- Является ли законным использование шифров которые скрывают имена сайтов
- Важные понятия
- Что такое шифрование?
- Простое шифрование
- Частотный анализ
- Шифр подстановки
- Шифрование с открытым ключом
- Минцифры предложило запретить скрывать имена сайтов
- Использование шифров затрудняет выявление запрещенной в России информации
- В РФ хотят запретить скрывать имена сайтов. Эксперты назвали законопроект «странным»
- Минцифры предложило запретить скрывать имена интернет-страниц и сайтов
- Кого могут коснуться изменения
- Фейк-страница: ответственность за создание аккаунта с чужим именем
- Что такое фейковые страницы?
- Каковы основания для привлечения к ответственности?
- Административная ответственность
- Уголовная ответственность
Является ли законным использование шифров которые скрывают имена сайтов
Важные понятия
Как объяснить ребенку информатику
Что такое шифрование?
Не одну тысячу лет люди посылают сообщения, понятные только конкретным адресатам, чтобы защитить свои тайны от перехвата. Создание таких сообщений называется шифрованием.
Шифрование — это процесс изменения сообщений, после которого их могут прочитать лишь определенные адресаты. Исторически главным назначением шифрования была связь между военачальниками, шпионами и главами государств. Сегодня, с развитием интернета и онлайн-шопинга, важность шифрования неуклонно растет. Например, оно помогает защитить средства покупателей от мошенников.
Нешифрованное сообщение, или открытый текст, кодируется с помощью алгоритма и ключа. Получается шифрованный текст, который можно прочитать, используя правильный ключ.
Простое шифрование
В перестановочном шифре позиции букв в сообщении меняются по некоему правилу, которое и является ключом. Адресат, тоже владеющий ключом, выполняет обратный процесс и получает оригинальный текст. Запись сообщения задом наперед — это тоже перестановочный шифр, но нестойкий, потому что его легко разгадать. Перестановочные шифры меняют буквы местами согласно правилу или набору правил.
Частотный анализ
Перестановочный шифр легко взломать методом частотного анализа. Выбрав наиболее часто встречающиеся буквы шифровки, можно соотнести их с наиболее частотными в словах языка. В английском языке чаще всего используется буква «e», а в русском — «о».
Шифр подстановки
Использовался Юлием Цезарем. Каждая исходная буква сдвигается по алфавиту на заданное число позиций. Ключом является величина сдвига.
Шифрование с открытым ключом
Недостаток простых шифров в простоте их перехвата и взлома. Эту проблему решает придуманное в 1970-х годах шифрование с открытым ключом. У каждой стороны есть два ключа — открытый, служащий для шифрования, и закрытый, который известен лишь отправителю и адресату.
Открытый ключ шифрует текст так, что решений может быть бессчетное множество. Закрытый ключ содержит данные, сводящие решение к одному варианту.
Чтобы зашифровать интернет-соединение, к обычным процедурам связи добавляют протокол SSL. URL сайта, использующего SSL, начинается с «https» вместо «http». Любой сайт, который хочет работать с SSL-протоколом, должен получить сертификат у официального провайдера. В него входят открытый и закрытый ключи для шифрования трафика между сайтом и его посетителями. Также SSL используется для защиты почтовых сообщений.
Если сайт использует просроченный или не заверенный сертификат, браузер выдаст предупреждение. Некоторые браузеры блокируют просмотр таких сайтов.
Передача ключей шифрования означает, что третьи лица будут знать пароли пользователей, иметь возможность читать переписку, отслеживать нахождение пользователя на сайте. Однако закон предполагает, что ключи шифрования хотя и будут храниться на стороннем сервисе, но смогут использоваться только по решению суда. В «Яндексе» заявили, что можно соблюсти интересы безопасности без передачи ключей. Как это будет, скоро узнаем.
Энциклопедия «Как объяснить ребенку информатику» поможет разобраться в цифровой среде детям и взрослым.
Минцифры предложило запретить скрывать имена сайтов
Использование шифров затрудняет выявление запрещенной в России информации
Минцифры в рамках борьбы с запрещенным контентом предложило запретить использование протоколов шифрования, которые позволяют скрывать имена сайтов и обходить блокировку. Соответствующий законопроект опубликован на сайте проектов нормативных актов.
В министерстве планируют запретить алгоритмы и методы шифрования TLS 1.3, ESNI, DoH (DNS over HTTPS) и DoT (DNS over TLS). По словам авторов инициативы, использование этих шифров снижает эффективность существующих систем фильтрации и затрудняет выявление страниц, на которых размещена запрещенная в России информация.
Соответствующий запрет протоколов облегчит поиск и дальнейшую блокировку сайтов с запрещенной в России информацией. В законопроекте говорится, что работа сайтов, которые будут использовать шифрование, также будет приостановлена. При этом ресурс должен быть заблокирован не позднее, чем через день после обнаружения нарушения.
Как рассказал РБК гендиректор Института исследований интернета Карен Казарян, важная информация в сети, например сведения о платежах в интернет-банках, обычно передается в зашифрованном виде, поэтому существует определенный набор протоколов, которые шифруют содержимое запроса на сайте, чтобы защитить эту информацию от перехвата. Подобными протоколами пользуются в интернет-банках, сервисах электронной коммерции, сервисах для операционных систем Android и iOS. Он используется даже на сайте госуслуг, Основная цель подобных протоколов — обеспечить приватность пользователя и защитить от атак.
В РФ хотят запретить скрывать имена сайтов. Эксперты назвали законопроект «странным»
Минцифры РФ инициировало законопроект, который запрещает использование на территории России протоколов шифрования, позволяющих скрыть имя посещаемых интернет-страниц и сайтов.
В пояснительной записке к законопроекту говорится, что его принятие «окажет положительное воздействие на выявление интернет-ресурсов, содержащих информацию, распространение которой в РФ ограничено или запрещено».
В ней также обозначены конкретные протоколы — «TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)».
«Все перечисленное позволяет скрыть URL сайта, на который собирается зайти пользователь», — рассказал ForkLog технический директор «РосКомСвободы» Станислав Шакиров.
За нарушение запрета на использование подобных протоколов предлагается блокировать интернет-ресурсы, применяющие их, «не позднее одного рабочего дня со дня обнаружения нарушения уполномоченным на то органом власти».
Независимый эксперт Александр Исавнин подчеркнул, что общей целью большинства разработчиков интернет-стандартов является создание протоколов, защищающих интересы конечного пользователя, — к примеру, они скрывают активность от информационных посредников и злонамеренных лиц.
«Если применяются эти протоколы, то оборудование DPI и тому подобное не может понять, куда «ходит» пользователь. Ради этого и разработан этот закон — сделать незаконным использование вот таких вещей», — говорит он.
По мнению исполнительного директора «Общества защиты интернета» Михаила Климарева, реализовать законопроект практически невозможно:
«Просто потому, что указанные протоколы по замыслу разработчиков предназначены для скрытия информации. Теперь садимся и думаем, как будет фиксироваться факт использования таких протоколов? Ответ — никак. То есть, изначально невозможно доказать факт использования «протоколов сокрытия».
С тем, что применить закон сложно, согласен Станислав Шакиров:
«Если закон примут, скорее всего, никто из производителей браузеров и облачных сервисов не будет интересоваться мнением российских законодателей, которые запрещают какое-то естественное развитие».
Автор Telegram-канала «Эшер II» Филипп Кулин заявил в комментарии для ForkLog, что частично законопроект реализовать можно, однако назвал законопроект «странным».
Осуществление запретов, предусмотренных законопроектом, чревато перебоями в работе многих ресурсов, отметил Александр Исавнин.
«Под этот закон автоматически попадает сервис Cloudflare, где огромное количество сайтов «прячутся» от DDoS-атак и активности злоумышленников. А Cloudflare известен как раз тем, что они применяют современные технологии», — заявил он.
При реализации законопроекта в ходе блокировок «можно «положить» не только сайт, который нужно блокировать по закону, но и который находится на том же IP-адресе», отметил Станислав Шакиров из «РосКомСвободы»:
«В этом случае не работает половина интернета, потому что блокируя, например, RuTracker, можно случайно заблокировать Сбербанк».
В IT-сообществе считают, что последствия закона могут быть «разрушительными»:
Станислав Шакиров отметил, что в случае принятия закона «ничего не произойдет с точки зрения того, какие технологии будут использовать браузеры».
«Это очередной закон из разряда «хотим подснежники в российском лесу в январе», — считает Александр Исавнин.
Ранее Роскомнадзор начал изучать возможности ограничения mesh-сетей, IoT-сетей и анонимных протоколов.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Минцифры предложило запретить скрывать имена интернет-страниц и сайтов
Министерство цифрового развития, связи и массовых коммуникаций предлагает запретить использование в России протоколов шифрования, которые позволяют скрыть имя (идентификатор) интернет-страницы или сайта. Это следует из подготовленных министерством поправок в закон «Об информации, информационных технологиях и о защите информации», опубликованных на портале проектов нормативно-правовых актов Regulation.gov.ru.
Согласно пояснительной записке к законопроекту, применение таких алгоритмов и методов шифрования может снизить эффективность существующих систем фильтрации трафика, что затруднит выявление запрещенного в России контента и блокировку соответствующих ресурсов. По оценкам Минцифры, растет количество маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. «Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS) (криптографические протоколы, которые обеспечивают защищенную передачу данных в интернете. — РБК)», — указано в пояснительной записке.
В документе также отмечается, что законопроект подготовлен во исполнение решения Совета безопасности России от 4 декабря 2019 года в целях противодействия распространению противоправной информации в интернете.
В случае нарушения запрета предлагается приостанавливать работу интернет-ресурса с запрещенными протоколами шифрования.
Кого могут коснуться изменения
Важная информация в Сети, например сведения о платежах в интернет-банках, обычно передается в зашифрованном виде, поэтому существует определенный набор протоколов, которые шифруют содержимое запроса на сайте, чтобы защитить эту информацию от перехвата, объясняет гендиректор Института исследований интернета Карен Казарян. «Наиболее распространенный протокол шифрования — это TLS. Подобными протоколами пользуются в интернет-банках, сервисах электронной коммерции, сервисах для операционных систем Android и iOS. TLS используется даже на сайте госуслуг, если заходить на него через [браузер] Google Chrome. Однако побочный эффект подобного шифрования в том, что сервисы по фильтрации трафика не могут увидеть, на какие конкретно сайты отправляется информация, и блокировать, если вдруг на них оказывается запрещенный контент», — объясняет Казарян.
Основная цель подобных протоколов — обеспечить приватность пользователя и защитить от атак по принципу «человек посередине» (пользователя перенаправляют на вредоносный сайт, который выглядит как сайт-близнец желаемого ресурса, но создан мошенниками; введенные на таком вредоносном сайте логины, пароли и пр. становятся известны злоумышленникам. — РБК), поэтому полный отказ от них с точки зрения обеспечения информационной безопасности сомнителен, считает ведущий аналитик Infosecurity (входит в Softline) Александр Вураско. Он, однако, признает, что подобные протоколы шифрования существенно затрудняют блокировку запрещенных в России ресурсов.
По словам независимого эксперта Алексея Семеняки, из-за блокировки указанных протоколов могут перестать работать зарубежные сервисы электронной почты, сервисы по покупке авиа- и железнодорожных билетов, а также видеосервисы вроде YouTube, поскольку они, как правило, используют защищенные методы соединения. Также шифруется вся финансовая информация, соответственно, перестанут работать, например, биржевые сервисы.
Заместитель директора департамента розничных клиентских решений и цифрового бизнеса Росбанка Павел Меньшиков подтвердил, что подобные протоколы шифрования используются в цифровом банкинге. Он также заявил, что использование протоколов шифрования — принятая мировая практика и поиск альтернативы не может быть задачей, решаемой в пределах одной страны, это задача для всего интернет-сообщества. «Подобные инициативы должны отталкиваться и от рынка программного обеспечения, софта, самих цифровых устройств. Как правило, даже переход от одного протокола шифрования к протоколу следующего уровня становится причиной проблем у владельцев старых телефонов, которые его просто не поддерживают», — объясняет Меньшиков. Подобные решения должны приниматься с учетом позиций лидеров по производству электронных устройств и программного обеспечения, убежден он.
Представитель банка «Открытие» сообщил, что по требованиям информационной безопасности они сейчас применяют протокол TLS 1.3. «Этот протокол применяется как для систем дистанционного банковского обслуживания, так и для других интернет-сервисов. Инициатива [Минцифры] направлена на деанонимизацию ресурсов интернета, и наш банк не должна особо затронуть», — рассчитывает он. Представитель «Открытия» уверен, что «никто не собирается отказываться от шифрования», поскольку это «противоречит всем требованиям по информационной безопасности».
Любая крупная ИТ-архитектура российской компании, даже если это не очевидно на первый взгляд, может в своей работе опираться на веб-сервисы, которые используют сети CDN (доставки контента) для защиты от атак на отказ в обслуживании, безопасности или просто балансировки нагрузки, предупреждает руководитель технологической практики КПМГ в России и СНГ Николай Легкодимов. «Эти сети CDN часто используют шифрование DNS, и если попадут в блокировку на уровне российских провайдеров, могут привести к прерыванию сервиса для российского пользователя в самых неожиданных местах, — рассуждает эксперт. — Например, CDN может использовать модуль, который обращается за информацией об актуальном курсе валют или скидках на каком-нибудь сайте по продаже авиабилетов».
«Сейчас протокол TLS 1.3 является стандартной частью веб-серверов, она изначально заложена в них, никто специально ее не включает. Поэтому он используется на большинстве сайтов», — отметил Семеняка. В случае запрета владельцам серверов пришлось бы блокировать использование такого шифрования на сайте, но вероятность, что все компании прислушаются к требованиям властей, по его мнению, очень мала. «Фактически это отказ от большей защищенности и анонимности. Кроме того, это негативно скажется на скорости загрузки элементов сайта», — считает Семеняка. По его словам, реализовать и поддерживать запрет этих протоколов для России сравнительно дорого — для этого необходимо заводить отдельный экземпляр веб-сервера, делать отдельную конфигурацию и в зависимости от того, из какой страны пришел пользователь, перенаправлять на ту или иную версию сайта.
РБК направил запрос в Минцифры и Роскомнадзор.
Фейк-страница: ответственность за создание аккаунта с чужим именем
Как в жизни, так и в Интернете никто не может осудить человека, если тот представляется вымышленным именем. И многие так делают, в том числе, создавая фейковые страницы в соцсетях. Да, сама по себе такая страница не является чем-то незаконным или предосудительным. Куда хуже, если при ее создании использовались данные другого человека. Тогда это проблема. Разберемся, где в этом вопросе проходит грань законности?
Что такое фейковые страницы?
Это любые аккаунты:
При этом персональная информация аккаунта не соответствует реальным данным ее владельца.
Например, если Вы, Сергей Иванов, а при регистрации на каком-нибудь сайте обозначили себя как Татьяна Дербенева, то такая страница будет считаться фейковой.
Собственно, страшного в этом ничего нет. Как нет и закона о запрете фейковых страниц. В Уголовном кодексе РФ или КоАП РФ этот вопрос никак не затрагивается. А значит, все законно! По крайней мере, до тех пор, пока не используются чьи-либо персональные данные.
Каковы основания для привлечения к ответственности?
Если использовать чужие персональные данные, то такие действия могут нарушать ряд нормативных актов:
Во-первых, имя, дата рождения, место жительства, место получения образования и любая другая личная информация, которая прямо или косвенно относится к определенному лицу, охраняется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Их распространение без разрешения собственника запрещено.
Во-вторых, правила использования фотографии с изображением гражданина регламентированы ст. 152.1 Гражданского кодекса РФ, в соответствии с которой использование фотографии без согласия изображенного лица недопустимо.
При нарушении указанных норм вид и форма ответственности будут зависеть от целей, для которых использовались чужие сведения, и злостности допущенного нарушения.
Административная ответственность
Использование чужих персональных данных в соцсетях при условии, что оно не преследует какого-либо злого или преступного умысла, может быть квалифицировано как несанкционированная обработка персональных данных. В этом случае создатель аккаунта будет привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ. Ему угрожает предупреждение или штраф в размере 1–3 тыс. рублей.
Уголовная ответственность
Здесь все зависит от целей создания фейка. В частности, если такая страница создана для того, чтобы распространить ложные сведения, порочащие честь и достоинство гражданина, это клевета (ст. 128 УК РФ). Примером может служить прецедент, когда злоумышленник создает страницу с фотографией и именем девушки, и от ее имени распространяет информацию о предоставлении интимных услуг. Подобные действия в зависимости от тяжести могут повлечь наказание до 2 лет лишения свободы.
Другим примером уголовно наказуемых деяний является создание страницы-клона, с которой происходит в дальнейшем рассылка сообщений с просьбой под благовидным предлогом срочно одолжить определенную сумму денег. Такой поступок квалифицируется по ст. 159 УК РФ (мошенничество) и влечет наказание вплоть до 2 лет лишения свободы.
Если Вы хотите узнать об актуальных вопросах защиты персональных данных и иной конфиденциальной информации, то приглашаем на обучение в Приволжский институт повышения квалификации ФНС России по программам «Информационная безопасность», «Обеспечение безопасности персональных данных», «Техническая защита информации».
