Минцифры хочет запретить передовые технологии шифрования

Минцифры хочет запретить передовые технологии шифрования

Разработан законопроект о запрете криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH и DoT.

image
Минцифры предлагает запретить использовать на территории РФ, за исключением установленных законом случаев, протоколы шифрования, позволяющие скрывать имя (идентификатор) интернет-страницы или сайта, что мешает искать и блокировать запрещенную в России информацию.

"По экспертным оценкам, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной к законопроекту, размещенному на портале проектов-нормативно правовых актов.

"Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затруднит выявление ресурсов в интернете, содержащих информацию, распространение которой в РФ ограничено или запрещено", - отмечают в министерстве.

В случае нарушения запрета Минцифры предлагает приостанавливать функционирование интернет-ресурса уполномоченным федеральным органом исполнительной власти. Вместе с тем в министерстве напомнили, что в Едином реестре российских программ для электронных вычислительных машин и баз данных содержатся сведения о протоколах шифрования, которые можно использовать в соответствии с законодательством, - эти сведения являются открытыми и общедоступными.

Использование протоколов типа DoH или DoT потенциально могут быть использованы для обхода блокировок. Для блокировки сайтов провайдерам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае если DNS-запрос скрыт шифрованием, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.

Отработка возможностей блокировки трафика, зашифрованного с использованием технологий DNS поверх HTTPS и TLS, - одно из мероприятий плановых учений Минцифры по обеспечению устойчивой работы Рунета. Согласно опубликованному в начале 2020 года приказу министерства, эти учения должны были пройти 20 марта, но впоследствии были отменены. Другие учения Минцифры, запланированные на конец июня и сентября, также были отменены, проведение учений 20 декабря пока также под вопросом, заявлял ранее глава Минцифры Максут Шадаев.

В документе также отмечается, что законопроект подготовлен во исполнение решения Совета безопасности России от 4 декабря 2019 года в целях противодействия распространению противоправной информации в интернете.

DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Человек по середине». По состоянию на март 2018 года, Google и Mozilla Foundation тестируют версии DNS по протоколу HTTPS. Опубликован IETF в RFC 8484 в октябре 2018 года.

TLS 1.3 - новейшая версия протокола защиты транспортного уровня, описанный в августе 2018 года в RFC 8446. В этой версии были разделены процессы согласования ключей, аутентификации и наборы шифрования; запрещены слабые и редкие эллиптические кривые, хэши MD5 и SHA-224; введена обязательность цифровой подписи; внедрена HKDF и полуэфемерная система DH.

DNS поверх TLS (DoT) - предлагаемый стандартный протокол для выполнения разрешения удалённой системы DNS с использованием TLS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Человек по середине».

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.