Министерство цифрового развития, связи и массовых коммуникаций предложило запретить в России использование интернет-протоколов шифрования. Ведомство предлагает запретить алгоритмы и методы шифрования TLS 1.3, ESNI, DoH (DNS over HTTPS) и DoT (DNS over TLS). В пояснительной записке говорится, что запрет протоколов облегчит поиск и дальнейшую блокировку сайтов с запрещённой информацией. Законопроект опубликован на сайте проектов нормативных актов regulation.gov.ru.
Авторы инициативы поясняют, что ограничения могут быть введены в качестве меры противодействия использованию маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. К примеру, протоколы DNS over TLS, DNS over HTTPS и ESNI активно используются для обхода блокировок доступа к запрещенным сайтам.
TLS – базовый протокол шифрования в интернете. DNS – сервис определения IP-адреса узла в интернете по его доменному имени. Обращение к DNS происходит при каждом запросе пользователем доменного имени. HTTPS – версия протокола HTTP, по которому передаются веб-страницы, с шифрованием. Шифрование происходит путем обмена сертификатами между пользователем и серверов.
DoH и DoT – экспериментальные версии DNS, которые работают поверх протоколов HTTPS и TLS соответственно. При использовании таких протоколов интернет-провайдер не видит, к какому домену обращается пользователь, что затрудняет блокировку доступа к запрещенным ресурсам. SNI – технология, которая позволяет передавать имя запрашиваемого пользователем домена при работе по протоколу HTTPS.
«Применение указанных алгоритмов и методов шифрования способно снизить эффективность использования существующих систем фильтрации, что, в свою очередь, значительно затруднит выявление ресурсов в сети интернет, содержащих информацию, распространение которой в России ограничено или запрещено», - отмечается в пояснительной записке.
В законопроекте говорится, что работа сайтов, которые будут использовать шифрование, также будет приостановлена. При этом ресурс должен быть заблокирован не позднее, чем через день после обнаружения нарушения.
Власти довольно давно начали понимать опасность указанных протоколов. Согласно утвержденному Минкомсвязи в начале 2020 г. плану проведения учений по «суверенному интернету», в 2020 году должна быть отработана возможность блокировки трафика, защищенного с использованием технологий DoT и DoH.
Как поясняет эксперт по информационной безопасности и автор Telegram-канала «Лаборатория Артимовича» Дмитрий Артимович, до появления SNI все заголовки в HTTPS были шифрованными. В результате было сложно разместить несколько шифрованных ресурсов на одном сервере: не было понятно, какой домен нужен пользователю, и соответственно, не было понятно, какой сертификат нужно использовать.
SNI решает эту проблему, передавая информацию о домене в незашифрованном виде. ESNI же позволяет передавать имя домена зашифрованным. Упоминание протокола TLS 1.3 в пояснительной записке к законопроекту, скорее всего, было ошибкой, полагает гендиректор хостинг-провайдера «Дремучий лес» и автор Telegram-канала «Эшер II» Филипп Кулин: по всей видимости, авторы документа имели ввиду ESNI, который должен был выйти вместе с протоколом TLS 1.3, но не вышел.
По мнению Филиппа Кулина, запретить протокол DNS over TLS теоретически возможно – для этого нужно заблокировать соединения с портом «853». А вот в случае с протоколом DNS over HTTPS трафик данного протокола сложно отличить от стороннего трафика. Решить проблему можно будет лишь блокировкой основных серверов DoH, поддерживаемых Google, Cisco и CloudFlare.
Дмитрий Артимович полагает, что запрет DoT может реализовать только интеллектуальный фаервол, который сможет отличать обычный запрос к DNS от шифрованного. Аналогичная история и с запретом ESNI. Но если блокировка ESNI будет налажена, это приведет к недоступности большого числа сайтов.