From: Sergey Matveev Date: Sun, 26 Jun 2016 13:53:31 +0000 (+0300) Subject: Что критикует общество в "законах Яровой" X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=3818e497dd6104b122b7c3153d5c31df8e710561;p=stargrave-blog.git Что критикует общество в "законах Яровой" Недавно принятый пакет закон от Яровой безусловно, бесспорно является антиконституционным, но кому до этого дело и кто будет блюсти конституцию? С этим то как-бы ладно, всегда так было. Больше всего мне поиск выдаёт то, что критикуют в её законах часть связанную с хранением данных. Мол это сотни петабайт информации. Всё верно: если трафик будет оставаться на точно таком же уровне, то надо будет сохранять такие колоссальные немыслимые объёмы информации. Само собой операторы будут вынуждены компенсировать эти затраты резко и круто на порядки возрастающими ценами на услуги. Что будут делать пользователи? Само собой никто не будет платить на порядки больше денег и люди начнут просто экономить трафик. Вместо того чтобы посылать GIF-ки с парой строк текста, они просто напишут эти пару строк текста: экономия трафика на несколько порядков. То что люди научатся ценить ресурсы -- по мне так это хорошо. Плохо что таким вот насильственным вынужденным образом. Но лично меня больше беспокоит часть связанная с ключами шифрования. Если запись всех данных это можно интерпретировать как: мы (правительство) вам просто урезаем на несколько порядков ёмкость каналов связи, то вот запрет шифрования уже интерпретируется мной как: мы вам запрещаем использовать Интернет. По моему это куда более фатальнее. Кому нужна сеть передачи данных в которой нельзя что-либо конфиденциально передать? Для чего она? Это не Интернет, не сеть сетей, не сеть связывающая компьютеры, так как отсутствует возможность взять и передать пакет данных от одного к другому. Это не Интернет, а просто удалённый доступ к нескольким ресурсам корпораций. Какие лично мне бы сервисы были интересны, услугами каких корпораций я пользуюсь? Боюсь что никаких, кроме DuckDuckGo наверное. Собственно основной вопрос: я отослал сообщение зашифрованное PGP. Ключей нет ни у операторов связи, ни у "организаторов распространения информации в сети "Интернет"". Как им быть? Чисто физически, технически, математически они не могут выполнить требования закона. А раз так, то им проще предотвратить возможность возникновения такой ситуации. То есть просто не дать мне отослать сообщение. Отключить меня. Это тот самый whitelist о котором я говорил: если не могут прочитать, значит заблокировать. Это буквально означает: мы отключаем Интернет. Я смотрел на статью https://rublacklist.net/18066/ В ней говорится: Широко используемый интернет протокол HTTPS не позволяет хранить ключи шифрования и он не позволяет встраивать российскую сертифицированную криптографию. Для организации связи между сервером и клиентом HTTPS случайным образом вырабатывает ключ шифрования, пересылает его в зашифрованном виде на открытом ключе сервера на сервер, организует канал симметричного шифрования между клиентом и сервером для конкретного сеанса связи, и выбрасывает выработанный случайный ключ шифрования. Поэтому этот ключ невозможно хранить технически. То что написано -- не правда. Речь в этом абзаце только про TLS с включённым эфемерным Диффи-Хельманом. И его эфемерные ключи в общем-то никто не запрещает (конечно модифицируя ПО) их сохранять (они мало занимают). Чтобы выполнить закон достаточно перенастроить HTTPS сервера и запретить им использовать DH -- останутся только долгоживущие ключи которыми можно уже дешифровать весь трафик. То есть существенно уничтожив безопасность серверов можно выполнить закон. Дальше в законопроекте идёт полный ад в который сложно поверить. Такой как использовать только сертифицированные средства с российской криптографией. Это могут выполнить (и сейчас выполняют) только государственные учреждения для связи между собой. Всё остальное, в том числе, как верно замечено в статье rublacklist.net, SWIFT будут противозаконными. Если честно, то я ожидал что Интернет у нас закроют в течении нескольких лет, но позже. А тут как-то всё за несколько месяцев. Причём я думал что закроют всё на уровне "цензуры". Ан нет, закрыли на уровне шифрования, что куда серьёзнее. ---