На днях глава Минцифры Максут Шадаев прокомментировал [1] законопроект по запрету протоколов шифрования [2] и тут важно помнить чуть подробнее о контексте его принятия (решении Совбеза) [3]
Переводя его слова с русского на русский звучат они следующим образом:
1. Мы понимаем ваши опасения, но есть ещё экстремисты и др. трафик которых надо перехватывать.
2. Британцы в 2019 году сделали то же самое (договорились с Mozilla)
3. Будем искать компромиссы по итогам общественного обсуждения.
Последний пункт можно трактовать как "мы специально строго написали чтобы потом не всё запретить", приём вполне понятный, применяется много где.
Так вот комментарии на комментарии будет странным жанром, ругать министров нынче может каждый (дело то нехитрое), а хвалить любого действующего чиновника я считаю неприличным, так что я постараюсь изложить текущую ситуацию с учётом слов министра в контексте.
Вначале про британский опыт и Mozilla. Осенью 2019 года, компания Mozilla закончила с локальными
экспериментами с протоколом DoH, позволяющем скрывать DNS запросы от инструментов перехвата сетевого трафика, и решили включить его в браузере как опцию по умолчанию для пользователей в США. На эту ситуацию очень обеспокоились в Великобритании и Алан Девидсон,вице-президенту Mozilla по глобальной политике, безопасности и приватности, написал письмо Никки Морган [4], секретарю по делам культуры UK, о том что у Mozilla нет планов включать эту опцию по умолчанию для граждан Великобритании, до завершения обсуждения со всеми частными и государственными сторонами.
Чтобы было понятно почему они на это пошли, ранее другие НКО осуществляющие мониторинг и борьбу с педофилией и эксплуатацией детей в сети написали письма, например, письмо от Internet Watch Foundation (IWF) [5] той же Никки Морган о том что включение DoH в браузеры поломает систему фильтрации ссылок. IWF занимается этой деятельностью более 24 лет и от неё выступают многие лорды и баронессы в Великобритании, поэтому проигнорировать их письмо никак не могут. Это всё, конечно, не исключает ситуации когда и само правительство Великобритании заинтересовано в возможности перехвата DNS запросов, но публично декларируемой целью это не является.
Иначе говоря, история с DoH и Mozilla в Великобритании, на самом деле, такова:
- Mozilla не ввели эту опцию по умолчанию, но она осталась в браузере и любой может включить
- нет запрета на использование DoH частными лицами и компаниями
Ситуация в России принципиально иная:
1. Обратите внимание что в России нет контекста по диалогу с Mozilla как это происходит в Великобритании, есть прямой запрет. Это делает отсылку к британскому опыту нерелевантной, предлагаемая модель куда ближе к моделям блокировки в некоторых арабских странах где на использование VPN необходимо получать дополнительное разрешение.
2. В документе законопроекта нет конкретики по блокируемым протоколам, а в пояснительной записке указан протокол TLS 1.3. Это последняя версия протокола через который работает, например, практически вся защищённая коммуникация с сайтами HTTPS. При этом важно помнить что, вообще-то, современные браузеры уже почти не поддерживают старые редакции протокола SSL 3.0, TLS 1.0, TLS 1.1. Запрет или ограничения на TLS 1.3 - это запрет любой безопасной передачи данных.
3. Ещё один важный аспект, в том что государственные службы это далеко не единственные структуры которые могут хотеть знать о том какие сайты Вы посещаете, какие страницы и что Вы им передаёте.
И не стоит полагать что у государства есть какие-то уникальные технологии перехвата трафика которых нет у хакеров и корпораций.
Перехват Вашего трафика, как минимум, это то что интересует Ваших: провайдеров (сотового, Wi-Fi, проводного), работодателя (особенно крупные компании с дорогой интеллектуальной собственностью), зарубежные разведки, хакеров со
специализацией на корпоративном шпионаже, компании конкуренты, подростка младохакера из соседнего подъезда и ещё многих и многих.
