From 3818e497dd6104b122b7c3153d5c31df8e710561 Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Sun, 26 Jun 2016 16:53:31 +0300 Subject: [PATCH] =?utf8?q?=D0=A7=D1=82=D0=BE=20=D0=BA=D1=80=D0=B8=D1=82?= =?utf8?q?=D0=B8=D0=BA=D1=83=D0=B5=D1=82=20=D0=BE=D0=B1=D1=89=D0=B5=D1=81?= =?utf8?q?=D1=82=D0=B2=D0=BE=20=D0=B2=20"=D0=B7=D0=B0=D0=BA=D0=BE=D0=BD?= =?utf8?q?=D0=B0=D1=85=20=D0=AF=D1=80=D0=BE=D0=B2=D0=BE=D0=B9"?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit Недавно принятый пакет закон от Яровой безусловно, бесспорно является антиконституционным, но кому до этого дело и кто будет блюсти конституцию? С этим то как-бы ладно, всегда так было. Больше всего мне поиск выдаёт то, что критикуют в её законах часть связанную с хранением данных. Мол это сотни петабайт информации. Всё верно: если трафик будет оставаться на точно таком же уровне, то надо будет сохранять такие колоссальные немыслимые объёмы информации. Само собой операторы будут вынуждены компенсировать эти затраты резко и круто на порядки возрастающими ценами на услуги. Что будут делать пользователи? Само собой никто не будет платить на порядки больше денег и люди начнут просто экономить трафик. Вместо того чтобы посылать GIF-ки с парой строк текста, они просто напишут эти пару строк текста: экономия трафика на несколько порядков. То что люди научатся ценить ресурсы -- по мне так это хорошо. Плохо что таким вот насильственным вынужденным образом. Но лично меня больше беспокоит часть связанная с ключами шифрования. Если запись всех данных это можно интерпретировать как: мы (правительство) вам просто урезаем на несколько порядков ёмкость каналов связи, то вот запрет шифрования уже интерпретируется мной как: мы вам запрещаем использовать Интернет. По моему это куда более фатальнее. Кому нужна сеть передачи данных в которой нельзя что-либо конфиденциально передать? Для чего она? Это не Интернет, не сеть сетей, не сеть связывающая компьютеры, так как отсутствует возможность взять и передать пакет данных от одного к другому. Это не Интернет, а просто удалённый доступ к нескольким ресурсам корпораций. Какие лично мне бы сервисы были интересны, услугами каких корпораций я пользуюсь? Боюсь что никаких, кроме DuckDuckGo наверное. Собственно основной вопрос: я отослал сообщение зашифрованное PGP. Ключей нет ни у операторов связи, ни у "организаторов распространения информации в сети "Интернет"". Как им быть? Чисто физически, технически, математически они не могут выполнить требования закона. А раз так, то им проще предотвратить возможность возникновения такой ситуации. То есть просто не дать мне отослать сообщение. Отключить меня. Это тот самый whitelist о котором я говорил: если не могут прочитать, значит заблокировать. Это буквально означает: мы отключаем Интернет. Я смотрел на статью https://rublacklist.net/18066/ В ней говорится: Широко используемый интернет протокол HTTPS не позволяет хранить ключи шифрования и он не позволяет встраивать российскую сертифицированную криптографию. Для организации связи между сервером и клиентом HTTPS случайным образом вырабатывает ключ шифрования, пересылает его в зашифрованном виде на открытом ключе сервера на сервер, организует канал симметричного шифрования между клиентом и сервером для конкретного сеанса связи, и выбрасывает выработанный случайный ключ шифрования. Поэтому этот ключ невозможно хранить технически. То что написано -- не правда. Речь в этом абзаце только про TLS с включённым эфемерным Диффи-Хельманом. И его эфемерные ключи в общем-то никто не запрещает (конечно модифицируя ПО) их сохранять (они мало занимают). Чтобы выполнить закон достаточно перенастроить HTTPS сервера и запретить им использовать DH -- останутся только долгоживущие ключи которыми можно уже дешифровать весь трафик. То есть существенно уничтожив безопасность серверов можно выполнить закон. Дальше в законопроекте идёт полный ад в который сложно поверить. Такой как использовать только сертифицированные средства с российской криптографией. Это могут выполнить (и сейчас выполняют) только государственные учреждения для связи между собой. Всё остальное, в том числе, как верно замечено в статье rublacklist.net, SWIFT будут противозаконными. Если честно, то я ожидал что Интернет у нас закроют в течении нескольких лет, но позже. А тут как-то всё за несколько месяцев. Причём я думал что закроют всё на уровне "цензуры". Ан нет, закрыли на уровне шифрования, что куда серьёзнее. -- 2.48.1