Разделы

Бизнес Законодательство Интернет Интернет-доступ Маркет

Рунет принудительно переведут на российское шифрование

К законопроекту о автономном Рунете разрабатываются поправки, требующие внедрения в российском интернете отечественных систем шифрования. Изменения могут отразиться на деятельности зарубежных ИТ-компаний в России, которые силу определенных бюрократических сложностей не смогут выполнить новые требования. Также переход на российские алгоритмы может дать отечественным силовым структурам неограниченный доступ к трафику и каждого россиянина.

Шифрование по-русски

Комитет Госдумы по информационной политике разработал поправки к закону о суверенном Рунете, внесенном на рассмотрение в декабре 2018 г. и принятом в первом чтении в феврале 2019 г. Подготовленные изменения обязывают шифровать абсолютно весь трафик, проходящий через российский сегмент интернета, при помощи отечественных средств криптографии, сообщает РБК.

В тексте поправок, уже подписанном главой комитета Госдумы Леонидом Левиным, говорится следующее: «Распространение или предоставление информации в электронном виде осуществляется с использованием кодирования такой информации. Правительство Российской Федерации устанавливает порядок выдачи и использования кодов и средств шифрования, необходимых для кодирования информации, а также определяет лиц, уполномоченных выдавать такие коды и средства шифрования». Как отметил сам Левин, поправки еще находятся в разработке. От дальнейших комментариев глава комитета отказался. Добавим, что эти и другие поправки к закону о суверенном Рунете будут рассмотрены депутатами Госдумы в рамках второго чтения, дата проведения которого по состоянию на 2 апреля 2019 г. не назначена.

Зашифруют всех

Если новые поправки к закону об автономном российском интернете будут приняты, то подчиниться им будут вынуждены все так называемые «организаторы распространения информации» (ОРИ). Соответствующий реестр ведет Роскомнадзор, и в настоящее время в него входят уже более 170 компаний. К ОРИ относятся, в частности, холдинг Mail.Ru Group, интернет-гигант «Яндекс», мессенджеры Wechat и Telegram, а также Сбербанк и Opera Software – разработчик одноименного браузера.

spy602.jpg
Рунет могут отключить от всего интернета

По мнению генерального директора Института исследований интернета Карена Казаряна, российские методы шифрования после вступлении закона о суверенном Рунете в силу должны будут использовать все отечественные ИТ-компании, в том числе и разработчики программного обеспечения для работы в интернете – мессенджеров, обозревателей и др.

Вместе с ОРИ российские системы шифрования будут принудительно внедрены во все государственные информационные системы. Другими словами, алгоритмы интегрируют в портал «Госуслуги», систему госзакупок и другие государственные ИТ-проекты.

Возможные риски

Переход на использование российских технологий криптографии, добровольное или принудительное, может усилить контроль над всем трафиком со стороны отечественных силовых структур, считают опрошенные РБК эксперты. Располагая ключами дешифровки, силовики смогут отслеживать трафик любого пользователя с минимальными затратами.

spy601.jpg
Российская криптография не защитит от пристального внимания отечественных спецслужб

В настоящее время сделать это не так просто, особенно когда речь идет об иностранных компаниях. Ярким примером служит мессенджер Telegram – основатель проекта Павел Дуров отказался делиться с российскими силовыми структурами ключами дешифровки пользовательских сообщений, в результате чего мессенджер был заблокирован Роскомнадзором на всей территории России в апреле 2018 г. Это привело к массовому сбою в работе других сайтов, но при этом сам Telegram продолжил работу, несмотря на все усилия Роскомнадзора.

Независимый эксперт Алексей Семеняка полагает, что российские власти будут продвигать отечественные алгоритмы шифрования в качестве новых средств защиты от различных угроз, как внутренних, так и внешних. Карен Казарян считает также, что внедрение российских средств шифрования может не лучшим образом отразиться на деятельности иностранных ИТ-компаний, состоящих в реестре ОРИ. По его словам, не все предприятия пойдут на выполнение новых требований, а те, кто все же решится следовать новой букве закона, могут столкнуться с экспортными ограничениями и в итоге не смогут внедрить новые алгоритмы криптографии.

Практически монополия

Российский рынок средств криптографической защиты информации, по данным РБК, на II квартал 2019 г. включает не так много игроков – его поделили между собой две компании, на двоих владеющие 90% его долей. Это «Инфотекс» и «Код безопасности», входящий в холдинг «Информзащита». Оставшиеся 10% рынка поделены между намного менее крупными игроками. Следует отметить, что осенью 2018 г. «Инфотекс» попала под действие западных санкций за «способствование злонамеренной деятельности в киберпространстве.

Поддержка ИТ-компаний и миллиардные расходы

Закон о суверенности Рунета, вызвавший много вопросов у россиян и ставший причиной крупного митинга в Москве в марте 2019 г. (количество участников превысило 15 тыс. человек) активно поддержали крупные российские ИТ-компании, включая Mail.Ru Group и «Яндекс». Операторы связи «Мегафон», МТС и «Вымпелком», напротив, раскритиковали текст документа, попросив о его детальной доработке.

Реализация всех требований нового закона потребует вложений, исчисляющихся десятками миллиардов. Если изначально, по подсчетам сенатора Андрея Клишаса, одного из авторов документа, размер необходимой суммы составлял в пределах 20 млрд руб., то теперь цифра увеличилась.

По новым данным, обеспечение безопасности российского сегмента интернета от внешних угроз (а именно это – официальная причина продвижения законопроекта) потребует вливаний в размере не менее 30 млрд руб., и около 21 млрд руб. из этой суммы пойдут на закупку необходимого оборудования. При этом ежегодные вложения для поддержания работоспособности суверенного Рунета, по оценке специалистов Экспертного совета при правительстве России, могут достигать 134 млрд руб.

Дополнение

После публикации этого материала представители компании «Инфотекс» обратились к CNews с просьбой опубликовать комментарий на тему недекларированных возможностей в отечественных алгоритмах шифрования.

Если обратиться к первоисточнику по теме – статье Лео Перрина, то в ней дается только предположение о наличии алгоритма построения S-box, при этом сразу же, без каких-либо обоснований и примеров реализации атак на рассматриваемые криптоалгоритмы «Стрибог» и «Кузнечик», делается вывод о наличии в них недекларированных возможностей, т.е. закладок. На наш взгляд, эта публикация носит явно спекулятивный характер и имеет своей целью срыв работ российских экспертов по продвижению указанных криптоалгоритмов в международные стандарты ИСО.

Для интересующихся темой хотим отметить, что построение надежного S-box является одной из важнейших и сложных задач современной криптографии. И ни в одном из принятых к использованию национальных, в т.ч. и стандартизованных криптоалгоритмов, включая AES и Keccak (SHA-3), S-box’ы не являются чисто случайной последовательностью. При выборе S-box анализируется целый ряд параметров: нелинейность, алгебраическая степень, алгебраическая иммунность и т.п. Все оптимизировать одновременно невозможно. Поэтому разрабатываются разные методы оптимизации и оценки стойкости, что в итоге и приводит к псевдослучайности выбранных S-box. Таким образом, такое свойство S-box следует считать нормой, а не чем-то аномальным, вокруг чего можно сразу выстроить множество «теорий заговора».

Техподдержка «Базальт СПО» — гарантия надежной работы вашей ИТ-инфраструктуры
Маркет

Эльяс Касми