например, под блокировку уже попадает весь HTTPS-трафик, использующий TLS 1.3 и его расширение ESNI.
Источник: Коммерсантъ