среда, 21 сентября 2016 г.

О расшифровке трафика


Похоже на то, что «Великий российский фаервол» получит поддержку HTTPS inspection. И в этой связи, появляется несколько вопросов.  

Вопросы обеспечения неприкосновенности личной жизни и тайны связи оставим за рамками, как неактуальные.

Во-первых, кто в итоге будет нести ответственность за безопасность данных? Как гражданин, и, например, банк будут уверены в безопасности операций, если трафик где-то по пути расшифровывается? И кому будут предъявляться претензии в случае убытков? 

Во-вторых, как быть с Tor, I2P, VPN и так далее? Можно пытаться расшифровать HTTPS-трафик, но тогда граждане массово начнут использовать, например, Tor (хотя бы потому, что Tor-браузер не будет постоянно ругаться на поддельный сертификат). Без запрета на использование гражданами средств анонимизации и шифрования, у всей затеи будет сомнительный результат. И, похоже, запрет на шифрование будет следующим логичным шагом после внедрения системы.

В-третьих, как уже говорилось в исходной статье, как заставить браузер доверять УЦ, выпустившему сертификат для «великого фаервола»? Яндекс.Браузер используют не все.

В-четвертых, как будет обеспечиваться соответствие всей системы требованиям самих регуляторов?
Расшифровка трафика, конечно, подразумевает его шифрование на каком-то своем ключе (т.к. предполагается, что это не «великий российский SSLstrip»).
В трафике пользователя могут передаваться, например, ПДн или другая конфиденциальная информация. Для шифрования этой информации сами регуляторы требуют использовать только сертифицированные средства.
Соответственно, «великий российский DPI с поддержкой HTTPS inspection», по-хорошему, должен быть сертифицирован в качестве СКЗИ и… использовать ГОСТовый сертификат. А это потребует установки сертифицированных СКЗИ заодно и на компьютеры всех граждан.

Далее, можно еще спросить про класс «великого фаервола». С учетом всех причастных организаций, возможности потенциального нарушителя довольно высокие.... Решение будет сертифицировано по соответствующему классу? КА? Впрочем, дальше лучше не углубляться.

P.S. Вот последовали мнения, что государство имеет право и возможности расшифровать интернет-трафик

Комментариев нет:

Отправить комментарий