Что случится с Рунетом, если ФСБ расшифрует все?

Что случится с российским интернетом, если ФСБ расшифрует все? Он станет только российским, а страна потеряет несколько процентов ВВП и перспективы экономического роста.

В прессе появилась информация о том, что ФСБ предлагает создать систему расшифровки всего трафика российского интернета в рамках исполнения «пакета Яровой». По данным газеты «Коммерсант», сейчас между спецслужбами и правительством идет дискуссия о том, должно ли государство обязать участников рынка расшифровывать все данные либо информацию только тех пользователей, которые привлекли внимание правоохранительных органов. ФСБ, лоббируя тотальную слежку, предполагает, что с технологической точки зрения расшифровка может быть построена как атака Man-in-the-middle, которая используется хакерами (см. ниже). IT-предприниматель, руководитель аналитического агентства Reference Point Михаил Климарев рассказал «Новой газете» о том, почему из этой затеи ничего не выйдет. Всю информацию расшифровать все равно не получится, зато западные интернет-компании уйдут из России, а отечественная IT-отрасль будет уничтожена.

— Как сейчас устроен интернет-трафик и как предлагают организовать его в ФСБ?

— Весь существующий трафик в Сети очень разнообразный, но его можно условно сгруппировать в четыре категории. Во-первых, это peer-to-peer трафик, то есть прямые соединения от компьютера к компьютеру, например, при использовании торрентов. Такой трафик составляет примерно 25–30% от общего объема, но его доля падает. Как правило, шифрование при этом не используется, люди просто передают друг другу файлы. Но при необходимости эта информация очень легко шифруется: вы просто выставляете галочку в вашей программе для обмена файлами. Следующие 25% всей переданной информации в интернете — это уже шифрованный трафик. Все крупные и известные интернет-сайты уже включили шифрование. И еще около 25% (сейчас как раз переломная ситуация, когда объемы нешифрованного трафика стали меньше, чем шифрованного) — это обычный http-трафик к сайтам, который передается в открытом виде. И оставшаяся четверть — это группа «разное»: онлайн-видео, скайп, телефония, служебная информация и так далее.

Так вот, шифрованный трафик хранить, как предписано согласно «пакету Яровой», просто бессмысленно — это ничего не значащий набор символов, если вы не имеете ключа для расшифровки. А такого ключа, разумеется, никто не даст — иначе теряется смысл шифрования. И главная проблема для властей здесь связана с существующей системой выдачи цифровых ключей-сертификатов, необходимых для обеспечения зашифрованного соединения между пользователем и интернет-сайтом. Сертификаты же — это не только ключ, но еще и «удостоверение личности» цифрового ресурса. Если хотите — цифровой паспорт и отпечатки пальцев. Такие сертификаты безопасности после специальной процедуры подтверждения правомочности выдаются организациями так называемыми корневыми удостоверяющими центрами (УЦ).

Их задача заключается в том, чтобы гарантировать, что ваше соединение в интернете осуществляется именно с конкретным сайтом и действительно защищено и зашифровано. И никто, скажем, не сможет получить доступ к вашей финансовой информации, передаваемой в системе интернет-банкинга.

В России уже создана собственная система корневых удостоверяющих центров для госорганов и граждан, желающих электронно общаться с ними. Но глобальное сообщество пока не спешит признавать эти сертификаты (необходима довольно сложная и дорогостоящая процедура подтверждения легитимности УЦ, работа с производителями ПО и многое другое), и пока даже сайт «Роскомнадзор» вынужден получать западные сертификаты безопасности в американской компании Comodo.

Таким образом предложение ФСБ заключается в том, чтобы на государственном уровне использовать технологию «хакерской атаки», которая называется Man-in-the-middle (MitM — «человек посередине»). Суть MitM в том, что у провайдера устанавливается специальный программно-аппаратный комплекс, через который проходит весь пользовательский трафик. По задумке, браузер пользователя должен будет обратиться к этому узлу Сети, который прозрачен для российских спецслужб, и только затем выйти, скажем, на фейсбук. Считается, что на отрезках от клиента к прокси и дальше — от прокси к условному фейсбуку — трафик будет шифроваться. Но на узле, подконтрольном российским спецслужбам и находящемся в середине, он, естественно, расшифровывается.

— То есть речь идет о том, что создается государственный прокси, через который проходит весь российский трафик?

— Да, совершенно верно. Другое дело, что сторона, куда в конечном счете идет пользовательский трафик, тоже должна поддерживать этот сертификат, выданный ФСБ. Или ваш браузер просто откажется устанавливать такое соединение. И если условный фейсбук разрешит такую схему, то это скомпрометирует сертификат безопасности собственно сайта. То есть если появляется в принципе такая возможность у одного участника (даже если это очень честная ФСБ России), то потенциально эту схему сможет использовать вообще кто угодно. Следовательно, они никогда на это не пойдут и ни в коем случае не дадут корневые сертификаты российским спецслужбам. У фейсбука в России 25 млн пользователей, а в мире — больше миллиарда. Они готовы потерять российский рынок, если будут навязывать игру по правилам ФСБ. Иначе этот миллиард вообще перестанет пользоваться фейсбуком. Помимо прочего в США существуют свои законы, по которым передавать личные данные пользователей третьим сторонам без решения суда запрещено. Поэтому они просто уйдут, перестанут предоставлять сервисы в России.

— Если весь трафик расшифровывается государством на одном узле, то как обеспечить безопасность этих данных, в частности, от утечки третьим лицам — не только спецслужбам, но вообще всем желающим?

— Это вопрос репутационный. Доверяю ли я, как гражданин России, ФСБ или нет. Представим, что находятся такие граждане, которые готовы доверять своим спецслужбам. Но проблема в том, доверять тому, кто играет в Man-in-the-middle, должна и вторая сторона. Не только фейсбук, а, например, банки или платежные системы вроде Visa и Mastercard, или системы бронирования авиабилетов. Никто из подобных организаций не будет отдавать все свои данные ФСБ. Мы, получается, закукливаемся внутри страны, и все иностранные сервисы становятся нам недоступны, они сами уйдут с российского рынка. Более того, все корневые удостоверяющие центры, системы шифрования в принципе откажутся работать с Россией.

— Если мы это понимаем, в ФСБ тоже понимают?

— Они вбросили информацию и смотрят на реакцию. Конечно, они понимают, к чему приведет такая схема. Скорее всего, перед нами торг по поводу «закона Яровой»: какой смысл хранить все данные, если мы все равно всё не расшифруем? Ведь на самом деле сейчас речь идет в основном о простых алгоритмах шифрования, которым уже по 15–20 лет. Сейчас развиваются новые, в частности, система TLS (Transport Layer Security — безопасность транспортного уровня), за которой стоит такая математика, что атака по принципу Man-in-the-middle в принципе невозможна. Есть end-to-end шифрование, когда корневых сертификатов нет, а он генерируется на стороне клиента и сервера в момент установления соединения и тут же уничтожается после разрыва. Идея тотальной расшифровки всего трафика на узле спецслужб никак не решает эти вопросы.

— Получается, речь идет скорее о шантаже. Есть две интерпретации «закона Яровой»: одна предполагает, что надо хранить всю информацию, другая — что надо предварительно заставить пользователей отказаться от шифрования.

— Да, примерно так.

— Представим себе, что все же спецслужбы в России на самом деле хотят создать системы дешифровки всего трафика. Там будут говорить, что они просто защищали безопасность страны, а фейсбук отказался выполнять их законные требования.

— Они могут утверждать что угодно. Но Россия на самом деле маленькая страна, нас всего 145 млн человек против 7 млрд в мире. Эти действия приведут к тому, что Россия будет полностью изолирована от мирового сообщества.

Если говорить конкретно об IT-индустрии, то я, как разработчик в России, просто не смогу посмотреть, как современные сервисы устроены на Западе, мы будем отрезаны от мирового развития отрасли. Скажем, представьте себе, что у вас есть «умный дом», в котором все приборы подключены к Сети и управляются по нему. Конечно, соединения с «умным домом» зашифрованы, иначе к вашему дому, системе управления электричеством, например, мог бы подключиться кто угодно. Бурно растущая отрасль интернета вещей — нас от нее тоже отрежут.

— Была история с блокировкой в России сервиса Github, где программисты могут хранить свои коды и совместно работать над ними. Что будет с такими проектами?

— Github — он точно так же шифруется. Криптография — это ведь не только шифрование информации, но и способ доказательства того, что ты именно тот человек, который имеет право доступа к данной информации. Что у тебя есть логин — пароль, что его не подменили. Работать в Github и аналогичных проектах российские разработчики программного обеспечения тоже не смогут. Вообще широко известных пользовательских облачных сервисов (например, iCloud или Dropbox) в России не будет.

— Сколько денег мы можем на этом потерять?

— Это безумное количество потерянных человеко-часов — очень сложно оценить масштаб. Но нужно понимать, что речь идет просто о конце IT-отрасли в России.

Есть исследование Всемирного банка о том, что каждый средний мегабит скорости доступа к интернету для граждан добавляет стране полпроцента ВВП. Отсюда можно себе представить, что счет пойдет на проценты от ВВП. Интернет вещей тащит за собой индустрию нового поколения, и мы в нее не сможем войти. Это конец международной логистике: например, вы ничего не сможете больше официально заказать на Ali Express.

— Насколько все эти ограничения будут эффективными?

— Это китайская история. Официально ничего не будет доступно, легально работать на территории России для IT-компаний станет невозможно. За китайским файерволом тоже официально недоступны ни фейсбук, ни, например, твиттер. Но я спокойно общаюсь с людьми в Китае в фейсбуке. Они используют VPN (Virtual Private Network — виртуальную частную Сеть, организация зашифрованной логической Сети поверх инфраструктуры интернета).

— Если будет серьезный конфликт российских законодателей и западных интернет-компаний, может ли тот же фейсбук сделать бесплатный VPN для доступа к своему сайту?

— Они уже делают это. Есть много разных технологий, которые позволяют обходить ограничения в интернете, включая очень простые для пользователей. Например, Opera представила браузер, где функция обхода блокировок является штатной.

— Российские провайдеры будут активно помогать спецслужбам, когда они примутся за реализацию своих планов в том или ином виде?

— Тут очень разная ситуация. У всех мобильных операторов связи уже стоит DPI (Deep Packet Inspection — система глубокого анализа пакетов данных), но у них это экономически оправдано, поскольку пропускная способность радиоканала ограничена, и им нужно оптимизировать трафик в нем. DPI проверяет пакеты и может давать приоритет одним из них за счет других: чтобы, например, голосовая связь была лучшего качества. DPI нужен был операторам, чтобы предоставлять клиентам хороший сервис, но он же может использоваться для фильтрации контента и цензуры. У обычных провайдеров ограничений на ресурсы особенных нет: средний пользователь потребляет контент на скорости около 1 мегабита в сутки. Пропускная способность сетей выше, так что провайдеры экономически не заинтересованы в дополнительной оптимизации трафика.

— Действительно ли стоит при этом ждать рост цен на доступ в интернет после реализации «пакета Яровой»?

— Тарифы, безусловно, вырастут. Насколько этот рост будет значительным — это зависит от того, какая конкретно реализация закона будет в итоге выбрана. Чтобы цены начали расти, достаточно заставить всех операторов выполнить уже действующее законодательство в части внедрения СОРМ‑3, согласно которому факт соединения провайдеры должны записывать, а данные хранить три года. Другой вопрос: не определено, что именно нужно хранить. Так вот, СОРМ‑3 сейчас фактически не внедрен у большинства провайдеров. А если его внедрить, то себестоимость оказания услуг вырастет на 10%, что приведет к росту пользовательских тарифов от 5 до 15%. При этом там все очень коррумпированно, и никто просто не торопится внедрять этот СОРМ‑3, о котором начали говорить еще пять лет назад. Если все это на самом деле заработает, мелкие операторы обанкротятся, останутся одни крупные, потому что смогут какие-то ресурсы найти. В этом случае конкуренции не будет, и можно ожидать рост тарифов в 2–3 раза минимум.

— Когда советник президента Герман Клименко делает заявление о том, что он не видит в инициативе ФСБ ничего технически невозможного, какие цели он преследует?

— Это скорее политика. Ну да, технически можно расшифровать трафик. А экономически можно его расшифровать? Пусть Клименко на этот вопрос ответит. Технически можно и на Луну летать, но мы же не летаем.

автор: Кирилл Мартынов, источник: Новая газета

Рекомендуємо прочитати

У кого Кабмін відбере субсидії та чи можна інакше

Те, за яким механізмом скорочують субсидії, хто має шанси їх зберегти та яким чином можна зменшити тарифи для всіх проаналізував "Соціальний рух"....

Це може бути цікавим

На службе у Путина

Если Герхард Шредер займет должность в совете директоров "Роснефти", он превратится в приспешника авторитарной системы, считает обозреватель Frankfurter Allgemeine Zeitung Берт....

загрузка...

Схожі публікації

Дивіться, що пишуть

В Киеве пройдет юбилейный ГОГОЛЬfest

В этом году под события ГОГОЛЬfest будут задействованы 3 локации: ВДНХ (просп....