"Ъ" ознакомился с первыми итогами работы чиновников по импортозамещению средств шифрования трафика в рунете. Поисковик "Спутник" создал доверенную версию своего браузера с использованием российских алгоритмов шифрования от компании "Крипто-ПРО". По данным источников "Ъ", над аналогичным проектом работает и "Яндекс", хотя в компании это опровергают. Использовать отечественные шифровальные средства чиновники намерены и при выдаче SSL-сертификатов, используемых для шифрования данных и идентификации сайтов. Первым делом отечественные средства защиты информации появятся на порталах государственных органов и некоторых банков.

"Спутник" и "Яндекс" разработали бета-версии своих браузеров с использованием российских алгоритмов шифрования, рассказал "Ъ" глава рабочей подгруппы "Интернет + суверенитет" при администрации президента Илья Массух. "Мы решили попробовать использовать российские алгоритмы шифрования, эта позиция согласована с Минкомсвязью и ФСБ. У нас в стране есть свои шифрсредства и уже созданные версии протокола TLS с использованием криптографических алгоритмов шифрования, которые соответствуют ГОСТу. Среди компаний, которые разрабатывают свои шифрсредства, планируется сотрудничество с "Крипто-ПРО", "ИнфоТеКС" и другими",- уточнил господин Массух.

Рунет замедлил рост

По данным TNS, в конце 2015 года интернет-аудитория России составила 83 млн человек, увеличившись за год на 1,2%. Число пользователей растет все медленнее, особенно в городах-миллионниках, где аудитория может расшириться за счет граждан старше 45 лет

Коммерческий директор "Крипто-ПРО" Юрий Маслов подтвердил "Ъ", что компания предоставила на некоммерческой основе "Спутнику" и "Яндексу" свою утилиту "КриптоПРО CSP", которая используется для шифрования и имитозащиты данных, обеспечения целостности и подлинности информации. "У "Спутника", насколько я знаю, такая версия браузера готова и уже демонстрировалась, "Яндекс" еще в процессе",- рассказал господин Маслов. В Минкомсвязи от комментариев отказались.

Представитель "Спутника" Дмитрий Чистов подтвердил "Ъ", что компания разработала версию доверенного браузера с встроенным средством криптографической защиты информации от "Крипто-ПРО" под ОС Windows. "В ближайшее время начнутся тестирование браузера в рамках существующих соглашений и контрактов "Спутника" и "Ростелекома" и сертификация браузера в ФСБ",- сообщил он.

Представитель "Яндекса" заявил, что информация о создании беты "Яндекс.Браузера" с российскими алгоритмами шифрования недостоверна, компания "не занималась и не занимается" ею. "Любой сайт должен быть совместим со всеми популярными браузерами и операционными системами, это не должно зависеть от специальных региональных настроек или предустановки дополнительного корневого сертификата специально для российских пользователей",- сообщил представитель "Яндекса".

Рунет прикроют сертификатом

В середине февраля сообщалось, что администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнерами. Как стало известно "Ъ", в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов

Как уже сообщал "Ъ" (подробно см. номер от 15 февраля), администрация президента обсуждает создание российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, используемых для шифрования данных и идентификации сайта при установлении защищенного https-соединения. "Выдавать SSl-сертификаты с российскими алгоритмами шифрования будет удостоверяющий центр НИИ "Восход" или кто-то из других УЦ, аккредитованных Минкомсвязью. В российских браузерах эти УЦ будут добавлены в список "доверенных"",- говорит господин Массух. Он сообщил, что первым делом SSL-сертификаты с российскими алгоритмами шифрования от местного УЦ будут использовать сайты органов власти, портал госуслуг и, возможно, некоторые банки. "Для этих целей планируется внести изменения в 8 ФЗ ("Об обеспечении доступа к информации о деятельности госорганов..."). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определенную версию "Спутника" или "Яндекс.Браузера"",- отмечает он.

Наиболее популярными мировыми УЦ являются Comodo, Symantec, GoDaddy, Geotrust, GlobalSign и др. В России продажей сертификатов этих УЦ занимается множество частных компаний - например, Ru-Center, Reg.Ru, Agava и др. Число используемых SSL-сертификатов только в доменной зоне .ru по итогам 2015 года составило 124,5 тыс., сообщала Reg.Ru.

"У нас в стране есть ряд крипропровайдеров, соответствующих ГОСТу, поэтому реализация браузера с российскими алгоритмами шифрования вполне возможна, как и использование на одном домене набора SSL-сертификатов, среди которых был бы сертификат от российского УЦ. С точки зрения национальной безопасности это имеет смысл, хотя со стороны и немного отдает паранойей",- говорит основатель и гендиректор Qrator Labs Александр Лямин. При этом, напоминает он, в теории появление в стране своего УЦ для выдачи SSL-сертификатов может привести к злоупотреблениям и MITM-атакам (или атакам посредника) со стороны структур, имеющих отношение к этому УЦ. В ходе MITM злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. "Подобные случаи были в Китае, после чего Google намеревалась удалить местный УЦ из "доверенных" в Chrome",- добавляет он.

"С точки зрения обеспечения цифрового суверенитета наличие собственного удостоверяющего центра, выдающего SSL-сертификаты, и браузеров, поддерживающих российское шифрование, безусловно, положительный факт. Однако надо понимать, что если данный национальный центр будет скомпрометирован и атакующие получат доступ к корневым сертификатам, то при наличии доступа к SSL-трафику между пользователем браузера и сайтом можно организовать MITM-атаку, расшифровав SSL-трафик",- согласен гендиректор Digital Security Илья Медведовский. Впрочем, подобная атака может быть с таким же успехом осуществлена и на любой западный удостоверяющий центр, что уже недавно случалось, в частности, с Comodo, добавляет он.

Мария Коломыченко

Газета "Коммерсантъ" №92 от 27.05.2016