Mincifra dan larangan TLS v. 1.3 (dan pada saat yang sama HTTPS): peninjauan tagihan

Hai, Habr.



The terakhir kali kami menulis tentang fakta bahwa Mintsifra memperkenalkan sidang umum dari tagihan, menurut nota penjelasan melarang layanan di Rusia bekerja dengan teknologi nama domain bersembunyi - eSNI / ECH, dan lebih luas lagi, seluruh TLS v. 1,3, dan menurut surat tagihan - bahkan HTTPS secara umum.







Sekarang saya ingin menunjukkan apa yang dapat dilakukan orang IT dalam kasus seperti itu - selain diskusi panas di Habré. Apakah ini akan berpengaruh - kita akan lihat dalam beberapa minggu mendatang, tetapi setidaknya ini adalah cara yang tepat untuk berkomunikasi dengan lembaga pemerintah tentang tagihan semacam itu.



Sebenarnya, setiap RUU yang sedang dipertimbangkan oleh Kementerian Ilmu Digital, seperti departemen lain, memiliki halamannya sendiri di regulation.gov.ru - dalam hal ini, ini dia . Ini memiliki link "Saran Anda", dengan mengklik yang mana dan masuk melalui Layanan Negara, Anda dapat mengirim proposal dalam bentuk teks atau dalam bentuk file terlampir.



Apa yang harus dilakukan dan apa yang tidak boleh dilakukan?



  1. Kirimkan hanya proposal yang tertulis pada esensi dan materi RUU, dengan komentar spesifik. Luangkan satu atau dua hari untuk membaca esensi tagihan dengan cermat, dan merumuskan klaim khusus untuk itu.
  2. , - . , 500 , 10 , 490 — , , . , , , .
  3. — - , . , .
  4. , , etc. — . — , , .
  5. Jika Anda memiliki kesempatan untuk mempublikasikan ulasan dan catatan penjelasan secara terbuka, misalnya, di media atau di situs web asosiasi atau organisasi khusus, gunakanlah. Biarkan jejak aktivitas Anda tetap berada di bidang publik dan jadilah Google.
  6. Jangan lupakan Habr. Daripada mengeluh berulang kali di komentar yang tidak dibaca orang tentang pejabat yang tidak berjiwa, lakukan pekerjaan yang ditentukan dan bagikan di sini.




Jadi, sekarang - contoh yang bagus.



Banding ke Kementerian Keuangan: para ahli tentang bahaya RUU baru





“Mereka yang bersedia mengorbankan kebebasan esensial untuk sebagian kecil dari keamanan sementara tidak layak atas kebebasan atau keamanan.”



Benjamin Franklin,

Surat Resmi Majelis Pennsylvania kepada

Gubernur Thomas Wharton

11 November 1755




Pada hari Senin, 5 Oktober, penerimaan tanggapan berakhir dalam kerangka diskusi publik tentang rancangan undang-undang baru Kementerian Ilmu Digital Federasi Rusia, mengubah 149-FZ "Tentang informasi, teknologi informasi dan perlindungan informasi":



1) 2 21 :



« , () - ‎«» — , , .»;



2) 2 10 :



« , () ‎- «», , .



Pelanggaran larangan penggunaan protokol enkripsi di Federasi Rusia yang memungkinkan penyembunyian nama (pengidentifikasi) halaman web atau situs di Internet, memerlukan penangguhan fungsi sumber daya Internet selambat-lambatnya 1 (satu) hari kerja sejak hari pelanggaran ditemukan oleh pihak yang berwenang badan eksekutif federal "





Menurut banyak ahli, yang kami sepenuhnya bagikan, dalam bentuknya saat ini, RUU ini tidak hanya berbahaya, tetapi juga berbahaya - terutama untuk segmen domestik Internet, yang dimaksudkan untuk dilindungi.



Mari kita mulai sedikit dari jauh. Bagian penting dari keberadaan dan perkembangan Internet selama dua dekade terakhir, sejak saat itu menjadi alat komunikasi yang diterima secara umum, termasuk - untuk transfer informasi penting, termasuk keuangan, data pribadi pengguna dan sejenisnya - adalah perang melawan penipu dan orang lain dengan tidak jujur niat. Ada banyak tahapan di dalamnya: perkembangan pesat antivirus, perlindungan terhadap spam dan email palsu (phishing), distribusi sertifikat yang menyatakan bahwa situs yang Anda kunjungi benar-benar sesuai dengan klaimnya, dan terakhir - enkripsi yang dikirimkan antara komputer Anda dan situs data sehingga penipu tidak dapat menyadap, menguping, atau memalsukan.



Tugas-tugas ini diselesaikan secara bertahap, seperti dalam kompetisi apa pun antara cangkang dan baju besi.



Tahap selanjutnya dalam melindungi pengguna Internet dari penipu adalah menyembunyikan dari orang yang tidak berwenang tidak hanya konten informasi yang Anda tukar dengan situs, tetapi juga nama situs yang Anda kunjungi. Tak seorang pun, kecuali Anda, yang tahu bank mana dan kapan Anda menggunakan, di layanan mana Anda terdaftar. Teknologi ini dikenal oleh para profesional sebagai eSNI dan ECH dan sekarang sedang dalam tahap awal penerapan.



Ya, teknologi ini mencegah Roskomnadzor memblokir situs yang tidak diinginkan, termasuk situs yang menghosting konten terlarang. Tetapi dengan cara yang sama, kunci di pintu apartemen dan pintu masuk mencegah polisi mengejar dugaan kejahatan - tetapi di sini masyarakat tidak ragu-ragu untuk mencapai konsensus bahwa ruang pribadi harus tetap pribadi dan dilindungi. Bahwa hak untuk melindungi ruang ini tidak boleh dilimpahkan tanpa syarat kepada pihak berwenang yang berkompeten, karena mereka tetap tidak bisa menempatkan polisi di setiap pintu. Bahwa ada perbatasan yang tidak bisa dilintasi. Ya, orang jujur ​​tidak menyembunyikan apa pun. Tidak, ini tidak berarti bahwa Anda bisa melarangnya menutup tirai jendela.



Sayangnya, di bidang teknologi digital tidak ada konsensus seperti itu - oleh karena itu, jika kita mengembangkan analogi, Kementerian Pembangunan Digital menyarankan dimulai dengan larangan menarik tirai, dan kemudian beralih ke ilegalitas kunci pintu.



Selain larangan semacam itu yang sangat tidak dapat diterima, perlu diperhatikan kerusakan besar yang akan ditimbulkannya pada industri Internet Rusia dalam jangka menengah. ESNI dan ECH yang disebutkan di atas adalah bagian dari standar global - misalnya, standar TLS v.1.3 - yang tidak hanya akan semakin banyak digunakan oleh perusahaan asing, tetapi tentunya akan dimasukkan dalam persyaratan tertentu, misalnya, dalam persyaratan keamanan pemrosesan informasi keuangan PCI DSS. yang harus dipenuhi oleh semua organisasi perbankan dan pembayaran.



Apa yang akan dijawab Kementerian Tsifra ketika perwakilan bank Rusia datang dan mengatakan bahwa mereka tidak dapat lagi bekerja dengan kartu VISA dan MasterCard, karena versi baru PCI DSS mewajibkan TLS v.1.3 - dan Kementerian Tsifra melarangnya? Kapan ternyata layanan terbesar di dunia beralih ke standar baru hanya dalam proses pembaruan perangkat lunak terjadwal di server mereka?



Selain itu, ketidakjelasan ekstrim kata-kata pada RUU tersebut memungkinkan, jika diadopsi, untuk menutup hampir seluruh Internet, termasuk yang Rusia, secara harfiah pada hari berikutnya. Frasa "mengizinkan untuk menyembunyikan nama (pengenal) halaman Internet" secara resmi dapat diterapkan ke situs mana pun yang menggunakan protokol HTTPS - yaitu, ke hampir 100% situs besar. Buka Yandex, Mail.ru, Sberbank, Kultura.rf - lihat ikon gembok di sebelah alamat situs web? Ini adalah HTTPS yang "menyembunyikan nama halaman Internet" - dan pada saat yang sama mencegah penyerang mengganti situs asli dengan situs palsu, mencegat detail kartu kredit Anda atau mencari tahu sandi Anda.



Tanpa menyangkal pentingnya memerangi penyebaran konten ilegal di Internet, kami menekankan: jika diadopsi dalam bentuknya saat ini, RUU tersebut akan menyebabkan kerusakan yang tidak dapat diperbaiki pada segmen Internet Rusia, memutus pasar Rusia dari layanan terbesar di dunia, membahayakan digitalisasi ekonomi Rusia dan secara drastis mengurangi daya saing perusahaan Internet domestik. di pasar internasional. Keterlambatan dalam teknologi untuk melindungi data yang dikirimkan akan membahayakan keamanan nasional negara tersebut, sehingga memudahkan agen asing yang tertarik untuk mengumpulkan informasi yang relevan.



Kami bersikeras bahwa RUU tersebut harus direvisi secara radikal dengan mempertimbangkan komentar di atas.



Aplikasi:Tinjauan ahli Partai Demokrasi Langsung pada rancangan undang-undang “Tentang Amandemen Pasal 2 dan 10 Undang-Undang Federal“ Tentang Informasi, Teknologi Informasi dan Perlindungan Informasi ”( PDF, 171 KB )



Tinjauan ini ditandatangani oleh:



Makarov Vyacheslav Viktorovich

Sekretaris Jenderal Dewan Koordinasi Tertinggi Partai langsung Demokrasi



Artamonov Oleg Nikolayevich

Ketua kelompok ahli ilmiah dan teknis Partai Demokrasi Langsung



Shevyakov Timofey Nikolayevich

Sekretaris Pers, anggota Dewan Koordinasi Tertinggi Partai Demokrasi Langsung



Lysakovsky Dmitry Ivanovich

Pengusaha, anggota Dewan Koordinasi Tertinggi Partai Demokrasi Langsung



Chigidin Boris Viktorovich

Anggota Dewan Koordinasi Tertinggi Partai Demokrasi Langsung, Ph.D.



Filippov Andrey Alexandrovich

Anggota Dewan Koordinasi Tertinggi Partai Demokrasi Langsung



Palyulin Anton Yurievich

Mitra pengelola biro hukum "Palyulin and Partners" Deputi



Nesterovich Sergey Alexandrovich

. Pemimpin Redaksi "Agency of Political News"



Scherbakov Alexey

Pengembang terkemuka FoodPlex



Pusher Alexander

Entrepreneur, Pemimpin Komunitas di Gaijin Entertainment



Kaloshin Vyacheslav

Pengusaha, arsitek, manajer proyek



Zaitsev Alexey Vladimirovich

Pengembang web



Povolotsky Alexander Borisovich

Administrator dan pemrogram Sistem



Bolshakov Nikolay Borisovich

Manajer proyek



Ivanov Pavel Borisovich

Manajer proyek Learnee, pengembang



Maddalena Alexander Nikolovich

Profesional independen



Petrov Alexey Alekseevich

Pengusaha, pengembang web



Vardiev Pavel Anatolyevich

Spesialis TI dengan lebih dari 20 tahun spesialis TI pengalaman



***



Banding asli dipublikasikan di sini . Jika Anda ingin menjadi penanda tangan - meskipun post factum - ada formulir di tautan di bawah ini.



Jujur saja - kami tidak tahu apakah ini akan berpengaruh, tetapi kami akan mencoba memastikan bahwa pengajuan banding di Kementerian Keamanan Digital diperhatikan.



Mari ulangi pengalaman ini lain kali? Setidaknya, tidak ada yang bisa mengatakan "ya, ada peretas dari sumber Habr yang tidak senang, tetapi kenyataannya tidak ada komentar yang diterima".



All Articles