"Атака посредника": рунет может пойти по иранскому пути

  • 16 февраля 2016
Правообладатель иллюстрации Thinkstock
Image caption Чаще всего безопасный протокол передачи данных используется в соцсетях и электронной почте

В России может появиться национальный удостоверяющий центр, который будет выдавать сертификаты подлинности и безопасности сайтов (SSL). Сторонники идеи хотят сделать рунет независимым от западных центров, сертифицирующих даже российские госдуарственные сайты. Противники говорят, что это путь к "большому брату" и, возможно, перлюстрации всей коммуникации россиян в сети.

Почему SSL - это важно?

SSL (уровень защищённых сокетов) - это протокол передачи данных между интернет-пользователем и сайтом. Он шифрует данные, так что при передаче они оказываются недоступны третьей стороне.

Если сайт использует SSL, его подлинность подтверждается электронным сертификатом. Как правило, адреса таких сайтов начинаются с "https://". Таким сайтам можно доверять пароли, коды банковских карт и личную переписку.

Выдачей сертификатов занимаются удостоверяющие центры. Обычно это частные компании или их подразделения с неоспоримой репутацией. Если программа, которая связывается с интернетом, доверяет удостоверяющему центру и его сертификатам, проблем с заходом на сайт не возникает. В противном случае браузер предупреждает пользователя об опасности.

В браузере Google Chrome, например, предустановлено более 200 сертификатов. Среди них популярные американские GeoTrust, Comodo, Thawte, но также сертификаты удостоверяющих центров из Китая, Швейцарии, Японии, Турции и других стран. Принцип, по которому разработчики отобрали именно эти сертификаты, известен только им самим.

По чьим стопам идет Россия?

Понятие SSL хорошо знакомо интернет-пользователям из Ирана. В Исламской Республике блокируются сайты, которые не используют местный государственный протокол безопасности. Этот протокол, в свою очередь, не признается большинством популярных браузеров. В результате иранцы вынуждены пользоваться государственным браузером Saina, а пользователи из остального мира при попытке зайти на иранский сайт через зашифрованный протокол получают предупреждение об опасности.

Государственный браузер "Спутник" в России уже есть, а вот до удостоверяющего центра и протокола безопасности у властей руки, видимо, не доходили. Как сообщил в понедельник, 15 февраля, "Коммерсант", соответствующая работа ведется рабочей группой "Интернет плюс суверенитет", которая создана для исполнения поручений Владимира Путина по итогам форума "Интернет-экономика", прошедшего в декабре прошлого года.

Чего опасаются власти?

Возглавляет группу глава Фонда информационной демократии, экс-замминистра связи Илья Массух. Он сообщил Русской службе Би-би-си, что создание удостоверяющего центра "обсуждается, хотя это далеко не главный вопрос".

"Де-факто государственные сайты пользуются зарубежными сертификатами, де-юре это вообще-то запрещено согласно постановлению правительства, - говорит Илья Массух. - Идея в том, чтобы создать центр (не обязательно государственный) выдачи корневых сертификатов для сайтов, которые находятся в российской юрисдикции, чтобы не было возможности отозвать сертификат и тем самым сделать соединение небезопасным. Государство активно взаимодействует с обществом в интернете. И государство может быть скомпрометировано, если при этом будет использовано небезопасное интернет-соединение".

Правообладатель иллюстрации RIA
Image caption Владимир Путин на форуме "Интернет-экономика": власти дают понять, что шаги по изменению рунета поддержаны президентом

Государственные сайты действительно сертифицируются западными удостоверяющими центрами - сайт Госдумы, например, имеет сертификат Go Daddy, а сайт Роскомнадзора - сертификат Comodo. Но прецедента, чтобы подобный центр неожиданно отзывал сертификат, еще не было.

"Доверие к удостоверяющему центру - это вопрос его репутации и рыночной капитализации, - комментирует политик, основатель Общества защиты интернета Леонид Волков. - Удостоверяющий центр выступает чем-то вроде нотариуса и не может просто отозвать свою подпись с документа. К тому же информация о выданных сертификатах заносится в реестры. Готовиться к тому, что американский удостоверяющий центр отзовет сертификат сайта госуслуг - это либо намеренное введение в заблуждение, либо просто глубокое непонимание того, как устроена инфраструктура".

Чего опасаться пользователям?

По словам Волкова, если государство продавит предустановку своих сертификатов в популярные браузеры, это позволит властям осуществлять так называемые "атаки посредника" (MITM). То есть власти смогут не только отслеживать, но и удалять и искажать информацию, которой обмениваются пользователи интернета. В Иране этот метод использовался в 2011 году против пользователей сервисов Google.

"Пока, правда, у российских властей не получается давить на интернет-компании. Вспомните, например, как пытались локализовать персональные данные россиян на территории страны. Ни Facebook, ни Twitter, ни Apple не пошли у них на поводу", - резюмирует Волков.

Новости по теме