Государство планирует создание собственного Удостоверяющего центра (все это, конечно же, поливается соусом заботы о безопасности пользователей), причем, как сообщает сегодня «Коммерсант», серьезно рассматривается вариант о том, чтобы каким-то способом принудить всех пользователей к установке сертификатов этого УЦ в хранилище доверенных сертификатов каждого пользователя.
На практике это будет означать, что государство получит возможность осуществлять атаку man-in-the-middle (MITM) — влезать в коммуникацию между пользователями, которая происходит по защищенному протоколу HTTPS, и делать это незаметно для пользователей. Сейчас весь такой трафик не только защищен от злоумышленников, но и недоступен для системы государственного шпионажа СОРМ; если представить себе, что государство каким-то образом смогло убедить или заставить всех пользователей установить себе сертификаты государственного УЦ — ситуация кардинально изменится.
В декабре было много разговоров о том, что такую схему планирует реализовать Казахстан; когда информация вышла в паблик, однако, «Казахтелеком» все опроверг и удалил, и мы так и не знаем — это была реальная попытка осуществить государственную MITM-атаку, или зондирование общественного мнения. (Вот большой технологический разбор казахского кейса, очень рекомендую).
Технически ничего трудного в этом нет (создать государственный УЦ — не очень сложно и не очень дорого); политически будет гораздо сложнее: не очень понятно, как государство сможет заставить производителей браузеров и операционных систем внедрить свои сертификаты. Мне кажется, что заставлялка не выросла. А попытаться, конечно, могут. Впрочем, даже если все у них получится, речь не будет идти о тотальном контроле всего ныне недоступного государству HTTPS-трафика; это будет слишком сложно и дорого — но вот выборочно влезать в какие-то особенно интересные для них истории ФСБшники смогут, и это нехорошо.
Я записал небольшое видео, постарался максимально простым языком (и да простят меня профессионалы отрасли за некоторые неизбежные упрощения) объяснить, о чем вообще идет речь, зачем могут быть использованы государственные сертификаты ключей подписи и как это может угрожать пользователям.
Ну а так-то, чему удивляться? Мы хорошо знаем, что государство может быть вором, может быть убийцей, почему бы ему не оказаться еще и кибермошенником.
P.S.: Сегодня в 19.30 — традиционный перископ, рад буду ответить там на вопросы про эту всю историю.