В России может появиться национальный удостоверяющий центр, который будет выдавать сертификаты подлинности и безопасности сайтов (SSL). Сторонники идеи хотят сделать Рунет независимым от западных центров, сертифицирующих даже российские государственные сайты. Противники говорят, что это путь к «большому брату» и, возможно, перлюстрации всей коммуникации россиян в Сети, рассказывает ВВС.
SSL (уровень защищенных сокетов) - протокол передачи данных между интернет-пользователем и сайтом. Он шифрует данные, так что при передаче они оказываются недоступными третьей стороне.
Если сайт использует SSL, его подлинность подтверждается электронным сертификатом. Как правило, адреса таких сайтов начинаются с https://. Таким сайтам можно доверять пароли, коды банковских карт и личную переписку. Выдачей сертификатов занимаются удостоверяющие центры. Обычно это частные компании или их подразделения с неоспоримой репутацией. Если программа, которая связывается с Интернетом, доверяет удостоверяющему центру и его сертификатам, проблем с заходом на сайт не возникает. В противном случае браузер предупреждает об опасности.
В браузере Google Chrome, например, предустановлено более 200 сертификатов. Среди них популярные американские GeoTrust, Comodo, Thawte, но также сертификаты удостоверяющих центров из Китая, Швейцарии, Японии, Турции и других стран. Принцип, по которому разработчики отобрали именно эти сертификаты, известен только им самим.
Понятие SSL хорошо знакомо интернет-пользователям из Ирана. В республике блокируются сайты, которые не используют местный государственный протокол безопасности. Он, в свою очередь, не признается большинством популярных браузеров. В результате иранцы вынуждены пользоваться государственным браузером Saina, а пользователи из остального мира при попытке зайти на иранский сайт через зашифрованный протокол получают предупреждение об опасности.
Государственный браузер «Спутник» в России уже есть, а вот до удостоверяющего центра и протокола безопасности у властей руки, видимо, не доходили. Как сообщил «Коммерсант», соответствующая работа ведется рабочей группой «Интернет плюс суверенитет», которая создана для исполнения поручений Владимира Путина.
Возглавляет ее глава Фонда информационной демократии, экс-заместитель министра связи Илья Массух. Он сообщил Русской службе ВВС, что создание удостоверяющего центра «обсуждается, хотя это далеко не главный вопрос». «Де-факто государственные сайты пользуются зарубежными сертификатами, де-юре это запрещено постановлением правительства, - говорит Илья Массух. - Идея в том, чтобы создать центр (не обязательно государственный) выдачи корневых сертификатов для сайтов, которые находятся в российской юрисдикции, чтобы не было возможности отозвать сертификат и тем самым сделать соединение небезопасным. Государство активно взаимодействует с обществом в Интернете. И государство может быть скомпрометировано, если при этом будет использовано небезопасное интернет-соединение».
Государственные сайты действительно сертифицируются западными удостоверяющими центрами: сайт Госдумы, например, имеет сертификат Go Daddy, а сайт Роскомнадзора - сертификат Comodo. Но прецедента, чтобы подобный центр неожиданно отзывал сертификат, еще не было.
«Доверие к удостоверяющему центру - вопрос его репутации и рыночной капитализации, - комментирует политик, основатель Общества защиты Интернета Леонид Волков. - Удостоверяющий центр выступает чем-то вроде нотариуса и не может просто отозвать подпись с документа. К тому же информация о выданных сертификатах заносится в реестры. Готовиться к тому, что американский удостоверяющий центр отзовет сертификат сайта госуслуг, это либо намеренное введение в заблуждение, либо просто глубокое непонимание того, как устроена инфраструктура».
По словам Волкова, если государство продавит предустановку своих сертификатов в популярные браузеры, это позволит осуществлять так называемые атаки посредника (MITM). То есть власти смогут не только отслеживать, но и удалять и искажать информацию, которой обмениваются пользователи Интернета. В Иране этот метод использовался в 2011 году против пользователей сервисов Google.
«Пока, правда, у российских властей не получается давить на интернет-компании. Вспомните, например, как пытались локализовать персональные данные россиян на территории страны. Ни Facebook, ни Twitter, ни Apple не пошли у них на поводу», - резюмирует Леонид Волков.
Больше новостей - в рубрике «Техноблог».