28 мая 2016

При выдаче SSL-сертификатов в РФ будут использоваться отечественные алгоритмы шифрования

В первую очередь SSL-сертификаты с российскими алгоритмами шифрования от местного УЦ будут использовать правительственные ресурсы.

Правительство РФ планирует отказаться от зарубежных средств шифрования и заменить их отечественными. В частности, разработанные в России алгоритмы шифрования будут использоваться при выдаче SSL-сертификатов. Данную позицию поддерживают Минкомсвязи и ФСБ, сообщает «КоммерсантЪ» со ссылкой на главу рабочей подгруппы «Интернет + суверенитет» при администрации президента Илью Массуха.

По словам эксперта, в РФ есть свои средства шифрования и готовые версии протокола TLS с использованием соответствующих ГОСТу криптографических алгоритмов. Как сообщил Массух, уже существуют бета-версии браузеров «Спутник» и «Яндекс» с использованием отечественных алгоритмов шифрования. Правда, представители «Яндекса» данную информацию опровергают.

Ранее уже сообщалось о рассмотрении администрацией президента РФ возможности создания государственного удостоверяющего центра (УЦ). По словам Массуха, выдачей SSL-сертификатов с разработанными в РФ алгоритмами шифрования будет заниматься удостоверяющий центр НИИ «Восход» или другой аккредитованный Минкомсвязи УЦ. В отечественных браузерах данные УЦ будут по умолчанию добавлены в список доверенных.

Как пояснил Массух, в первую очередь SSL-сертификаты с российскими алгоритмами шифрования от местного удостоверяющего центра будут использовать правительственные ресурсы и портал госуслуг. В связи с этим будут внесены изменения в Федеральный закон «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».

По словам гендиректора Qrator Labs Александра Лямина, использование на одном домене набора SSL-сертификатов, в том числе от российского УЦ, вполне возможно. Эксперт отметил, что с точки зрения национальной безопасности это весьма разумно, хотя и «отдает паранойей». Кроме того, местный УЦ может стать причиной атак «человек посередине», ведь каждый, у кого будет доступ к корневому сертификату, сможет перехватывать и расшифровывать передаваемые данные. В качестве примера Лямин привел случай с Китаем и Google. Из-за частых инцидентов с перехватом трафика компания даже планировала изъять сертификат местного УЦ из списка доверенных в браузере Chrome.  

Источник: Securitylab.ru