Национальный сертификат безопасности Казахстана: Защита пользователей или государства? (Digital Report)
Национальный сертификат безопасности Казахстана: Защита пользователей или государства?
В Астане разработали и утвердили подзаконные акты, относящиеся к внедрению т.н. «национального сертификата безопасности», вызвавшего бурные дебаты в декабре прошлого года. Регулятор прописал блокировку контента и всего интернета как функцию национального сертификата безопасности Казахстана.
По словам чиновников, цель Сертификата состояла в повышении безопасности казахстанских пользователей интернета при пользовании зарубежными ресурсами, а также для борьбы с международным терроризмом, детской порнографией, транснациональной преступностью. Эксперты же сочли его потенциальной возможностью прослушки всего внешнего трафика.
Как писал Digital.Report, впервые о национальном сертификате сообщила компания Казахтелеком в пресс-релизе, который был снят с ее официального веб-сайта вскоре после публикации. В нем говорилось, в частности, что с 1 января 2016 года всем пользователям для доступа к зарубежным ресурсам понадобится установка на все свои устройства национального сертификата безопасности. Хотя его установка необязательна, пользователей предупредили — в противном случае, возможны проблемы с доступом к иностранным сайтам.
Критика и опасения
Такой план вызвал жесткую критику наблюдателей, которые почти единодушно назвали идею «государственной MITM» - технологией вторжения в зашифрованные коммуникации пользователей в роли «посредника». Обсуждения велись, главным образом, на зарубежных экспертных ресурсах; новости о сертификате появлялись в ряде западных СМИ. Из-за слабой осведомленности казахстанских пользователей о вопросах онлайн-безопасности, дефицита специалистов, способных авторитетно высказаться по таким темам, и из-за самоцензуры в журналистской и экспертной среде, внутри страны планы внедрения сертификата почти не обсуждались.
В Комитете связи и информации Министерства по инвестициям и развитию утверждали, что ограничение доступа возможно лишь «к отдельным ресурсам, используемым для совершения противоправных действий». Кроме того, по их словам, «это позволит правоохранительным органам в предусмотренных законом случаях не испытывать затруднений при необходимости произвести анализ подозрительного международного трафика». При этом, нововведение, как считается, не наделяет силовиков никакими дополнительными полномочиями, помимо уже имеющихся.
Как заверяют в правительстве, пользователей социальных сетей, электронной коммерции и банковского сектора это никак не затронет. Константин Горожанкин, президент Ассоциации казахстанского интернет-бизнеса, в интервью казахстанским СМИ делился опасениями о том, что государство получит техническую возможность «читать» информацию, которую пользователи передают в зашифрованном виде, включая банковскую. Также, по его мнению, низкое доверие к надежности отечественных сертификатов и способам их защиты и хранения усугубляет восприятие планов властей.
В своем официальном ответе на запрос Digital.Report регулятор признал, что проблемы могут возникнуть и в том случае, если «иностранные сервисы и ресурсы» не примут казахский сертификат безопасности в качестве доверенного. Многие комментаторы озвучивали свой скептицизм в первую очередь относительно этого аспекта внедрения национального сертификата. Они сомневались в том, что крупные интернет-компании и браузеры примут казахстанский сертификат в качестве доверенного. Обсуждения в форумах одной из таких компаний показывают, что опасения небезосновательны.
Специалисты ждут результатов аудита WebTrust
В сообществе-багтрекере компании Mozilla, разрабатывающей продукты с открытым кодом, включая браузер Firefox, пользователи обсуждают заявку на включение казахстанского сертификата безопасности как доверенного и расценивают его как инструмент для MITM-атак против зашифрованного пользовательского трафика. Подобные обсуждения обязательны в компании для принятия решений, и для этого информация об удостоверяющем центре, выпускающем сертификат, должна быть публичной. В статусе заявки пока определено, что информация предоставлена не в полном объеме.
В другом обсуждении разработчиков в Google-группе «mozilla.dev.security.policy» говорится, что документация предоставлена на кириллице, т.е. на русском или казахском языке, а не на английском. Заявке не хватает аудита WebTrust — организации, определяющей стандарты в области информационной безопасности, включая проверку сертификатов и удостоверяющих центров. Казахстанская сторона в заявке на включение, поданной в Mozilla, говорит, что она намерена пройти аудит WebTrust «до конца 2015 года», но разработчики отмечают, что эту процедуру необходимо осуществить прежде, чем подавать заявку.
Пока специалисты рекомендуют компании Mozilla дождаться результатов аудита казахского сертификата от WebTrust прежде, чем принимать какие-либо решения по заявке. Еще в начале декабря 2015 года сообщалось, что «в целях своевременной подготовки к внедрению сертификата безопасности, Государственная техническая служба (ГТС) Комитета связи, информатизации и информации Министерства по инвестициям и развитию начала вести взаимодействие со всеми заинтересованными компаниями». Похоже, что с началом этой работы казахстанский регулятор, определивший в конце декабря ГТС удостоверяющим центром для выдачи сертификатов безопасности, поторопился.
Четыре функции сертификата
Также в обсуждении говорится, что в заявке, возможно, речь идет более, чем об одном сертификате, или о неком «сверхсертификате» root.gov.kz. Он может служить двум целям сразу — быть своего рода пропуском для пользователя браузера к государственным сайтам (как, например, pki.gov.kz), и являться инструментом MITM.
На первую функцию сертификата — для доступа граждан к услугам на портале электронного правительства — казахстанская сторона также указывает в переписке с Mozilla (1, 2). Однако в злополучном пресс-релизе АО «Казахтелеком» прямо говорилось о сертификате именно как о пропуске для казахстанцев к зарубежным ресурсам при использовании зашифрованных каналов — будем считать это второй задачей нововведения.
Министр по инвестициям и развитию 10 декабря 2015 года в официальном ответе на обращение гражданина о деталях применения национального сертификата, заявлял о третьей функции — борьбе с угрозами информационной безопасности, когда цели использования шифрованного протокола неизвестны (например, распространение вредоносных программ, кража данных, сокрытие следов несанкционированного доступа и др.).
Тем временем, казахстанское правительство утвердило ряд подзаконных актов для внедрения национального сертификата безопасности, включая Правила его применения. В них уже говорится о четвертой (и единственной, согласно этим Правилам) функции сертификата:
«п. 4: Применение сертификата безопасности, выданного удостоверяющим центром, осуществляется операторами связи в целях ограничения распространения по сети телекоммуникаций информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан, а также приостановления или прекращения использования сетей и (или) средств связи в преступных целях».
В Приказе министра по инвестициям и развитию, подписанном 25 декабря 2015 года, говорится, что Правила не распространяются на пропуск зашифрованного трафика на территории Казахстана, а также предназначенного для передачи за пределы территории Республики Казахстан. В тексте не уточняется, касается ли это утверждение входящего зашифрованного трафика.
В Правилах выдачи сертификата безопасности, утвержденных в тот же день, говорится, что сертификат выдается по просьбе оператора связи сроком на три года. Операторы, по новому закону «О связи», должны осуществлять пропуск трафика по зашифрованным протоколам, с применением сертификата безопасности. Именно на операторов связи возлагается работа по уведомлению абонентов об изменении условий доступа к интернету и по распространению сертификата среди абонентов и вторичных провайдеров.
Правила применения сертификата требуют, чтобы оператор связи обеспечил конфиденциальность организационных и технических условий его применения.
Специалисты, опрошенные для этого материала на условиях анонимности, по-прежнему считают, что суть и механизмы внедрения национального сертификата остаются неясными, даже после публикации подзаконных актов. По их ожиданиям, крупным организациям — особенно в банковской сфере — возможно, потребуется разработка дополнительных решений для обеспечения сохранности данных клиентов при их передаче через интернет, поскольку трудно представить, как ГТС сможет сортировать подозрительный «вредоносный» трафик от обычного пользовательского.
Пресс-служба регулятора — Комитета по связи, информации и информатизации Министерства инвестиций и развития Казахстана — не ответила на вопросы Digital.report к моменту публикации материала.