Минцифра хочет запретить использование в России экспериментальных протоколов шифрования DNS over TLS, DNS over HTTPS и ESNI, которые могут применяться для обхода блокировок доступа к запрещенным сайтам. Эксперты предупреждают, что для реализации такого запрета нужно будет блокировать сервера Google, Cloudflare и Cisco.
Законопроект о запрете протоколов шифрования, скрывающих посещение сайтов
Минцифра подготовила поправки к закону «Об информации, информационных технологиях и защите информации» о запрете использования на территории России протоколов шифрования, позволяющих скрыть имя интернет-страницы. Соответствующий документ опубликован на портале regulation.gov.ru.
Документ определяет, что «протокол шифрования, позволяющий скрыть имя интернет-страницы или сайта в интернете – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы».
Использование такого рода протоколов на территории России запрещается за исключением случаев, установленных законом. Нарушение данного запрета влечет приостановление функционирования интернет-ресурса в срок не позднее одного рабочего дня со дня обнаружения данного нарушения уполномоченным органом исполнительной власти. Отметим, что ранее такая норма наказания, как приостановление функционирования интернет-ресурса, в России не применялась.
Почему надо запрещать новые протоколы шифрования
Согласно пояснительной записке к законопроекту, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. «Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)», - утверждают авторы документа.
«Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в России ограничено или запрещено», - отмечается в пояснительной записке.
При этом в Едином реестре российских программ для ЭВМ и баз данных содержатся сведения о протоколах с применением криптографических алгоритмов и методов шифрования, возможных к использованию в соответствии с законодательством России.
Что представляют из себя протоколы, которые предлагается запретить
TLS – базовый протокол шифрования в интернете. DNS – сервис определения IP-адреса узла в интернете по его доменному имени. Обращение к DNS происходит при каждом запросе пользователем доменного имени. HTTPS – версия протокола HTTP, по которому передаются веб-страницы, с шифрованием. Шифрование происходит путем обмена сертификатами между пользователем и серверов.
DoH и DoT – экспериментальные версии DNS, которые работают поверх протоколов HTTPS и TLS соответственно. При использовании таких протоколов интернет-провайдер не видит, к какому домену обращается пользователь, что затрудняет блокировку доступа к запрещенным ресурсам. SNI – технология, которая позволяет передавать имя запрашиваемого пользователем домена при работе по протоколу HTTPS.
Как поясняет эксперт по информационной безопасности и автор Telegram-канала «Лаборатория Артимовича» Дмитрий Артимович, до появления SNI все заголовки в HTTPS были шифрованными. В результате было сложно разместить несколько шифрованных ресурсов на одном сервере: не было понятно, какой домен нужен пользователю, и соответственно, не было понятно, какой сертификат нужно использовать.
SNI решает эту проблему, передавая информацию о домене в незашифрованном виде. ESNI же позволяет передавать имя домена зашифрованным. Упоминание протокола TLS 1.3 в пояснительной записке к законопроекту, скорее всего, было ошибкой, полагает гендиректор хостинг-провайдера «Дремучий лес» и автор Telegram-канала «Эшер II» Филипп Кулин: по всей видимости, авторы документа имели ввиду ESNI, который должен был выйти вместе с протоколом TLS 1.3, но не вышел.
Власти довольно давно начали понимать опасность указанных протоколов. Согласно утвержденному Минкомсвязи в начале 2020 г. плану проведения учений по «суверенному интернету», в 2020 г. должна быть отработана возможность блокировки трафика, защищенного с использованием технологий DoT и DoH.
Мнения экспертов
По мнению Филиппа Кулина, запретить протокол DNS over TLS теоретически возможно – для этого нужно заблокировать соединения с портом «853». А вот в случае с протоколом DNS over HTTPS трафик данного протокола сложно отличить от стороннего трафика. Решить проблему можно будет лишь блокировкой основных серверов DoH, поддерживаемых Google, Cisco и CloudFlare.
Дмитрий Артимович полагает, что запрет DoT может реализовать только интеллектуальный фаервол, который сможет отличать обычный запрос к DNS от шифрованного. Аналогичная история и с запретом ESNI. Но если блокировка ESNI будет налажена, это приведет к недоступности большого числа сайтов.
Кто стоит за идей запретить новые протоколы шифрования
Эксперт телеком-отрасли и автор Telegram-канала «За Телеком» Михаил Климарев отмечает, что законопроект предлагает наказание за использование указанных протоколов для владельцев сайтов. Но использование протоколов в первую очередь зависит от пользователей. В результате чиновники смогут наказать любой сайт в интернете, полагает эксперт.
Климарев полагает, что ответственным за разработку данного законопроекта является замминистра цифрового развития Олег Иванов, чьи фамилия и инициалы стоят в поле «ФИО руководителя (заместителя руководителя) принявшего решение об отказе от размещения уведомления» карточки законопроекта на сайте regulation.gov.ru.
В 2018 г. Олег Иванов был замруководителя Роскомнадзора и руководил блокировкой мессенджера Telegram, которая привела к перебоям в работе большого числа интернет-ресурсов и в этом году была полностью отменена. Сейчас Иванов курирует в Минцифре телекоммуникационную отрасль. Недавно он также стал куратором федпроекта «Информационная безопасность» нацпрограммы «Цифровая экономика».
«Либо Иванов некомпетентен, предлагая такой законопроект, либо его кто-то подставил», - резюмирует автор Telegram-канала «За телеком» Михаил Климарев.
Как в России хотели запретить протокол UDP
В России не впервые рассматривается идея блокировки отдельных интернет-протоколов. В 2015 г. Институт развития интернета (ИРИ) по поручению Президента России Владимира Путина готовил Программу развития интернета и соответствующие дорожные карты. Одним из пунктов дорожной карты «Интернет + Медиа» была идея запретить протокол UDP, на базе которого работают торрент-трекеры. Авторы документа предполагали таким образом решить проблему интернет-пиратства.
UDP и TCP – два базовых протокола интернета, относящихся к транспортному уровню стека протокола TCP/IP. Блокировка этого протокола могла бы привести к катастрофическим последствиям для интернета, и ИРИ от этой идеи отказался.
Комментарии
воз чего? Минцифры еще только предложило
Настроил на роутере DNS-over-HTTPS. Доволен.
Принять можно что угодно. А вот добиться исполнения - уже нет.
ЭТО - не взлетит, ЭТО может только убить российский сегмент интернета (а потом всё равно быть отменённым).
Это как отмена SSL-сертификатов, только уже добровольно, для всего российского интернета, и под самый корешок, чтобы ничего не выросло. Поверх этого - проблемы даже внутри страны даже с русским бравзером на русской опсистеме для всех сайтов, которые реально требуют защиты. Ну то есть, всего бизнеса + все реально необходимые (а не котиков поглядеть) интернет-услуги частникам - банков, госуслуг, страховок и т.п.
Не ссать. До вас дойдёт ещё нескоро.
До нас - это до Европы, типа? КМК, никогда не дойдёт. Это чисто технически дурь и выстрел себе в ногу.
Собссно, шифрование - как раз на стороне правоохранительных органов: это единственный способ быть уверенным откуда куда идёт информация. Сайты можно блокировать - это не проблема и шифрование с ключами предоставляют докаазтельную базу в суде. А вот как можно будет воевать в мире "наивного" интернета а-ля "на дворе 1995-й год" - не представляю.
Причём, весь мир будет защищён, и только в России кто угодно может подделывать что угодно, и его (на современном уровне, но без средств современной защиты трафика) будет практически не отследить.
...
Ну а про то, что сразу отрубается критический уже функционал вроде банковских приложений (а заодно и весь бизнес-2-бизнес, госуслуги, интеграция госслужб), я уже сказал.
Этот идиотизм лишь показывает, какие дебилы порой занимаются законотворчеством.
Тут, скорее, тройной фейспалм нужен.
Пожалуйста:
Да, это подходит.
Блин, ну хоть бы пару людей поумнее пригласили бы на "обкатку" текста, прежде чем выдвигать.
что за бред
достаточно чуток подправить закон - после слов запретить протоколы имярек добавить ", кроме обращений к DNS, аккредитованным при правительстве РФ"
аккредитация включит в себя оперативный доступ к спискам запрещенных сайтов, оперативный доступ к снятию логов по IP и, желательно, нахождение на территории РФ.
следующий шаг - ФСБ создает зеркала DNS и аккредитует их. Штук пять серверов, территориально распределенных хватит. Остальной трафик к DNS режется к чертовой матери...всё
Нет, этого недостаточно: ДНС-записи же кешируются. Кроме того, имеем-то законопроект именно в том виде, в котором имеем. Опять же - я соединяюсь по VPN, и уже внутри VPN-трафика пользуюсь всеми зарубежными ДНС и вообще чем угодно. VPN запрещать? :) Ну-ну. Вся корпоративная работа сразу нафиг.
Были бы умнее - потребовали бы от всех сайтов в обязательном порядке использовать протоколы и сертификаты унаследованные от заверенных ФСБ.
если бы да кабы
для DNS указанный мною способ сработает?
да
а для VPN на всех 140 млн пользователей не напасёшься серверов...дорогое это удовольствие, для каждого поста в фейсбучке лезть на VPN...пользователи со временем просто плюнут и перейдут на котики других сайтов - как в Китае
чего и надо было добиться
без массовости и удобства фейсбук не фейсбук и нахер никому не нужен и даром
танцы с бубном - это для палаты умалишённых
а обывателю нужны всего лишь котики и порнуха - без VPN и других ваших глупостей
Кого когда интересовали интересы населения. Тебя сейчас чьи интересы интересуют? Москальские? Да ради Бога. Заинтересуйся хоть вусменть, мы не заметим, долбаный ты лимитроф.
*ОБН
вы чего влезли? По существу есть что сказать?
задача суверенного интернета интересна сама по себе, меня зацепило, что ваша пятая колонна злорадно ехидничает и похихикивает над неудачами правительства...при этом уверен, что вполне реально найти верный баланс правовых, психологических и ИТ решений, чтоб найти решение этой задачи
запрещать полностью не надо
просто надо сделать так, чтоб большинству населения было неинтересно преодоление барьера
и чтоб были альтернативы
и насчёт "интересов населения" - не уверен, что население, о котором вы печетесь, найдет разницу в разглядывании котиков в фейсбуке и разглядывании котиков вконтакте, одноклассниках или тик-ток
нам, населению, по большому счету - нас рать
котики - они и в африке котики
Мне до всего есть дело. И я всегда на это всё буду своё мнение иметь и выражать.
ради бога, если без хамства
Договорились. :)
при чем здесь ssl? Он применяется для шифрования пользовательских, а не служебных данных.
Государственной электронной библиотеке не дают покоя лавры флибусты?
Что-же сразу не рунет?
Ну, у китайцев получилось же контролировать свой интернет
Путем разработки всего своего. Но в Китае рынок на порядок больше, поэтому это экономически имеет смысл.
Стоп, мы всё же не деньги обсуждать пытаемся. А технические возможности
Верно. Интернет сейчас - это такой-же стратегический ресурс, как танки, самолёты и ракеты в прошлом веке. Если не больше. Разрывы ментальных бомб мы видели вна 404, сейчас видим в бульбостане, но своё чистилище мы прошли. С кровью, с мясом, с ооочень большим трудом. А этим двум малолеткам только придётся это всё пройти.
Не хотел бы хвалиться, но все эти события я ванговал задолго до 2014-го. Кто не верит - поройтесь в моих 60К+ каментах. Это не шутка. Про хохлов до переворота 2014 ещё можно было ванговать, но я писал, что следующей будет бульбашия. Я тогда даже про бацьку ничего толком не знал, не говоря уж про его сына. Это так, вспомнилось.
Можно воспитывать патриотов и умных людей, а можно - считать всех дебилами не способными отличать хорошее от плохого.
Власть прогнозируемо идет по второму пути максимально закручивая гайки и взращивая безинициативного, беззубого потребителя не способного к логике и интелектуальной работе.
Наполовину согласен. Власть не там ведёт пропаганду - это раз. Два - она не банит "вражеские голоса", как это делают наши "партнёры". Да, согласен, запретный плод сладок, и упоротый корешь всегда подкинет ссыль на VPN, но количество опендошенных условных Овцев уменьшится в десятки раз. Сейчас не 70-80-е, информацию можно черпать откуда угодно, И! ОСОБЕННО ВАЖНО - ТРАНСЛИРОВАТЬ НА СОБАЧЬЕЙ МОВЕ ПРАВДУ ПО ВСЕМ ВОЗМОЖНЫМ КАНАЛАМ! РТ куда делся? Его, по ходу, банят везде. Выходцы из СССР, смею предположить. Тоже опендошенные.
Нельзя банить. Не потому что нельзя, а потому что это ведет к двум очень плохим итогам. Первый ты правильно отметил - запретное притягивает, а еще это приводит к эскалации цензуры. Любая власть и бюрократическая система постоянно должна генерировать деятельность и она не может ослабить цензуру -только увеличить (иначе спросят, а зачем нам столько надзоровцев?) . Второй - запрет приводит к выращиванию инфантилов. На чем погорел поздний СССР. Взрослый, воспитанный и думающий человек сам вполне может разобраться что ему читать, смотреть и слушать. Если у него это отобрать - это не взрослый, а ребенок. И когда потребуется от ребенка взрослые действия - он будет на это неспособен. 80-90е отлично это показали, большая часть населения страны просто не смогла жить при капитализме, потому что росла в полностью контролируемой закрытой среде.
Запреты никогда не приносили гарантированных результатов, только воспитание (т.е. формирование правильного мышления). Иначе любая дырка приведет к массовой эпидемии хоть мозговой, хоть медицинской.
Мало того банить. Сажать нужно. Возможно и расстреливать. Представим себе в 1941 за слова нельзя банить листовки Геббельс вас бы как минимум посадили, а скорее всего расстреляли. Вы никак не поймёте. Идёт война. Война народная. Недалеко осталось до священной. Всему свое время.
Много помогло СССР глушение Радио Свобода, Голос Америки, БиБиСи?
Вы взрослый человек и можете сами оценивать информацию или вы маленький ребенок которому большие дяди и тети должны рассказать?
Сравните - страх перед наказанием или сознательный отказ - что более действенно, устойчиво и эффективно?
Демагогией не занимайтесь. В 1941-1945 банили сажали расстреливали и победили. В 60-70х не банили не сажали не расстреливали и непобедили. Тчк.
Ну, не тотальная цензура, а "ментальный карантин" совсем уж отбитых пропагандонов. Это как в живой природе - вирусы необходимы, чтобы поддерживать в тонусе эндокринную систему. В Союзе же была почти полная стерильность. Вот и проТБМали страну.
А про воспитание и образование я тут с первых дней регистрации долбил и долблю. И буду долбить.
Тут не карантин нужен, а лечение. Что несколько другое.
Качественная честная контрпропаганда. Чем мы и занимаемся, но катастрофически мало.
Именно! 90% пользователей нет необходимости "искать странного". Я вообще перенес, страшное!!! создание "чебурнета" без последствий. За LinkedIn обидно, ну и х... Если надо, то можно.
ЗЫ. ИМХО - идиоты, их бы рвением да "динаму" крутить!.. (перефразировал)
На войне как на войне. На проблемы бизинеса в военное время насрать. А уж банкам дать по сусалам вообще сам Бог велел.
Ну так они же и по-умному делали.
Всё-таки технократы у власти - сила.
В России 20 лет власти жужжали и дудели во все уши, что интернет - новые медиа, в будущем несопоставимые по влиянию ни с чем, их нужно их как-то контролировать.
Мысль до адресата как бы дошла, но вот подумать её, похоже, просто нечем.
Честно говоря не понимаю всей этой возни. Хотят бороться с пиратством и распространением различной противзаконной информации (экстремистская, криминал, детское порно и т.д.)? Есть офигенный способ. Обрубаем весь интернет из-за рубежа. Физически. Просто уничтожаем кабели и хабы. Потом запрещаем все сайты в рунете, оставляем только яндекс карты, вк и госуслуги. Делаем подключение только по паспорту.
Профит.
Мне кажется нашей верхушке это очень понравится.
Хороший вариант. Нужно взять на вооружение.
Вот ключевое. Причём тут конкретный сайт, и за что его блокировать?
У меня, например, давно OpenNIC DNS сервера в настройках. А там и с DoT, и с DoH можно найти.
Так а что, ДНС - единственный способ блокировки, что ли? :) С повсеместным СОРМ-2? :)
Гы. :)
Самый простой и дешёвый. Но далеко не единственный, и уж точно никак не надёжный. Надёжный - это чёрные списки по ИП на всех рутерах на ексченджах и ящиках СОРМ. Не идут пакеты, не роутятся. И всё, точка. Пауза.
В смысле ключевое? наоборот в этом куске текста прямая манипуляция и передергивание - не от пользователей протоколы зависят а от владельцев сайтов - по каким протоколам сайтам пропишут работать, по тем они и работают... пользователь максимум выбирает по какому из предложенных/поддерживаемых сайтом протоколов ему работать.
Взоржал
А можно всё это перевести на человеческий?
VPN в Opera будет работать? Если да, то насрать на их танцы с бубнами
Как только найдут сервер, который обеспечивает работы VPN, то заблокируют и уже не будет работать. Механизмы обхода с помощью шифрования как раз и обсуждают к запрещению.
Так что же они до сих пор не заблокировали? )
VPN встроенный в браузер это самый простой и доступный ВСЕМ способ обхода ВСЕХ блокировок.
Кто дурак-то?
До той поры, пока кто-то не нажал на кнопку и не поотрубал все VPN-сервера. :)
А не заблокировали по простой и очевидной причине: сейчас люди, фактически, сами докладывают о своём желании ходить по запрещёнке.
Недаром во все популярные клиенты Тора поставлены бекдоры, и включающийся удалённо логгинг. :) А в некоторые - даже анализаторы трафика. :) Всё, что после этого нужно сделать - привязать ИП к адресу и личности и написать скриптик, раскладывающий компромат по папочкам, а о доморощенных террористах сразу высылающий оповещающий е-мейл. :)
TOR это особый разговор, он сам ищет доступные VPN, их список постоянно обновляется. Но Opera!!! Там постоянно видны адреса серверов VPN, которые используются для обхода блокировок. Блокируй их и нет проблем.
Сдается мне, что вся эта борьба с пиратством клоунада и театральщина, ответственные и реально понимающие сливают её по полной вполне осознанно. Надо же небогатым россиянам где-то пополнять коллекции не только фильмов, но и расчетных программ ;)
С пиратствующими частниками и в европах не особо борятся: зачем?
Пираты - не покупатели в абсолютном большинстве случаев. Так, "резервная статья", на случай если надо нажать (оштрафовать, посадить, убедить), а до персональной горничной по статусу чел никак не дотягивает.
Нет, не будет. Сама суть VPN в шифровке сильными протоколами, обёртке всего трафика до гейта.
Технически заблокировать SSL, TLS и всё это добро несложно: просто по известным заголовкам протоколов. Ящики СОРМ уже стоЯт. Но вот интернет (в том числе, внутренний) сразу превращается в тыкву. :)
Наши стоило-бы ознакомится о создании Великого Китайского Файрвола ака Золотой Щит ...
Выскажу свое бесценное мнение и постараюсь объяснить свою шизофреническую позицию, где я одновременно и за запреты и за свободу интернета.
Запрет экстремистских сайтов это для неокрепших умов. Полагаю если человек способен обойти запреты комнадзора, то начитавшись каких-нибудь чиканутых ваххабитов или насмотревшись особо забористой порнухи, с большой долей вероятности, он не побежит на улицу с голым уем и криками алахакбар.
Найти способ обойти запреты это своего рода интеллектуальный ценз. Не можешь сообразить, так может и не стоит тебе туда ходить? Мало ли как на твой ум повлияет?
Запреты нужны, но должна оставаться лазейка. Вот если копирастическое лобби сумеет все-таки бесповоротно запретить торренты, тогда да, пора выходить на митинги за свободу интернета.
Страницы