Комитет Госдумы по информационной политике подготовил поправки ко второму чтению законопроекта об автономном рунете, которые обязывают распространять или передавать информацию в российском сегменте интернета с использованием отечественных средств шифрования. Об этом РБК рассказали два источника в IT-индустрии.
Согласно тексту поправок, порядок выдачи и использование кодов и средств шифрования для кодирования информации, устанавливает Правительство. Кроме того, оно также определяет лиц, уполномоченных выдавать коды и средства шифрования. Глава комитета Леонид Левин отказался от комментариев, заявив, что поправки ещё находятся в работе;
Документ обязывает организаторов распространения информации (ОРИ) «обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством»;
Отечественное шифрование также будет использоваться в государственных системах — в том числе в госзакупках, госуслугах и в системе государственных и муниципальных платежей;
Опрошенные РБК эксперты опасаются, что использование отечественных средств поможет силовикам расшифровывать трафик, который операторы связи и ОРИ должны хранить в рамках закона Яровой.
Цель одна - единый центр сертификации, то есть в идеале у всех россиян будут установлены отечественные доверенные сертификаты и все данные станут прозрачными для служб...
С этим ещё проще. Как заставят всех предустанавливать яндекс на телефоны, так и сертификат заставят предустанавливать. А кто будет сопротивляться? Сяоми?
Да никто нихуя не будет делать. Выпустят 3-4 ЯндексТелефона и заебись. Туда запилят сертификаты, отчитаются о "Первом полностью произведённом и защищённом по российским стандартам смартфоне, который скоро похоронит Аппл". По факту распилят очередные 3-4 млрд руб и нормал.
Для тебя это новость? Наши алгоритмы всегда считались слабыми. У нас до сих пор используется стандарт шифрования ГОСТ 2001, который очень слабый и легко взламывается.
Председателем этого самого "профильного" комитета по информационной политике является многоуважаемый товарищ Левин Леонид Леонидович. Судя по инфе из открытых источников - тот самый, что продавливал закон о фейках и неуважении к власти. Сейчас этот очень грамотный и компетентный в своей сфере человек предлагает шифровать весь рунет (что? да!).
Только вот хочу напомнить, что, согласно Википедии, сей уже не молодой человек имеет театральное образование, а до прихода в Думу работал пиарщиком. И, судя по всему, знаний у этого председателя комитета по информационной политике - как у той бабки, которой интернет не нужОн. И вот такие люди, как он, у нас собираются рулить интернетом.
Наконец дельная инициатива, каждый гражданин страны переживал, что отключат американский интернет, но потом депутаты успокоили тем, что сделают свой и отключат сами нас от американского (вернее наоборот, сначала отключат, а потом как-нибудь сделают свой).
Но ведь пытливые умы потом спросили, но что если... они отключат и наш интернет! И наши депутаты позаботились об этом... Русский интернет будет защищен русской каллиграфией.. или криптографией... в общем, защищен и самое главное!
Теперь ведь что осталось, чтобы в русский интернет ни одна американская тварь не попала сделать! А то отключить не отключат, но как с подъездами, возьмут и насрут в наш интернет гадкие! Для этого недостаточно регистрироваться в сети интернет по паспорту, вон сколько случаев быстрых кредитов по чужим документам, предлагаю сделать русский сканер сетчатки глаза, продавать его пользователям интернета, чтобы перед каждым заходом система проверяла - русский ли пришел в интернет аль иностранец!
Ага, из этого бреда следует два независимых вывода:
1. Государственному CA быть. То, что не вышло у Казахстана в тринадцатом, выйдет у нас в девятнадцатом. Причем установка будет добровольной и долбанет по большей части "русского мира", а не только России - хочешь пользоваться абстрактным Яндексом, изволь поставить сертификат.
2. Дыра в Стрибоге и Кузнечике есть. Она понадобится, если какой-нибудь западный CA решит включить поддержку сертификатов на их основе и у нас не будет прямого доступа к корневым сертификатам.
Ну да, а людей с хрома ты как будешь на другой браузер пересаживать? Гугл-то его поддерживать не будет.
Хотя конечно снизить долю Яндекса до доли яндекс-браузера законом это смешно
Там вся инструкция-то скачайте, нажмите, нажмите ОК.
Тут только с андроидом последних версий может возникнуть проблема, но для мобильных была идея предустанавливать Касперского, так что и этот сегмент охватим. Нет препятствий патриотам!
Вы переоценивает сложность установки сертификата. ОСи отличаются только количеством кликов на кнопку ОК в процессе. Тем более "красноглазиками" всегда можно пренебречь - хотят Яндекс, пусть сами разбираются.
Приложения на телефоне используют то же шифрование трафика, что и браузер и доверяют +- тем же CA. Не будет поддержки государственного корневого, приложения тупо перестанут работать.
Не работает. Инструкция пятилетней давности. Возможно, кстати, установить профайл левый, там и сертификат будет, но с таким профайлом можно левые приложения ставить на телефон а это вообще зашквар
Успешно сниффаю трафик по работе с «левым» сертом на ведроиде и гейфоне, но там есть нюанс — приложения с certificate pinning работать не будут. А это любые более-менее серьёзные приложения. Тот же аппстор, например.
Просто берешь и заставляешь операторов отправлять в дроп весь трафик, подписанный не нашими сертификатами. И люди сами переползут. Никто этого до сих пор не сделал лишь по той причине, что на время перехода это будет огромный инфраструктурный пиздец, а неграмотность людей не позволит им сделать все самим. Но скоро вся техника будет идти с предустановленным хламом, а на сборщиков компов забьют, мол пускай сами ставят и все. Так что это дело времени.
Никто этого до сих пор не сделал лишь по той причине, что
Это не реализуемо? Как ты из потока шифрованного трафика поймёшь каким сертификатом он зашифрован? Будешь пытаться расшифровать кусок трафика всеми выпущенными сертификатами?
Одно дело запрашивать данные у провайдера (и возможно даже через суд), другое дело иметь прямой доступ к _любым «защищёнными» отечественным сертификатом данным_
После установки гос CA уже будет не важно, кто и с кем сотрудничает. Более того, имея в распоряжении этот центр сертификации и
закон об автономном рунете, государство сможет централизованно подменять Гугл, да и любой другой сайт, на то, что им хочется. Этакий mitm в государственном масштабе, когда вы идете в онлайн банкинг в швейцарском банке, а товарищ майор может посмотреть сколько у вас на счету денег.
Ну можно не ставить этот сертификат и на зашкварные сайты заходить через уведомление безопасности, а как только оно появится на гугле, взять уже заготовленную сумку и валить куда подальше
Там ещё смешно написано, что нужно приделать эту криптографию поверх обычной.
Документ отдельно обязывает организаторов распространения информации (ОРИ), то есть компании, управляющие сервисами по обмену сообщениями, обеспечить возможность использования дополнительного кодирования электронных сообщений с использованием средств шифрования, одобренных правительством
Ничего нового. Для железа эти правила работают сто лет, в той же DFL в русской прошивке отсутствует AES, если не путаю только 3DES есть.
Собственно они добрались до софта, который ввозить не надо скачал и ставь что хочешь.
Эээ, автор. А ничего, что ОРИ должны хранить сами сообщения и предоставлять их по первому требованию? Разве не за это начали гнобить телеграм изначально? Просто они хотят к этому добавить ещё российское шифррвание, чтобы злой запад не смог расшифровать.
Это не про ОРИ. Это про интернет в целом. Вот есть блог у Васи с сертификатом от letsencrypt, а правительство хочет, чтобы вместо богомерзкого letsencrypt был православный "довайзошифруй", иначе Васю нагнут.
А самое смешное в том, что я сильно сомневаюсь, что "довайзошифруй" будет бесплатным. Не для этого у нас законы принимаются. В итоге мы получим, что, в то время как весь внешний интернет шифруется, мелочь рунета начнет массово возвращаться на HTTP, потому что тупо дорого.
Ну если у Васи нет комментов на блоге то он и не обязан ставить этот серт. Разве не об этом закон? Мне больше показалось, что они этим законом хотят "защититься от злобных пиндосских хакеров". Ведь ЦРУ вполне легально может выпустить свой сертификат через легальный СА (или тупо приватный ключ запросить) и расшифровывать
Для того, чтобы ЦРУ могло провернуть подобную схему, например, для сайта кремля, у него должен быть, как минимум доступ либо к серверу кремля, либо к днс, либо к компьютеру клиента. Если есть доступ к компьютеру клиента или серверу кремля, корневой сертификат это оверкилл. А по поводу днс, есть DNSSEC, который решает эту проблему. Т.е. выпуск левого сертификата ничего не решает. Не говоря о том, что на западе за сертификатами следят в т.ч. независимые конторы и просто так что-то выпустить вряд ли получится, начнется вой на весь интернет.
Что касается необходимости только для ОРИ, я вот вижу в тексте фразы про платежные системы и ремарку о том, что проект в доработке. Никто не мешает просто завтра добавить в этот текст запрет на шифрованный трафик, если он не зашифрован ГОСТовскими алгоритмами и отсекать такой трафик на DPI, который развернут в соответствии с законом об автономном рунете. Вон, в Туркменистане с завидной периодичностью перестают открываться сайты по https и ничего, никто не жалуется. Это же все для вашей же безопасности, граждане.
И не убеждайте меня, что я паранойю. Десять лет назад и закон Яровой показался бы бредом сумасшедшего, но, как видите, безграничны две вещи...
