Национальный антитеррористический комитет придумает, как взять под контроль шифрованный интернет-трафик и сервисы вроде FireChat. Представители отрасли опасаются, что это приведет к утечкам персональных данных граждан

«Понимать, что происходит внутри шифрованного трафика»

Национальный антитеррористический комитет России (НАК) создал рабочую группу для обсуждения вопросов регулирования шифрованного трафика, рассказал во вторник, 19 апреля, руководитель Роскомнадзора Александр Жаров. Он лично возглавил рабочую группу при НАКе. Также в нее вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК), уточнил Жаров.

Обсуждения на новой площадке ведутся с февраля 2016 года, рабочая группа была создана по поручению Совета безопасности РФ и должна представить Совбезу доклад по итогам работы к 1 июля 2016 года, уточнил представитель Роскомнадзора Вадим Ампелонский.

В Рунете объем шифрованного трафика составляет, по разным оценкам, от 30 до 50%, большая его часть приходится на протокол HTTPS, говорит главный аналитик РАЭК Карен​ Казарян. Эксперты Google сообщали, что доля шифрованного трафика в сервисах корпорации в среднем превышает 75% в мире, 81% — в России. У «Ростелекома» около 50% шифрованного трафика, говорит представитель оператора. Сам Жаров в феврале 2016 года в интервью «Российской газете» говорил, что доля шифрованного трафика в России в 2015 году составила порядка 15%, а в 2016-м может превысить 20%.

«Речь идет о шифрованном трафике, роль которого нарастает, о сжатии трафика, как легальном, которое применяется в браузерах и других программах, [так и нелегальном] в иных самодельных способах обхода блокировок: прокси-серверах, анонимайзерах и т.д.», — отметил Жаров. По его словам, обсуждается «введение единой системы шифрования [которая нужна], чтобы понимать, что происходит внутри шифрованного трафика». Участники группы думают, что «можно сделать с различными средствами шифрования, которые применяются: сертифицировать их, лицензировать, ограничить количество схем шифрования».

Увлеклись шифрованием

Шифрование данных по модели end to end, когда данные передаются от одного беспроводного устройства к другому и доступны только отправителю и получателю, уже несколько лет использует мессенджер Павла Дурова Telegram. В начале апреля 2016 года эту технологию для всего миллиарда своих пользователей . А 19 апреля о начале шифрования данных объявил еще один популярный сервис для обмена сообщениями — Viber.

В перспективе на рынке может появиться технология «по аналогии с DPI (deep packet inspection — технология фильтрации трафика, используемая провайдерами. — РБК ) на уровне шифрованного трафика», считает Жаров. Крупная немецкая корпорация уже разработала метод сегментации шифрованного трафика и представила его на рассмотрение рабочей группы, отметил глава Роскомнадзора. Название компании он раскрыть отказался, сославшись на коммерческую тайну.

«На грани нарушения конституционного права»

Сегментация трафика нужна не только государству для эффективной борьбы с терроризмом и экстремизмом, но и операторам связи, подчеркнул Жаров. «Для оператора связи с точки зрения бизнеса важно приоритизировать, например, голосовой трафик, чтобы монетизировать платные услуги, которые он предоставляет, за счет других видов трафика. Например, торрент-трафика, который находится в условно легитимном поле», — пояснил глава Роскомнадзора. «Ростелеком» участвует в рабочей группе, сообщил представитель компании Андрей Поляков. Представители МТС, «МегаФона» и «ВымпелКома» отказались от комментариев.

Рабочая группа при НАКе также обсуждает возможность регулирования сервисов, использующих для передачи данных беспроводные сети и способных работать без подключения к интернету, таких как мессенджер FireChat, известный как . «По сути дела, вне сети сайта идет обмен пакетами информации. Это проблема, потому что таким образом будут продаваться наркотики, распространяться детская порнография и так далее. С этим тоже надо что-то делать», — рассказал Жаров.

Российские власти не понимают природу вещей, которые хотят регулировать, сообщил РБК Станислав Шалунов, сооснователь компании-разработчика FireChat — Open Garden: весь смысл шифрования, о котором говорит Жаров, — в том, что только отправитель и получатель технически в состоянии прочесть трафик. «Невозможно технически иметь возможность регулировать такой трафик, как не распространяется звук в космосе: создание рабочей группы по вакуумной акустике этого факта не изменит», — отметил Шалунов. Трафик приложений вроде FireChat мало того что зашифрован — вообще не всегда идет через традиционных провайдеров, рассчитывать его как-то читать в сети провайдера—двойной абсурд, заключил он.

Абсолютно аналогичные подходы разрабатываются в США и странах Европы, «активно обсуждается вопрос кастомизации — сертификации — конечного оборудования», настаивает Жаров. Конкретные технологические и законодательные подходы для регулирования шифрованного трафика появятся не ранее чем через два года, прогнозирует он. По его словам, рабочая группа не ставит себе целью ужесточить контроль над интернетом. «Все понимают, что запретить шифрованный трафик невозможно, потому что он применяется и для абсолютно необходимых действий, вроде сохранения банковской тайны», — отметил чиновник.

Шифрование может проводиться программными средствами, свободно распространяемыми в Сети (браузер Chrome от Google, мессенджер Павла Дурова Telegram и др.), проконтролировать их использование можно, только если «поставить на каждое оконечное устройство по жучку и дистанционно постоянно мониторить работу», говорит источник в одном из операторов связи. По его мнению, «сама постановка вопроса о контроле шифрования на сетях связи — на грани нарушения конституционного права граждан на тайну связи».

Казарян сообщил РБК, что в организации считают, что «регулирование шифрования не требуется, более того, с большой вероятностью оно приведет к увеличению киберугроз и утечкам персональных данных граждан».​

В Национальном антитеррористическом комитете и Федеральной службе безопасности не смогли оперативно отреагировать на запросы РБК.

При участии Ильи Рождественского

Постигаем азы «анонимности» в сети.

Статья поможет вам определиться нужен ли VPN конкретно вам и выбрать провайдера, а также расскажет о подводных камнях этой технологии и альтернативах ей.

Этот материал - просто рассказ о VPN с обзором провайдеров, предназначенный для общего развития и решения мелких бытовых проблем. Как добиться полной анонимности в сети и 100% приватности трафика она вас не научит.

Что такое VPN?

Virtual Private Network (виртуальная частная сеть) – сеть из устройств, которая создается поверх другой и внутри которой, благодаря технологиям шифрования, создаются защищенные каналы для обмена данными.

VPN-сервер управляет учетными записями пользователей этой сети и служит для них точкой входа в интернет. Через него передается зашифрованный трафик.

Ниже мы расскажем о провайдерах, которые предоставляют доступ к VPN-серверам в разных странах. Но сначала разберемся зачем это нужно?

Выгоды от использования VPN

1. Смена «адреса»

В каких случаях законопослушному россиянину нужен другой IP?

2. Защита от мелкой нечисти

От преследований властей VPN-провайдер вас не спасет, но защитит от:

• Админа офисной сети, который собирает на вас компромат или просто любит читать чужие письма;
• Школьников, которые балуются прослушкой трафика публичной WiFi точки.

Минусы использования VPN

Скорость

Скорость доступа интернета при использовании VPN провайдера может быть ниже, чем без него. Прежде всего это касается бесплатных VPN. К тому же, она может быть нестабильной: зависеть от времени суток или местоположения выбранного сервера.

Технические неполадки

У VPN-провайдера могут быть перебои в работе. Особенно, если он небольшой и малоизвестный.

Самая распространенная неполадка: vpn отключился и никому ничего не сказал. Надо проследить за тем, чтобы ваше соединение блокировалось в случае проблем с сервером.

Иначе может быть так: пишешь злобные комментарии к статьей своего соседа по квартире, а VPN потихому отключился и в админке засветился реальный IP, ты это пропустил, а сосед заметил и готовит план мести.

Мнимая анонимность

Информация о вашем трафике передается третьей стороне. VPN-провайдеров часто спрашивают в интервью: «А вы храните логи?». Они отвечают: «Нет, нет, конечно нет!». Но им никто не верит. И на то есть причины.

В лицензионных соглашениях многих VPN-провайдеров открыто написано, что пользователь не имеет право нарушать авторские права, запускать хакерские программы, рассылать спам и в случаи нарушения его аккаунт блокируется без возвращения средств. Пример: ExpressVPN Term of Service . Из этого следует, что действия пользователя в сети контролируются.

А некоторые шустрые VPN-провайдеры, к примеру Astrill , требуют SMS подтверждения для активации учетной записи (для русских номеров не работает). Хочешь скрывать свой IP и шифровать трафик? Ок, но номерок на всякий случай оставь.

А анкеты при регистрации учетных записей иногда напрягают излишними вопросами. К примеру, зачем VPN-провайдеру почтовый индекс человека? Отправлять посылки на Новый Год?

Личность пользователя также может быть идентифицирована по банковским картам (или через кошельки платежных систем, через которые пополняются виртуальные карты). Некоторые VPN-провайдеры приманивают пользователей тем, что принимают в качестве оплаты криптовалюты. Это плюс к анонимности.

Выбираем VPN-сервис

VPN-провайдеров - хоть пруд пруди. Ведь это доходный бизнес с низкими порогом вхождения. Если задать такой вопрос на форуме, то сбегутся владельцы сервисов и завалят своей рекламой.

Для помощи в выборе был создан сайт bestvpn.com , где публикуются рейтинги и обзоры VPN-провайдеров.

Вкратце расскажем о лучших VPN-сервисах (по данным bestvpn.com) у которых есть приложение для iOS.

ExpressVPN

96 городов в 78 странах. 30-дневная гарантия возврата денег в случае перебоев работы с сервисом. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами одновременно.

Цена: от $9.99 до $12.95 в месяц (зависит от периода оплаты).

Private Internet Access

25 стран. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами. Подробности на сайте проекта .

Цена: от $2.50 до $6.95 в месяц (зависит от периода оплаты).

IP Vanish VPN

Более 60 стран. Есть VPN-клиенты для , Android, Windows, Mac, Ubuntu, Chromebook и роутеров. Имеется возможность работать сразу с несколькими устройствами.

Оптимистичным параноикам

Очень интересный маркетинговый ход у . Они предлагают прогонять зашифрованный трафик не через один, а через два или три сервера.

Мое мнение на этот счет таково: если VPN нужен только, чтобы скрывать из какой ты страны, то это не имеет смысла. А если действительно есть, что скрывать то смысл передавать это сразу через три чужих сервера?

Альтернативы

Собственный OpenVPN сервер

Tor

Трафик в сети Tor передается через несколько независимых серверов в разных точках земли в зашифрованном виде. Это затрудняет определение исходного IP-адреса пользователя. Но поучительная история Росса Ульбрихта (владельца Silk Road) напоминает нам о том, что американские спецслужбы способны на многое.

Плюсы:

• Бесплатно;
• Доступ к onion-сети («даркнету»). Есть целый ряд сайтов, доступных только из Tor Browser. Это свои поисковые системы (Grams), магазины, библиотеки, биржи криптовалют, cистемы контекстной рекламы, энциклопедия Onion Wiki. Но для законопослушного россиянина в этой сети нет ничего интересного.

Минусы :

• Медленная скорость.

А что думает Роскомнадзор?

Работники ведомства крайне недовольны тем, что россияне стремятся к анонимности в сети. Недавно пресс-секретарь Роскомнадзора назвал пользователей Tor «социальными отбросами», а само ведомство выступает за запрет анонимайзеров. Но россияне не прислушиваются к подобным мнениям. Егор Минин (основатель RuTracker), утверждает что половина пользователей его ресурса умеет обходить блокировку.

Выводы

В этой статье есть все необходимое, чтобы начать пользоваться VPN-провайдерами и не иметь иллюзий на их счет. Но как же добиться полной анонимности в сети?

Безопасность (шифрование) трафика

• Информационная безопасность

Параллельно с развитием технологий защиты интернет-трафика от несанкционированного доступа развиваются и технологии перехвата защищенного трафика. Перехватить и изучить незашифрованный трафик пользователя уже давно не составляет труда даже для рядового юзера. Практически каждому известно слово «сниффер». Теоретически, защищенные SSL /TSL -соединения перехватить обычными средствами невозможно. Но так ли это?

На самом деле - не совсем так. Да, зашифрованный трафик теоретически невозможно расшифровать, хотя опять таки теоретически при очень большой необходимости и желании, и такой трафик можно расшифровать, подобрав ключ. Однако для этого нужны такие затраты ресурсов, что актуальность взлома сохраняется только, наверное, на правительственном или военном уровне:)

При работе по защищенному соединению (самый просто пример - ) весь трафик между взаимодействующими точками в сети шифруется на стороне отправителя и дешифруется на стороне получателя. Шифруется трафик, идущий в обоих направлениях. Для того, чтобы его зашифровать и расшифровать нужна пара ключей (ассиметричное шифрование). Публичный ключ служит для зашифрования и передается получателю данных, а приватный - для дешифрования, он остается у отправителя. Таким образом, узлы, между которыми устанавливается SSL-соединение, обмениваются публичными ключами. Далее, для повышения производительности формируется единый ключ, который пересылается уже в зашифрованном виде и используется как для шифрации, так и для дешифрации на обеих сторонах (симметричное шифрование).

А как они это делают? Обычно - по тому же каналу, по которому далее будет идти защищенный трафик. Причем обмен ключами происходит в открытом режиме. В случае HTTPS ключ сервера связан с сертификатом, который пользователю предлагается просмотреть и принять. И вот этот сертификат как раз и может перехватить любой промежуточный сервер, на пути которого идет сертификат в открытом виде (прокси, роутер).

Чтобы далее «читать» весь трафик пользователя, промежуточный сервер подменяет сертификат на свой. Т.е. он просто сам подключается к клиенту со своим сертификатом, и в то же время подключается к удаленному серверу. Клиенту приходит «левый» сертификат от сервера-злоумышленника, а браузер сообщает пользователю об опасности (такие сертификаты всегда не подписаны). У пользователя остается выбор: принять сертификат и работать с сайтом, либо отказаться его принимать, но и работать с сайтом тогда уже не получится. Иногда пользователи вообще игнорируют содержимое сертификатов и машинально принимают любые переданные им.

Если пользователь принимает сертификат-подделку, то трафик будет идти по следующей схеме:

клиент <= SSL-соединение => сервер-прослушка <= SSL-соединение => сервер назначения

Т.е. промежуточный сервер будет получать весь ваш «защищенный» трафик в открытом виде. Стоит также заметить, что передача сертификата происходит в начале каждой сессии HTTPS.

В случае защищенного SSH при первом соединении с сервером на клиенте сохраняется ключ сервера, а на сервере - ключ клиента. Эти ключи передаются между данными клиентом-сервером только один раз, при первом подключении. Если в этом случае SSH-трафик попытаются перехватить, то и клиент, и сервер откажут в соединении из-за несоответствия ключей. Так как ключи можно перенести между клиентом и сервером обходным путем (по защищенному каналу или на внешнем носителе), этот способ соединения является относительно безопасным. Его могут лишь заблокировать, заставив пользователя работать в открытую.

Стоит отметить, что уже давно продаются так называемые «решения по информационной безопасности предприятия», которые перехватывают весь трафик, проходящий через офисный прокси-сервер, и «читают» его. Программы ищут наличие определенных фраз или информации определенного вида в потоке данных от браузеров, почтовых программ, ftp-клиентов, мессенджеров сотрудников офиса. Причем, эти программы умеют различать и обрабатывать правильно самые разные виды информационного взаимодействия с серверами. В том числе, они проверяют и защищенный SSL-трафик путем подмены сертификатов. С разработкой одной из таких систем я сталкивался почти непосредственно.

Но пути спасения от тотальной слежки есть. Через установленное SSH-соединение можно направлять любой нужный трафик, который с SSH-сервера будет уже в открытом виде идти на конечную точку. Этот способ называется SSH-туннелинг (tunneling). Так можно обезопасить прохождение трафика по незащищенному каналу, но имеет смысл такой подход только при наличии доверенного сервера с поднятым и настроенным на туннелинг SSH-демоном. Причем организовать это достаточно просто. SSH-клиент подключается к серверу, настраивается на прослушку любого данного порта на локальной машине. Этот клиент будет предоставлять услугу SOCKS5-прокси, т.е. его использование можно настроить в любом браузере, почтовых программах, IM-ах и т.д. Через SSH-туннель пакеты попадают на сервер, а с него уходят на целевой сервер. Схема получается следующая:

<== SSH-соединение ==> сервер <=> целевой сервер

Другой способ защиты трафика - VPN -канал. В использовании он проще и удобнее SSH-туннелинга, но в первичной установке и настройке сложнее. Основное удобство этого способа в том, что в программах не нужно прописывать прокси. А некоторый софт и вовсе прокси не поддерживает, следовательно только VPN и подойдет.

На практике есть два варианта работы. Первый - покупка VPN-акканута, который продается специально для этих целей (шифрование трафика по небезопасному каналу). В этом случае продаются обычно аккаунты, соединяться с которыми надо по протоколам PPTP (обычный VPN, который реализован, например, в Windows) или L2TP.

Второй вариант - покупка VDS-сервера (виртуальный выделенный сервер) с любым дистрибутивом линукса на борту и поднятие на нем VPN-сервера. VDS может быть российским или американским (только не забывайте про заокеанские пинги), дешевым (от $5) и слабым или дорогим и помощнее. На VDS ставят OpenVPN -сервер, а на компьютере поднимается OpenVPN-клиент. Для Windows есть даже гуишная версия клиента .

Если вы решите использовать вариант с OpenVPN, то есть например эта простая пошаговая инструкция по поднятию сервера (Debian). Установить клиента еще проще, особенно под Windows. Отметить стоит только один нюанс. Если весь трафик требуется пустить по созданному VPN-соединению, то требуется прописать default gateway на шлюз VPN (параметр redirect-gateway в конфиге клиента), а если только часть трафика (на определенные хосты), то можно прописать обычные статические маршруты на данные хосты (по IP; например, route add -p 81.25.32.25 10.7.0.1).

Для соединения OpenVPN обмен ключами происходит в ручном режиме, т.е. транспортировать их от сервера на клиент можно абсолютно безопасно.

Таким образом, SSH- и VPN-соединения могут практически полностью гарантировать безопасность вашего трафика при перемещении по незащищенному каналу. Единственная проблема, которая может возникнуть в этом случае, - это запрет на SSL-трафик на корпоративном файрволе. Если SSL-трафик разрешен хотябы на один любой порт (обычно дефолтный 443), то вы уже потенциально можете поднять и SSH-тонель, и VPN-соединение, настроив соответствующего демона на вашем VDS на этот порт.

Теги:

• internet
• security
• ssl

Журналистам издания «Коммерсантъ» стало известно, как правительственные ведомства видят реализацию «закона Яровой» на практике.

По данным «Коммерсанта» , ФСБ, Минкомсвязь и Минпромторг в настоящий момент обсуждают набор технических решений, которые позволят реализовать дешифровку и соответственно доступ ко всему интернет-трафику россиян, как того требует «закон Яровой». Журналисты ссылаются на информацию, полученную от топ-менеджера одного из производителей оборудования, члена Администрации президента (АП), а также неназванного источника в IT-компании.

«Хранить эксабайты шифрованного интернет-трафика не имеет смысла - в нем ничего не найдешь. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме real-time и анализировать его по ключевым параметрам, условно говоря, по слову «бомба», а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов»,- рассказал журналистам представитель АП.

Для анализа нешифрованного и уже расшифрованного трафика планируется использовать DPI-системы (Deep Packet Inspection), которые и сейчас применяются многими операторами, например для URL-фильтрации по спискам запрещенных сайтов.

Сложности у правительственных ведомств вызывает зашифрованный трафик. «В интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение», - поясняют собеседники издания. «Без расшифровки трафика не всегда можно понять, на какой сайт заходил пользователь, не говоря о том, что он там делал». Так, одним из обсуждаемых вариантов дешифровки трафика является установка в сетях операторов оборудования, которое будет фактически выполнять MITM-атаки:

«Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта - пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно - с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя».

Журналисты пишут, что Илья Массух, глава подгруппы «ИТ+Суверенитет» при Администрации президента, ранее уже подтверждал, что планы по созданию такого удостоверяющего центра действительно есть. Впрочем, будет ли данный УЦ использоваться для реализации «закона Яровой», пока неизвестно.

Также о предложении по расшифровке трафика слышал основатель «Энвижн Групп» и совладелец производителя телекоммуникационного оборудования РДП.РУ Антон Сушкевич.

«Два основных метода шифрования в интернете - end-to-end, который очень популярен в мессенджерах, и SSL-сертификаты - с их помощью около 80% интернет-трафика шифруется. Для того чтобы выполнять задачу, поставленную «законом Яровой», то есть бороться с терроризмом, нужно расшифровывать и анализировать трафик в прямом эфире, а не какое-то время спустя. Организация MITM - один из возможных путей»,- утверждает Сушкевич.

Также «Коммерсантъ» поинтересовался мнением экспертов по данному вопросу, и те выразили определенный скепсис относительно описанной схемы.

«Когда о данном факте станет известно, из всего ПО, обеспечивающего работу с шифрованным трафиком, сертификат подобного удостоверяющего центра будет вырезан в очередном обновлении. И это будет правильно, потому что возможность создавать «левые» сертификаты дискредитирует всю электронную коммерцию: все банковские карточки, учетные данные всех пользователей во всех системах становятся перехватываемыми»,- объясняет глава АРСИЭНТЕК Денис Нештун.

«MITM хорошо, а местами и легально работает для клиент-серверных технологий на базе SSL. Но от него стали чаще отказываться и переходить на TLS, для которого MITM сделать сегодня нельзя. А в случае с end-to-end шифрованием, на котором построено большинство мессенджеров, MITM вообще нереализуем»,- говорит консультант по интернет-безопасности Cisco Алексей Лукацкий.

Напомню, что согласно «закону Яровой», организаторы распространения информации должны предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей в уполномоченное подразделение ФСБ.

«Организаторами распространения информации», в свою очередь, считаются «лица, осуществляющие деятельность по обеспечению функционирования информационных систем и (или) программ», которые используются для «приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет». То есть таковыми являются практически любые сервисы, при помощи которых осуществляется передача сообщений, будто то мессенджер или почта.

Собеседники «Коммерсанта» полагают, что «иностранные компании этому требованию просто не подчинятся, а российские, может, и сдадут ключи после многочисленных требований».

Национальный антитеррористический комитет собирается контролировать зашифрованный трафик в Сети. Представители отрасли опасаются, что это может привести к утечке персональных данных и войти в противоречие с Конституцией.

Руководитель Роскомнадзора Александр Жаров рассказал о том, что в рамках Национального антитеррористического комитета России (НАК) была создана специальная рабочая группа. Её цель - «внесение ясности в происходящее внутри шифрованного трафика» и создание мер по его регулированию.

В группу вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК). Глава Роскомнадзора отметил, что немецкая корпорация (название её не разглашается в связи с коммерческой тайной) разработала метод сегментации шифрованного трафика и предоставила его на рассмотрение рабочей группе.

Группа была создана по поручению Совета безопасности России. По словам Вадима Ампелонского, представителя Роскомнадзора, она должна предоставить Совбезу отчёт о проделанной работе не позднее 1 июля 2016 года. Специальная группа при НАКе ведёт работу по регулированию сервисов, использующих для передачи данных беспроводные сети, а также тех, которые способны работать без подключения к Интернету (мессенджер FireChat, прославившийся после использования демонстрантами в Гонконге в 2014 году). Глава Роскомнадзора обеспокоен использованием подобных сервисов:

«Злоумышленники могут воспользоваться тем, что вне сети можно обмениваться информацией, и применить это для распространения наркотиков, детской порнографии и т.д.».

В феврале 2015 года Жаров говорил, что доля шифрованного трафика в России составила 15%, а в мае 2016 года она может превысить 20%. Согласно отчету компании Cisco по информационной безопасности за 2015 год, объём шифрованного трафика Рунета составляет до 50%. Карен Казарян, главный аналитик РАЭК, говорит, что большая его часть приходится на протокол HTTPS. По словам экспертов, в мире доля шифрованного трафика в сервисах корпораций превышает 75%, и 81% приходится на территорию России.

Андрей Поляков из «Ростелекома» говорит, что их сети принадлежит около 50% шифрованного трафика (представители «Ростелекома» являются участниками рабочей группе при НАКе).

По словам руководителя Роскомнадзора, речь идет о шифрованном трафике, как легальном (в браузерах и других программах), так и нелегальном (способы обхода блокировок: прокси-серверы, анонимайзеры и т.д). По его словам, обсуждается «введение единой системы шифрования, чтобы понимать, что происходит внутри шифрованного трафика». Участники группы решают вопросы, связанные с применением различных средств шифрования: их сертификацией, лицензированием, ограничением количества схем шифрования.

Мессенджер Павла Дурова Telegram уже несколько лет осуществляет шифрование данных по модели end to end (E2E - система, в рамках которой, зашифрованная информация передается от устройства к устройству напрямую, без посредников. Правила закрытого ключа не позволяют расшифровать информацию никому, кроме её получателя. Таким образом, зашифровка и расшифровка сообщений происходят без участия сервера-посредника).

В начале апреля 2016 года мессенджер WhatsApp (принадлежащий Facebook) ввел полное шифрование всех своих сервисов для всех пользователей (мессенджер шифрует сообщения, телефонные звонки, фото и видео. Теперь даже сотрудники WhatsApp не смогут расшифровать данные, передаваемые пользователями).

19 апреля мессенджер Viber усилил систему безопасности данных с помощью введения end to end шифрования для всех устройств, включая компьютеры PC и Mac, а также смартфоны и планшеты на платформах Android и iOS.

Жаров считает, что данную модель (Е2Е) можно «частично заменить» технологией, аналогичной Deep Packet Inspection (DPI — технология "глубокого анализа" трафика через накопление статистических данных, проверку и фильтрацию сетевых пакетов по их содержимому).

Чиновник упомянул, что сегментация трафика нужна и операторам связи. Так он советует отдать приоритет голосовому трафику: для извлечения денежной прибыли за платные услуги, которые он предоставляет, за счёт других видов трафика.

«Или трафик торрентов, который находится в условно легитимном поле», - говорит он.

Представитель одного из операторов связи прокомментировал это так:

«Шифрование может проводиться программными средствами, свободно распространяемыми в Интернете. Проконтролировать этот процесс представляется возможным, только если поставить на каждое конечное устройство по жучку и дистанционно постоянно мониторить работу».

Он выразил мнение о том, что само рассмотрение вопроса о контроле шифрования в сетях связи относится к области нарушения конституционных прав граждан.

Станислав Шалунов, сооснователь Open Garden (компания-разработчик FireChat) считает, что российские власти не понимают природу вещей, которую собираются контролировать. Он говорит, что смысл шифрования заключается в том, что трафик способны прочесть только отправитель и получатель. Шалунов отметил, что регулировать подобный трафик не предоставляется возможным с технической точки зрения и сравнил это с невозможностью распространения звука в космосе.

«И сей факт не сможет изменить создание рабочей группы по вакуумной акустике», - добавил он.

«Трафик приложений типа FireChat не только зашифрован - он не всегда идёт через традиционных провайдеров, поэтому пытаться его каким-то образом контролировать является абсурдом в квадрате», - заключил сооснователь Open Garden. По его мнению, контроль шифрованного трафика Интернета приведёт лишь к утечке информации и распространению махинаций, связанных с этим.

Казарян также считает, что «регулирование шифрования не требуется, более того, с большой вероятностью оно приведет к увеличению киберугроз и утечкам персональных данных граждан».

Жаров понимает, что запретить шифрованный трафик полностью невозможно, так как он абсолютно необходим, например, для хранения банковской тайны и другой личной информации. Поэтому рабочая группа не ставит перед собой цель ужесточить контроль над интернетом, а «лишь найти пути для решения проблем, связанных с его бесконтрольностью».

По его прогнозам, конкретные технологические и законодательные подходы для регулирования шифрованного трафика появятся приблизительно через два года.

Жаров приводит в пример США и страны Европы, в которых разрабатываются аналогичные подходы к регулированию шифрованного трафика. «Там происходит адаптация массового продукта под запросы конкретного потребителя путем его частичного изменения (доукомплектования товара дополнительными элементами); активно обсуждается вопрос сертификации конечного оборудования», - говорит он.

Для государства контроль шифрованного трафика является одним из способов борьбы с терроризмом, экстремизмом и киберпреступностью.