1749

Надо больше запретов, давайте сразу запретим Интернет!

Минкомсвязи в понедельник выложило проект изменений к ФЗ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которым:

Запрещается использование <…> протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» <…> Нарушение запрета <…> влечет приостановление функционирования Интернет-ресурса <…>


Буквально это звучит так: если посетитель сайта использует протокол шифрования, позволяющий вот это все, мы заблокируем посещенный сайт. Как всегда, логично, но дальше еще интереснее:

Протокол шифрования, позволяющий скрыть имя (идентификатор) Интернет-страницы или сайта в сети «Интернет» – это абстрактный или конкретный протокол, включающий набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационные процессы.


Я даже знаю, откуда автор-дегенерат выкопал это определение – из Педивикии, где оно звучит чуть-чуть иначе и относится немного к другому термину:

Криптографический протокол – это абстрактный или конкретный протокол, включающий набор криптографических алгоритмов. В основе протокола лежит набор правил, регламентирующих использование криптографических преобразований и алгоритмов в информационных процессах.


Но самая мякотка – в пояснительной записке к этому высеру законопроекту.

По экспертным оценкам возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS).


Тут я окончательно запутался, протоколы шифрования – это хорошо или плохо? Мы их запрещаем, или переживаем, что от них что-то скрывают? А TLS 1.3 чем особенно плох, что мы его запрещать собираемся? А как же другие версии TLS, их тоже запрещаем, или как? А сайты Минспорта и ФМБА, где сейчас используется TLS 1.3, блокировать будем или это как раз «кроме определенных законом случаев»?

Из-за чего вообще сыр-бор, рассказываю. Хотим мы зайти на Пикабу, набираем pikabu.ru в адресной строке, браузер без понятия, что это и где, и обращается к специально обученному «справочнику» – DNS-серверу, который отвечает: это на IP 212.224.112.193, туда иди, там узнаешь точнее. Не спрашивайте, почему такой порядок, так устроен Интернет by design и всё.

Вдруг Роскомпозор решает объявить Пикабу террористическо-юмористическим сайтом, запрещенным к распространению на территории Российской Федерации. Что он делает? Приказывает всем российским провайдерам при обращении к их DNS-серверам в поисках pikabu.ru отвечать «Не положено!» Если клиент провайдера прямиком ломится на Пикабу, то тупо переадресовывать его на заглушку «Сайт внесет в список всего нехорошего».

Но мы ребята ушлые, мы умеем шифровать свой трафик и можем обращаться за «справками» и к иностранным DNS-серверам, которые хер клали на Роскомпозор и его представления о прекрасном. Роскомпозор в ответ требует у российских провайдеров фильтровать DNS-запросы, отсекая те из них, которые касаются запрещенных сайтов. Мы шифруем свои DNS-запросы (DoH или DoT), Роскомпозор заставляет провайдеров блокировать такие запросы. Мы в конце концов руками указываем IP сервера, где живет Пикабу и обходимся вообще без DNS-запросов.

Роскомпозор чешет репу и вспоминает про такую особенность протокола HTTPS, как SNI – Server Name Indication. Фишка в том, что даже если мы шифруем весь свой трафик (то есть, заходим на Пикабу по HTTPS), то весь он идет зашифрованным (что и где мы смотрим, никто по дороге узнать не может), но вот самый первый запрос содержит незашифрованное имя сайта, к которому мы обращаемся.

Привет, 212.224.112.193, мы пришли на pikabu.ru! Дальше все скрыто завесой мглы шифрования, но вот эта фраза передается открытым текстом, by design. Провайдерам поручается блокировать HTTPS-соединения, где SNI содержит имя запрещенного сайта. Мы отвечаем использованием зашифрованного SNI (Encrypted SNI, ESNI). Роскомпозор запрещает ESNI целиком и полностью… а заодно и TLS 1.3, чтоб два раза не вставать, видимо (но это неточно).

Сдается мне, этот высер похоронят, во всяком случае, в текущем виде. Но это тоже неточно…

Информационная безопасность

1.3K постов23K подписчика

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Подробнее
Лучшие посты за сегодня
6434

Вы не понимаете...

Вы не понимаете... Курение, Соседи
5898

Вот как

Вот как
5232

Надо все успеть

5196

Настоящий умный дом

Настоящий умный дом
4875

Здравствуйте я на пересдачу

Здравствуйте я на пересдачу Криминальное чтиво, Юмор, Раскадровка, Повтор
Показать полностью 1
4703

Ответ на пост «Я тоже видел короткое собеседование» 

4154

Спалил хозяйку

3988

Упс...

3935

Взрослая уже...

Взрослая уже...
3322

ФСБ накрыла в Дагестане подпольную типографию. Изъяты 12 млн поддельных рублей

ФСБ накрыла в Дагестане подпольную типографию. Изъяты 12 млн поддельных рублей Скриншот, Юмор, Дагестан, Комментарии на Пикабу
3312

Переиграл и уничтожил

Переиграл и уничтожил
3248

Прокручивая в голове - как нужно было поступить?

3125

Не сработало

Не сработало Снег, Картинка с текстом, Уборка, Алексей Навальный, Политика
2989

Живые ископаемые в наших лужах

2846

Ответ на пост «У челябинки арестовали дом за долги 400 человек»

Ответ на пост «У челябинки арестовали дом за долги 400 человек» Долг, ФССП, СНИЛС, Продажа авто, Судебные приставы, Произвол, Длиннопост
Показать полностью 1
2795

Выдали ноутбук для работы

Выдали ноутбук для работы Евротур, Флюгегехаймен, Работа, Ноутбук
2580

Ответ на пост «Доверие» 

2411

Собеседование не только для работодателей

Собеседование не только для работодателей
2391

Более всего на свете прокуратор ненавидел запах розового масла

Более всего на  свете  прокуратор ненавидел запах розового масла Память, Михаил Булгаков, Юмор, Картинка с текстом, Понтий Пилат, Мастер и Маргарита
Показать полностью 1
2335

В Гастрономе

Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: