Проблема воровства персональных данных незаметно превратилась в бич цивилизации. Информацию о пользователе тянут все кому не лень: кто-то предварительно испросив согласие (социальные сети, операционные системы, приложения компьютерные и мобильные), другие без разрешения и спросу (злоумышленники всех сортов и антрепренёры, извлекающие любую выгоду из сведений о конкретном человеке). В любом случае приятного мало и всегда есть риск, что вместе с безобидной информацией в чужие руки попадёт что-то такое, что сможет навредить лично вам или вашему работодателю: служебные документы, частная или деловая корреспонденция, семейные фото...

Но как помешать утечкам? Шапочка из фольги тут не поможет, хоть это, бесспорно, и красивое решение. Зато поможет тотальное шифрование данных: перехватив или украв зашифрованные файлы, соглядатай ничего в них не поймёт. Сделать это можно, защитив всю свою цифровую активность с помощью стойкой криптографии (стойкими называются шифры, на взлом которых при существующих компьютерных мощностях потребуется время, по крайней мере большее продолжительности жизни человека). Вот 6 практических рецептов, воспользовавшись которыми, вы решите эту задачу.

Зашифруйте активность веб-браузера. Глобальная сеть устроена таким образом, что ваш запрос даже к близко расположенным сайтам (типа yandex.ru) проходит на своём пути через множество компьютеров («узлов»), которые ретранслируют его туда и обратно. Посмотреть примерный их список можно, введя в командной строке команду tracert адрес_сайта. Первым в таком списке будет ваш интернет-провайдер или владелец точки доступа Wi-Fi, через которую вы подключились к интернету. Потом ещё какие-нибудь промежуточные узлы, и только в самом конце сервер, на котором хранится нужный вам сайт. И если ваше соединение не зашифровано, то есть ведётся по обычному протоколу HTTP, каждый, кто находится между вами и сайтом, сможет пересылаемые данные перехватить и проанализировать.

Поэтому сделайте простую вещь: добавьте к «http» в адресной строке символ «s», чтобы адрес сайта начинался с «https://». Таким образом вы включите шифрование трафика (так называемый слой безопасности SSL/TLS). Если сайт поддерживает HTTPS, он позволит это сделать. А чтобы не мучиться каждый раз, поставьте браузерный плагин : он будет принудительно пытаться включить шифрование на каждом посещаемом вами сайте.

Недостатки : соглядатай не сможет узнать смысл передаваемых и принимаемых данных, но он будет знать, что вы посещали конкретный сайт.

Зашифруйте свою электронную почту. Письма, отправленные по e-mail, тоже проходят через посредников, прежде чем попасть к адресату. Зашифровав, вы помешаете соглядатаю понять их содержимое. Однако техническое решение тут более сложное: потребуется применить дополнительную программу для шифрования и дешифровки. Классическим решением, не потерявшим актуальности до сих пор, будет пакет OpenPGP или его свободный аналог GPG , либо поддерживающий те же стандарты шифрования плагин для браузера (например, Mailvelope).

Прежде чем начать переписку, вы генерируете так называемый публичный криптоключ, которым смогут «закрывать» (шифровать) письма, адресованные вам, ваши адресаты. В свою очередь каждый из ваших адресатов тоже должен сгенерировать свой ключ: с помощью чужих ключей вы сможете «закрывать» письма для их владельцев. Чтобы не путаться с ключами, лучше использовать вышеупомянутый браузерный плагин. «Закрытое» криптоключом письмо превращается в набор бессмысленных символов - и «открыть» его (расшифровать) может только владелец ключа.

Недостатки : начиная переписку, вы должны обменяться ключами со своими корреспондентами. Постарайтесь гарантировать, чтобы никто не смог перехватить и подменить ключ: передайте его из рук в руки, либо опубликуйте на публичном сервере для ключей. Иначе, подменив ваш ключ своим, соглядатай сможет обмануть ваших корреспондентов и будет в курсе вашей переписки (так называемая атака man in the middle - посредника).

Зашифруйте мгновенные сообщения. Проще всего воспользоваться мессенджерами, которые уже умеют шифровать переписку: Telegram, WhatsApp, Facebook Messenger, Signal Private Messenger, Google Allo, Gliph и т.п. В таком случае от любопытных глаз со стороны вы защищены: если случайный человек и перехватит сообщения, то увидит лишь мешанину символов. Но вот от любопытства компании, которая владеет мессенджером, это вас не оградит: у компаний, как правило, есть ключи, позволяющие читать вашу переписку - и мало того, что они любят это делать сами, они по первому требованию сдадут их правоохранительным органам.

Поэтому лучшим решением будет воспользоваться каким-либо популярным свободным (open source) мессенджером с подключенным плагином для шифрования «на лету» (такой плагин часто называют «OTR»: off the record - препятствующий записи). Хорошим выбором будет Pidgin .

Недостатки : как и в случае с электронной почтой, вы не гарантированы от атаки посредника.

Зашифруйте документы в «облаке». Если вы пользуетесь «облачными» хранилищами вроде Google Drive, Dropbox, OneDrive, iCloud, ваши файлы могут быть украдены кем-то, кто подсмотрит (или подберёт) ваш пароль, либо если обнаружится какая-то уязвимость в самом сервисе. Поэтому прежде, чем поместить что-либо в «облако», зашифруйте это. Реализовать такую схему проще и удобней всего с помощью утилиты, которая создаёт на компьютере папку - помещённые куда документы автоматически шифруются и переправляются на «облачный» диск. Такова, например, Boxcryptor . Чуть менее удобно применить для той же цели приложения типа TrueCrypt - создающие целый шифрованный том, размещаемый в «облаке».

Недостатки : отсутствуют.

Зашифруйте весь (не только браузерный) трафик с вашего компьютера. Может пригодиться, если вы вынуждены пользоваться непроверенным открытым выходом в Сеть - например, незашифрованным Wi-Fi в публичном месте. Здесь стоит воспользоваться VPN: несколько упрощая, это защищённый шифрованием канал, протягиваемый от вас до VPN-провайдера. На сервере провайдера трафик дешифруется и отправляется далее по назначению. Провайдеры VPN бывают как бесплатные (VPNbook.com, Freevpn.com, CyberGhostVPN.com), так и платные - различающиеся скоростью доступа, временем сеанса и т.п. Большой бонус такого соединения в том, что для всего мира вы кажетесь выходящим в Сеть с сервера VPN, а не со своего компьютера. Поэтому, если VPN-провайдер находится за пределами Российской Федерации, вам будут доступны сайты, заблокированные внутри РФ.

Того же результата можно добиться, если установить на своём компьютере TOR - с той лишь разницей, что в данном случае провайдера нет: вы будете выходить в интернет через случайные узлы, принадлежащие другим участникам этой сети, то есть неизвестным вам лицам или организациям.

Недостатки : помните, что ваш трафик дешифруется на выходном узле, то есть на сервере VPN-провайдера или компьютере случайного участника TOR. Поэтому если их владельцы пожелают, они смогут анализировать ваш трафик: попробовать перехватить пароли, выделить ценные сведения из переписки и пр. Поэтому пользуясь VPN или TOR, совмещайте их с другими средствами шифрования. Кроме того, настроить TOR правильно - задача непростая. Если у вас нет опыта, лучше воспользоваться готовым решением: комплектом TOR + браузер Firefox (в таком случае будет шифроваться только браузерный трафик) или Linux-дистрибутивом Tails (работающим с компакт-диска или флэшки), где весь трафик уже настроен на маршрутизацию через TOR.

Зашифруйте флэшки и съёмные носители данных, мобильные устройства. Сюда же можно добавить и шифрование жёсткого диска на рабочем компьютере, но его вы по крайней мере не рискуете потерять - вероятность чего всегда присутствует в случае с носимыми накопителями. Чтобы зашифровать не отдельный документ, а сразу целый диск, используйте приложения BitLocker (встроено в MS Windows), FileVault (встроено в OS X), DiskCryptor , 7-Zip и им подобные. Такие программы работают «прозрачно», то есть вы не будете их замечать: файлы шифруются и дешифруются автоматически, «на лету». Однако злоумышленник, в руки которого попадёт закрытая с их помощью, например, флэшка, ничего из неё извлечь не сумеет.

Что касается смартфонов и планшеток, там для полного шифрования лучше воспользоваться встроенным функционалом операционной системы. На Android-устройствах загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».

Недостатки : поскольку все данные хранятся теперь в зашифрованном виде, процессору приходится их дешифровать при чтении и шифровать при записи, на что, конечно, тратятся время и энергия. Поэтому падение производительности может быть заметным. Насколько в действительности замедлится работа вашего цифрового устройства, зависит от его характеристик. В общем случае более современные и топовые модели проявят себя лучше.

Таков список действий, которые стоит предпринять, если вас беспокоит возможная утечка файлов в чужие руки. Но помимо этого есть ещё несколько соображений общего характера, которые тоже следует иметь в виду:

Свободное приложение для охраны приватности обычно надёжней проприетарного. Свободное - это такое, исходные тексты которого опубликованы под свободной лицензией (GNU GPL, BSD и т.п.) и могут изменяться всеми желающими. Проприетарное - такое, эксклюзивные права на которое принадлежат какой-либо одной компании или разработчику; исходные тексты таких программ обычно не публикуются.

Шифрование предполагает использование паролей, поэтому позаботьтесь, чтобы ваш пароль был правильным: длинным, случайным, разнообразным.

Многие офисные приложения (текстовые редакторы, электронные таблицы и др.) умеют шифровать свои документы самостоятельно. Однако стойкость применяемых ими шифров, как правило, невелика. Поэтому для защиты лучше предпочесть одно из перечисленных выше универсальных решений.

Для задач, которые требуют анонимности/приватности, удобней держать отдельный браузер, настроенный на «параноидальный» режим (вроде уже упоминавшегося комплекта Firefox + TOR).

Javascript, часто используемый в Сети, это настоящая находка для шпиона. Поэтому, если вам есть что скрывать, Javascript в настройках браузера лучше заблокировать. Также безусловно блокируйте рекламу (поставьте любой плагин, реализующий эту функцию, например, AdBlockPlus): под видом банеров в последнее время часто рассылают вредоносный код.

Если пресловутый «закон Яровой» всё-таки вступит в силу (по плану это должно случиться 1 июля 2018 года), запасные ключи от всех шифров в России должны будут быть переданы государству, в противном случае шифр не будет сертифицирован. А за пользование несертифицированным шифрованием даже рядовые обладатели смартфонов смогут быть оштрафованными на сумму от 3 тысяч рублей с конфискацией цифрового устройства.

P.S. В статье использована фотография Christiaan Colen .

Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.

Шифрование трафика на уровне операционной системы, технологии IPSec и OpenVPN, протоколы ESP, AH, ISAKMP, Oakley, преимущества IPSec, встроенные правила, IP Security Monitor

Более надежный способ - шифрование трафика, который передается по сети. Это можно делать на двух уровнях:

· уровне приложения - когда данные шифруются самим приложением , например, почтовым клиентом, Web-сервером, сервером баз данных и т.п. Некоторые такие типы шифрования будут рассмотрены в соответствующих модулях;

· шифрование трафика на уровне операционной системы . Часто бывает так, что на уровне приложения шифрование не применить (например, если это не было предусмотрено разработчиками). В этой ситуации наилучший выход - применить шифрование средствами операционной системы. Обычно такой способ шифрования полностью прозрачен для приложений и не мешает их нормальной работе. Два наиболее распространенных средства шифрования трафика на уровне операционной системы - IPSec и OpenVPN.

Оба средства являются реализациями открытых стандартов и могут использоваться как в Windows, так и в *nix. Очень удобно то, что средства работы с IPSec встроены в Windows (только 2000/XP/2003) и для их использования ничего устанавливать не надо (только настроить).

В этом курсе мы будем рассматривать только моменты, связанные с IPSec.

IPSec формально определяется как набор стандартов, которые используются для проверки, аутентификации и шифрования данных на уровне IP-пакетов. В IPSec используются одновременно два протокола: ESP (Encapsulating Security Payload ), ответственный за шифрование трафика и AH (Authentification Header ), который ответственен за применение к трафику цифровой подписи. При этом, в отличие от множества других протоколов шифрования (например, SSL), в IPSec шифрование производится еще до аутентификации, что резко повышает надежность этого протокола. Для аутентификации в IPSec используется набор протоколов Internet Key Exchange (IKE ), который включает в себя два протокола: ISAKMP (Internet Security Association and Key Management Protocol ) и Oakley Key Determination Protocol . Эти протоколы "проводят переговоры" между двумя компьютерами, которые собираются взаимодействовать по IPSec, а потом генерируют итоговый результат и передают его вместе с ключом драйверу IPSec. В снифферах видны только пакеты ISAKMP/Oakley, вложенная в них информация ESP и AH (а тем более данные) уже не видны.

К преимуществам IPSec можно отнести:

· полную прозрачность для приложений, сетевых устройств (например, маршрутизаторов), драйверов сетевых адаптеров и т.п. С точки зрения приложения - идет обычная передача данных по сети, с точки зрения сетевых устройств - по сети передаются обычные пакеты прикладного протокола ISAKMP/Oakley, которые ничего специального не требуют;

· высокую степень интеграции с доменом Windows. Фактически в самом простом режиме (с использованием аутентификации Kerberos) вам достаточно включить IPSec на компьютере - вся аутентификация будет производиться с использованием службы Kerberos на контроллере домена. В специальных случаях можно использовать сертификаты - их уже необходимо устанавливать вручную. Оба этих способа несовместимы с реализациями IPSec под *nix - для совместной работы этих компьютеров с IPSec в Windows 2003 придется использовать preshared key. В Windows 98 и ME (в Windows 95 - нельзя) для использования IPSec можно установить L2TP/IPSec VPN Client , но в этом случае вы столкнетесь с двумя ограничениями:

o IPSec можно использовать только для VPN -соединений (для обычных сетевых нельзя);

o при настройке IPSec нельзя использовать аутентификацию Kerberos (только сертификаты или preshared key ).

Те же ограничения действуют и для Windows NT 4.0.

· защиту от подмены субъекта соединения (в реализации от Microsoft обязательна взаимная аутентификация и клиента, и сервера), уникальный счетчик пакетов - защита от replay attack (когда пойманные сниффером пакеты используются для повторного установления соединения, уже от имени другой системы), очень эффективный и производительный способ проверки цифровой подписи пакетов (пакеты, не прошедшие проверку, сразу отбрасываются);

· высокая производительность. Как правило, в локальной сети шифрование при помощи IPSec практически незаметно. Если же нужна более высокая производительность, то в вашем распоряжении - множество сетевых карт с аппаратными ускорителями IPSec (стоимость, как правило, менее 100 USD).

· высокая управляемость. IPSec позволяет применяться избирательно - например, только к трафику определенных компьютеров, или определенных приложений и т.п. Настройка таких правил производится при помощи политик IPSec и может быть произведена централизованно.

Некоторый служебный трафик IPSec не шифрует. Например, не шифруется трафик протокола Kerberos, любой широковещательный трафик и трафик групповой рассылки и т.п.

Настройку IPSec можно производить разными способами. На графическом экране это удобнее всего сделать при помощи консоли MMC IPsec (она встроена во множество других консолей, например, консоль редактирования групповой политики). Если запустить эту консоль из MMC вручную, в вашем распоряжении будет четыре варианта: отредактировать локальную политику, политику удаленного компьютера, групповую политику своего или чужого домена. Необходимо помнить, что если возникает конфликт между локальной политикой безопасности и политикой безопасности на уровне домена, приоритет имеет политика безопасности на уровне домена.

Всего в вашем распоряжении три заранее готовых шаблона политик IPSec (а также возможность создать свою):

· Client (Respond Only ) - это политика минимального использования IPSec . Она включает в себя единственное правило (это специальное правило Default Response rule ), смысл которого прост: если к этому компьютеру обращаются по IPSec , он будет отвечать по IPSec . В других ситуациях IPSec использовать не будет.

· Server (Request Security ) - более широкое использование IPSec. Включает в себя три правила: уже известное нам Default Response rule, беспрепятственный пропуск незашифрованного трафика ICMP и запрос (необязательный) IPSec для всего остального трафика IPSec. Если контрагент не поддерживает IPSec, то передача данных будет производиться без шифрования.

· Secure Server (Require Security ) - наиболее требовательная с точки зрения безопасности политика. В ней - те же Default Response Rule и пропуск ICMP, но для всего остального трафика IPSec будет запрашиваться в обязательном порядке. Если контрагент не поддерживает IPSec, в установлении соединения будет отказано.

Во всех трех предопределенных политиках используется протокол генерации ключей на основе Kerberos, поэтому нужно быть очень осторожным. Например, если вы применили политику Secure Server только на одном компьютере, а на контроллере домена вы не включили IPSec, то этот компьютер не сможет получить сертификат с контроллера домена и не сможет вообще взаимодействовать с какими-либо компьютерами по сети.

Для максимальной гибкости вы можете создать свою политику IPSec, например, если нужно шифровать трафик только одного приложения или только с определенных компьютеров. В вашем распоряжении - возможность указать IP-адрес компьютера-отправителя и получателя, тип протокола, номер порта, а также дополнительные возможности, например, применение сертификатов, preshared key, методы шифрования, которые будут использоваться, параметры туннелирования и т.п.

Чтобы применить любую из политик безопасности, необходимо в контекстном меню для нее выбрать Assign (затем можно ее точно также отменить). По умолчанию не назначена ни одна из политик, и, значит, компьютер не может вообще работать с IPSec.

Из командной строки управлять IPSec можно при помощи NETSH (в Windows 2000 для этой цели можно было использовать специальную утилиту Resource Kit ipsecpol.exe, которая в Windows 2003 уже не работает).

Производить мониторинг соединений по IPSec можно либо при помощи сниффера (вы просто увидите, что происходит какая-то активность), либо при помощи специальной консоли MMC IP Security Monitor, которая показывает статистику соединений по IPSec. В ней данные объединены в три контейнера:

· Active Policy - показывает, какая политика назначена в настоящий момент и дополнительную информацию об этой политике. Если у вас конфликт политик, можно заглянуть в этот контейнер, а можно воспользоваться стандартным RSOP - R esultant Set of Policy ;

· Main Mode - статистика режима работы Oakley Main Mode (когда ключи нужно создавать с нуля);

· Quick Mode - статистика режима работы Oakley Quick Mode, когда ключи устарели, но информация, необходимая для генерации ключа, уже есть. В этом случае достаточно просто обновить ключ. Повторное использование ключа в IPSec запрещается.

Есть возможность также настроить диагностическое протоколирование IPSec через реестр (об этом - в базе знаний Microsoft).

Журналистам издания «Коммерсантъ» стало известно, как правительственные ведомства видят реализацию «закона Яровой» на практике.

По данным «Коммерсанта» , ФСБ, Минкомсвязь и Минпромторг в настоящий момент обсуждают набор технических решений, которые позволят реализовать дешифровку и соответственно доступ ко всему интернет-трафику россиян, как того требует «закон Яровой». Журналисты ссылаются на информацию, полученную от топ-менеджера одного из производителей оборудования, члена Администрации президента (АП), а также неназванного источника в IT-компании.

«Хранить эксабайты шифрованного интернет-трафика не имеет смысла - в нем ничего не найдешь. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме real-time и анализировать его по ключевым параметрам, условно говоря, по слову «бомба», а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов»,- рассказал журналистам представитель АП.

Для анализа нешифрованного и уже расшифрованного трафика планируется использовать DPI-системы (Deep Packet Inspection), которые и сейчас применяются многими операторами, например для URL-фильтрации по спискам запрещенных сайтов.

Сложности у правительственных ведомств вызывает зашифрованный трафик. «В интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение», - поясняют собеседники издания. «Без расшифровки трафика не всегда можно понять, на какой сайт заходил пользователь, не говоря о том, что он там делал». Так, одним из обсуждаемых вариантов дешифровки трафика является установка в сетях операторов оборудования, которое будет фактически выполнять MITM-атаки:

«Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта - пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно - с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя».

Журналисты пишут, что Илья Массух, глава подгруппы «ИТ+Суверенитет» при Администрации президента, ранее уже подтверждал, что планы по созданию такого удостоверяющего центра действительно есть. Впрочем, будет ли данный УЦ использоваться для реализации «закона Яровой», пока неизвестно.

Также о предложении по расшифровке трафика слышал основатель «Энвижн Групп» и совладелец производителя телекоммуникационного оборудования РДП.РУ Антон Сушкевич.

«Два основных метода шифрования в интернете - end-to-end, который очень популярен в мессенджерах, и SSL-сертификаты - с их помощью около 80% интернет-трафика шифруется. Для того чтобы выполнять задачу, поставленную «законом Яровой», то есть бороться с терроризмом, нужно расшифровывать и анализировать трафик в прямом эфире, а не какое-то время спустя. Организация MITM - один из возможных путей»,- утверждает Сушкевич.

Также «Коммерсантъ» поинтересовался мнением экспертов по данному вопросу, и те выразили определенный скепсис относительно описанной схемы.

«Когда о данном факте станет известно, из всего ПО, обеспечивающего работу с шифрованным трафиком, сертификат подобного удостоверяющего центра будет вырезан в очередном обновлении. И это будет правильно, потому что возможность создавать «левые» сертификаты дискредитирует всю электронную коммерцию: все банковские карточки, учетные данные всех пользователей во всех системах становятся перехватываемыми»,- объясняет глава АРСИЭНТЕК Денис Нештун.

«MITM хорошо, а местами и легально работает для клиент-серверных технологий на базе SSL. Но от него стали чаще отказываться и переходить на TLS, для которого MITM сделать сегодня нельзя. А в случае с end-to-end шифрованием, на котором построено большинство мессенджеров, MITM вообще нереализуем»,- говорит консультант по интернет-безопасности Cisco Алексей Лукацкий.

Напомню, что согласно «закону Яровой», организаторы распространения информации должны предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей в уполномоченное подразделение ФСБ.

«Организаторами распространения информации», в свою очередь, считаются «лица, осуществляющие деятельность по обеспечению функционирования информационных систем и (или) программ», которые используются для «приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет». То есть таковыми являются практически любые сервисы, при помощи которых осуществляется передача сообщений, будто то мессенджер или почта.

Собеседники «Коммерсанта» полагают, что «иностранные компании этому требованию просто не подчинятся, а российские, может, и сдадут ключи после многочисленных требований».

Национальный антитеррористический комитет придумает, как взять под контроль шифрованный интернет-трафик и сервисы вроде FireChat. Представители отрасли опасаются, что это приведет к утечкам персональных данных граждан

«Понимать, что происходит внутри шифрованного трафика»

Национальный антитеррористический комитет России (НАК) создал рабочую группу для обсуждения вопросов регулирования шифрованного трафика, рассказал во вторник, 19 апреля, руководитель Роскомнадзора Александр Жаров. Он лично возглавил рабочую группу при НАКе. Также в нее вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК), уточнил Жаров.

Обсуждения на новой площадке ведутся с февраля 2016 года, рабочая группа была создана по поручению Совета безопасности РФ и должна представить Совбезу доклад по итогам работы к 1 июля 2016 года, уточнил представитель Роскомнадзора Вадим Ампелонский.

В Рунете объем шифрованного трафика составляет, по разным оценкам, от 30 до 50%, большая его часть приходится на протокол HTTPS, говорит главный аналитик РАЭК Карен​ Казарян. Эксперты Google сообщали, что доля шифрованного трафика в сервисах корпорации в среднем превышает 75% в мире, 81% — в России. У «Ростелекома» около 50% шифрованного трафика, говорит представитель оператора. Сам Жаров в феврале 2016 года в интервью «Российской газете» говорил, что доля шифрованного трафика в России в 2015 году составила порядка 15%, а в 2016-м может превысить 20%.

«Речь идет о шифрованном трафике, роль которого нарастает, о сжатии трафика, как легальном, которое применяется в браузерах и других программах, [так и нелегальном] в иных самодельных способах обхода блокировок: прокси-серверах, анонимайзерах и т.д.», — отметил Жаров. По его словам, обсуждается «введение единой системы шифрования [которая нужна], чтобы понимать, что происходит внутри шифрованного трафика». Участники группы думают, что «можно сделать с различными средствами шифрования, которые применяются: сертифицировать их, лицензировать, ограничить количество схем шифрования».

Увлеклись шифрованием

Шифрование данных по модели end to end, когда данные передаются от одного беспроводного устройства к другому и доступны только отправителю и получателю, уже несколько лет использует мессенджер Павла Дурова Telegram. В начале апреля 2016 года эту технологию для всего миллиарда своих пользователей . А 19 апреля о начале шифрования данных объявил еще один популярный сервис для обмена сообщениями — Viber.

В перспективе на рынке может появиться технология «по аналогии с DPI (deep packet inspection — технология фильтрации трафика, используемая провайдерами. — РБК ) на уровне шифрованного трафика», считает Жаров. Крупная немецкая корпорация уже разработала метод сегментации шифрованного трафика и представила его на рассмотрение рабочей группы, отметил глава Роскомнадзора. Название компании он раскрыть отказался, сославшись на коммерческую тайну.

«На грани нарушения конституционного права»

Сегментация трафика нужна не только государству для эффективной борьбы с терроризмом и экстремизмом, но и операторам связи, подчеркнул Жаров. «Для оператора связи с точки зрения бизнеса важно приоритизировать, например, голосовой трафик, чтобы монетизировать платные услуги, которые он предоставляет, за счет других видов трафика. Например, торрент-трафика, который находится в условно легитимном поле», — пояснил глава Роскомнадзора. «Ростелеком» участвует в рабочей группе, сообщил представитель компании Андрей Поляков. Представители МТС, «МегаФона» и «ВымпелКома» отказались от комментариев.

Рабочая группа при НАКе также обсуждает возможность регулирования сервисов, использующих для передачи данных беспроводные сети и способных работать без подключения к интернету, таких как мессенджер FireChat, известный как . «По сути дела, вне сети сайта идет обмен пакетами информации. Это проблема, потому что таким образом будут продаваться наркотики, распространяться детская порнография и так далее. С этим тоже надо что-то делать», — рассказал Жаров.

Российские власти не понимают природу вещей, которые хотят регулировать, сообщил РБК Станислав Шалунов, сооснователь компании-разработчика FireChat — Open Garden: весь смысл шифрования, о котором говорит Жаров, — в том, что только отправитель и получатель технически в состоянии прочесть трафик. «Невозможно технически иметь возможность регулировать такой трафик, как не распространяется звук в космосе: создание рабочей группы по вакуумной акустике этого факта не изменит», — отметил Шалунов. Трафик приложений вроде FireChat мало того что зашифрован — вообще не всегда идет через традиционных провайдеров, рассчитывать его как-то читать в сети провайдера—двойной абсурд, заключил он.

Абсолютно аналогичные подходы разрабатываются в США и странах Европы, «активно обсуждается вопрос кастомизации — сертификации — конечного оборудования», настаивает Жаров. Конкретные технологические и законодательные подходы для регулирования шифрованного трафика появятся не ранее чем через два года, прогнозирует он. По его словам, рабочая группа не ставит себе целью ужесточить контроль над интернетом. «Все понимают, что запретить шифрованный трафик невозможно, потому что он применяется и для абсолютно необходимых действий, вроде сохранения банковской тайны», — отметил чиновник.

Шифрование может проводиться программными средствами, свободно распространяемыми в Сети (браузер Chrome от Google, мессенджер Павла Дурова Telegram и др.), проконтролировать их использование можно, только если «поставить на каждое оконечное устройство по жучку и дистанционно постоянно мониторить работу», говорит источник в одном из операторов связи. По его мнению, «сама постановка вопроса о контроле шифрования на сетях связи — на грани нарушения конституционного права граждан на тайну связи».

Казарян сообщил РБК, что в организации считают, что «регулирование шифрования не требуется, более того, с большой вероятностью оно приведет к увеличению киберугроз и утечкам персональных данных граждан».​

В Национальном антитеррористическом комитете и Федеральной службе безопасности не смогли оперативно отреагировать на запросы РБК.

При участии Ильи Рождественского

Всё чаще интернет-провайдеры подавляют в своих сетях трафик BitTorrent , что делает невозможной загрузку файлов на высокой скорости.

2. Смотрите раздел «Шифрование протокола» (Protocol encryption). Здесь можно выбрать одну из опций - «Включено» (Enabled) или «Принудительно» (Forced). При использовании первой соединений будет больше, но защита от подавления трафика окажется менее надежной. Я бы посоветовал для начала выбрать опцию «Включено» , а если скорость будет низкой, переключиться на «Принудительно».

3. Опция «Разрешить входящие соединения от устаревших клиентов» (Allow incoming legacy connections) позволяет принимать соединения от программ, не поддерживающих шифрование. Это повышает совместимость с другими пирами, но делает вас более уязвимым к средствам подавления трафика. Я бы порекомендовал для начала отметить эту опцию, а если скорость по-прежнему будет низкой, отключить ее.

Теперь ваш торрент-трафик зашифрован.

Удачи и приятного скачивания!