Webbläsare med trafikkryptering. Kryptering. Datakryptering på molnservrar som Dropbox

Andelen krypterad trafik i den totala mängden överförd och mottagen data ökar ständigt. Förbättrat skydd av användarmeddelanden blir en standard för snabbmeddelanden, antalet internetresurser med hyperlänkar som börjar med "https" växer, VPN -anslutningar är populära - allt detta komplicerar eller gör det omöjligt att analysera information i trafik, vilket kommer att behöva räddas i enlighet med lagen.

I takt arbetsgrupp expertråd Under Ryska federationens regering närmar sig andelen krypterad trafik i teleoperatörernas nätverk 50 procent. Eftersom det inte finns någon anledning att hindra tillväxten av denna andel kan det förväntas att den under de närmaste tre åren kommer att öka till 90 procent.

Den 17 februari kommer vice premiärminister Arkady Dvorkovich, som övervakar utarbetandet av stadgar för Yarovaya -paketet i regeringen, att sammankalla ett möte där ministeriet för telekom och masskommunikation måste ange hur och med vilka medel operatörerna måste uppfylla kraven i lagen. Dvorkovich måste bedömas ekonomiska kostnader, och kommunikationsministern Nikiforov kommer att informera om beredskapen för stadgar som måste antas av Ryska federationens regering.

Det kan förväntas att huvuddelen av mötet kommer att ägnas åt diskussionen om de ögonblick som inte bara teleoperatörer utan också specialtjänster måste möta i processen. Enligt Abyzov, minister för öppen regering och chef för expertgruppen, ska ändringarna i den nuvarande antiterrorlagstiftningen, som ingår i Yarovaya-paketet, bidra till att förebygga brott och öka utredningens effektivitet.

För varje dag som går, ökar sannolikheten för att operatörerna med all sin vilja inte kommer att ha tid att genomföra allt på rätt sätt med tiden som krävs. Avsaknaden av antagna stadgar tillåter dem inte att planera framtida kostnader, storleken och "uppdelningen" i tid är oklart, vilka källor som måste användas, hur dessa kostnader kommer att påverka lönsamheten i verksamheten.

Det finns fortfarande ingen information om sammansättningen av programvara och tekniska medel som teleoperatörer kan använda, hur och när de kommer att certifieras och godkännas för användning i telekomnät. Det kommer att ta tid att fatta beslut om hur man ska integrera valfri utrustning vilken infrastruktur som krävs. Det slutliga lagringsschemat är okänt: operatörerna är fullt involverade i alla frågor, eller så kommer Rostec att vara inblandad ().

Det finns "mindre", men specifika, frågor från enskilda operatörer. Till exempel skulle mobiloperatörer vilja veta vad de ska göra med abonnenternas trafik vid roaming.

Med tanke på arten av informationen som ska lagras är det nödvändigt ytterligare beställningar, instruktioner och förklaringar. som innehåller krav på skydd av information, som beskriver proceduren för tillgång och tillträde till den. Ansvar vid en "läcka" bör definieras (av någon anledning diskuteras knappast ämnet "ansvar" av allmänheten).

Alla förväntar sig svar på denna uppsättning frågor från ministeriet för industri och handel och ministeriet för telekom och masskommunikation - dessa avdelningar måste utarbeta utkast till flera rättsakter och skicka dem till Ryska federationens regering. Det finns en känsla av att trafiklagringssystemet sannolikt inte kommer att implementeras före den 1 juli 2018. Jag antar att misslyckandet med att implementera "Yarovaya -paketet" kan allvarligt "slå tillbaka" på kommunikationsministern.

I de första meddelandena som visades på Internet på nyhetsflödena från Interfax, RIA Novosti, etc., fanns det inga detaljer. Dvorkovichs pressekreterare informerade kort: " Ett möte hölls om lagen, prioriteringarna och förfarandet för att slutföra stadgar, samt eventuella lagändringar vid omöjlighet att återspegla den överenskomna ståndpunkten i resolutionen diskuterades".

Journalisterna försökte fråga deltagarna om diskussionens gång. Vad blev känt:

1. Om höjningen av tullarna. Någon närvarande vid mötet sa att vice premiärminister Arkady Dvorkovich vädjade till operatörer (mötet deltog av företrädare för vissa företag - MTS, MegaFon, VimpelCom, Yandex) med en begäran om att inte låta sig dra med ökande avgifter för tjänster och föreslog att hålla prisuppgången inom den nuvarande inflationen. Jag vet inte vad han hörde som svar, men de många uppskattningarna av kostnaderna för genomförandet av Yarovaya -paketet och den begränsade tid då dessa pengar måste spenderas passar inte in i alla telekommunikationsföretags ekonomi. Konsekvenser: åtminstone kommer nätutvecklingen att stanna i flera år och det kommer att bli nödvändigt att minska driftskostnaderna, vilket kommer att leda till en minskning. kvaliteten på tjänsterna. Som maximalt blir det lättare att avveckla verksamheten på en gång, utan experiment "Jag kommer att överleva - jag kommer inte att överleva".

Som jag redan skrev, mer eller mindre korrekt ekonomisk bedömning kunde erhållas genom lanseringen av ett pilotprojekt.

2. Vad man ska förvara och vad man inte ska förvara. Tjänstemän har en förståelse för att de inte kommer att kunna lagra all trafik. Det här är inte allt som finns goda nyheter för leverantörer: om "återberättelsen" av en av deltagarna är korrekt, kan de i det första stadiet vara skyldiga att bara lagra trafiken för röstsamtal och SMS-ki, exklusive lagring av datatrafik. Den andra deltagarens "återberättelse" är annorlunda (och kanske hade jag bråttom att glädja leverantörerna): vi diskuterade lagringstider för trafik av röstsamtal och textmeddelanden (SMS), mobiloperatörer skulle vilja minska dessa perioder. Att frågan om datatrafik diskuterades separat bekräftas. Men det verkar som att det bara handlade om att minska lagringstiden och mängden sparad trafik.

Det vill säga vad och hur man gör med datatrafik - osäkerhet kvarstår, du måste vänta nya versioner räkningar som ska utarbetas av ministeriet för telekom och masskommunikation.

3. Hur man implementerar ett lagringssystem. FSB föreslår att utöka "ringbufferten" under implementeringen av "Yarovaya -paketet". Operatörer har inget emot att tro att denna väg kan vara billigare än att skapa ett nytt lagringssystem för full trafik. Det visade sig i förbifarten att FSB inte stöder tanken på Rostec om ett enda förråd av information, eftersom specialtjänsterna skulle vilja klara sig utan en mellanliggande länk i form av Rostec mellan dem och teleoperatörer. Dessutom, som jag redan skrev, tvingar den nuvarande versionen av lagen (aka "Yarovaya -paket") teleoperatörer och bara dem att samla in, spela in och lagra abonnenttrafik. Eftersom "genomförandet" av Rostec innebär behovet av lagändringar, kan denna väg, inklusive överväganden och antagande av ändringar i statsduman, "äta upp" mycket tid.

SoftEnter VPN -klientprogram.

I samband med det verkliga hotet att utvidga bestraffningsfunktionerna i lagen om piratkopiering och den möjliga början på dess överföring till vanliga användare, nämligen eventuellt införande av böter för nedladdning av piratkopierat innehåll (filmer, musikprogram och så vidare), Jag fortsätter att bekanta besökare på mina webbplatser med information om hur man undviker dessa böter, det vill säga hur man laddar ner från Internet ANONYMT. Tidigare visade jag dig hur du laddar ner anonymt från direktlänkar och från torrents. I den här artikeln kommer vi att titta på ett av sätten att kryptera all internettrafik. Genom att kryptera all internettrafik kan du bli helt anonym på Internet genom att ändra din IP-adress till en tredje part. Efter att ha ändrat IP -adressen med den applikation som föreslås i den här artikeln kommer ingen av de utomstående att kunna ta reda på vilka webbplatser du besökt, vad du laddade ner, inklusive din internettrafik i torrentklienten kommer att krypteras.
Det handlar om en applikation som heter SoftEnter VPN Client. Detta är ett klientprogram för kommunikation med en tjänst som kallas VPN Gate.
VPN Gate -tjänsten är ett experimentellt projekt Gymnasium University of Tsukuba (Japan). Tanken med projektet är organisationen av volontärer i ett offentligt offentligt nätverk av VPN -tunnlar, som skapas med hjälp av en speciell programvara, och tillhandahålls gratis för allmänheten allmänt bruk... Vem som helst kan ansluta till dem.
Privata offentliga VPN Gate -nät tillhandahålls av vanliga människor, inte företag, och till och med den hypotetiska möjligheten att få loggar (historiken för de webbplatser du besökt och nedladdningshistoriken) på begäran av de behöriga myndigheterna utesluts. VPN Gate -tjänsten skapades för att göra det möjligt för medborgare i länder där vissa webbplatser blockeras fritt och anonymt att besöka dem, men tjänsten kan också användas för att ladda ner det innehåll du behöver utan att vara rädd för obehagliga konsekvenser.
Det är enkelt att konfigurera SoftEnter VPN -klienten. Nu ska jag visa dig hur du gör.

Ladda ner först på utvecklarens webbplats från länken arkiv med installationsfilen för SoftEnter VPN Client -programvaran.

Förresten, information för dem som redan har använt universal instant tyskt Nano Kleber -lim och för dem som ännu inte känner till vår produkt har vårt lim förändrats dramatiskt.
Naturligtvis i bättre sida... För det första har förändrats utseende förpackningar och flaskor lim. För det andra har flaskornas volym ökat med en tredjedel! Nu är flaskans vikt 31,5 gram, flaskan med svetsgranulat är 25 gram.
Och viktigast av allt, kvaliteten på själva limet har förbättrats. På grund av den populära efterfrågan från kunder har limmet blivit tjockare. Detta gör att du kan arbeta med det utan att rusa innan du klämmer (limar). Förberedelseperioden fördubblas! Priset förblev dock detsamma.
Du kan lära dig mer om Nano Kleber -lim på vår officiella webbplats på länken. Du kan också beställa det där. Leverans - över hela Ryssland.

När du har laddat ner arkivet packar du upp mappen med installationsfilen till skrivbordet.

Öppna den och kör installationen av SoftEnter VPN Client -programvaran.

Efter installationen av SoftEnter VPN -klientprogramvaran startar vi den.

Vi väljer en av VPN -servrarna och ansluter till den.

När den väl är ansluten till den valda VPN-servern vidarebefordras all din internettrafik via en tredjepartsserver, vilket döljer din internetaktivitet på ett tillförlitligt sätt.

Du kan enkelt ta reda på att du är ansluten till den valda VPN -servern genom att besöka en av tjänsterna för kontroll av IP -adresser. Att hitta dem är lätt. I sökraden i alla sökmotorer, till exempel i Yandex, skriver vi sökfrasen "ip check".

Det är enkelt att koppla bort en VPN -anslutning. En särskild ikon kommer att visas i facket efter installationen av SoftEnter VPN Client -programvaran. Klicka på den med höger musknapp och välj den nedre raden i rullgardinsmenyn för att inaktivera programmet.

Som du kan se är det enkelt att kryptera all din internettrafik med SoftEnter VPN -klient och VPN -gate.
Inom en snar framtid kommer vi att fortsätta att studera ämnet att kryptera internettrafik och överväga ett annat sätt att kryptera trafik med VPN -tjänster, direkt, utan att använda tredjepartsprogram, men bara genom att ändra inställningarna för internetanslutningen.

Vi förstår grunderna för "anonymitet" i nätverket.

Artikeln hjälper dig att avgöra om du behöver ett VPN specifikt för dig och välja en leverantör, samt berätta om fallgroparna för denna teknik och dess alternativ.

Detta material är bara en VPN -berättelse med en översikt över leverantörer, avsedda för övergripande utveckling och lösningar på mindre vardagsproblem. Det kommer inte att lära dig hur du uppnår fullständig anonymitet i nätverket och 100% integritet för trafik.

Vad är VPN?

Virtuellt privat nätverk(virtuellt privat nätverk) - ett nätverk av enheter som skapas ovanpå en annan och inuti, tack vare krypteringsteknik, skapas säkra kanaler för datautbyte.

VPN -servern hanterar nätverkets användarkonton och fungerar som deras ingång till Internet. Krypterad trafik överförs genom den.

Nedan kommer vi att berätta om de leverantörer som ger tillgång till VPN -servrar i olika länder... Men låt oss först ta reda på varför det behövs?

Fördelar med att använda ett VPN

1. Ändring av "adress"

När behöver en laglydig ryss en annan IP?

2. Skydd mot små onda andar

En VPN kommer inte att rädda dig från trakasserier från myndigheter, men det kommer att skydda dig från:

• En kontorsnätverksadministratör som samlar smuts på dig eller bara gillar att läsa andras brev;
• Skolbarn som ägnar sig åt att lyssna på offentlig WiFi -hotspot -trafik.

Nackdelar med att använda en VPN

Fart

Internethastigheten när du använder en VPN -leverantör kan vara långsammare än utan den. Först och främst gäller detta gratis VPN. Dessutom kan det vara instabilt, beroende på tid på dagen eller platsen för den valda servern.

Tekniska svårigheter

VPN -leverantören kan ha ett avbrott. Speciellt om det är litet och lite känt.

Vanligaste problemet: vpn kopplades bort och sa inget till någon. Nödvändig spår för att säkerställa att din anslutning blockeras vid problem med servern.

Annars kan det vara så här: du skriver skadliga kommentarer på din kompisens artikel, och VPN kopplades tyst bort och den riktiga IP: n tändes i adminpanelen, du missade det och grannen märkte och förbereder en hämndplan .

Inbillad anonymitet

Din trafikinformation överförs till en tredje part. VPN -leverantörer blir ofta tillfrågade i intervjuer, "Håller du loggar?" De svarar: "Nej, nej, naturligtvis inte!" Men ingen tror dem. Och av goda skäl.

Licensavtalen för många VPN -leverantörer anger öppet att användaren inte har rätt att kränka upphovsrätten, köra hackarprogram, skicka skräppost, och i händelse av kränkningar blockeras hans konto utan återbetalning. Exempel: ExpressVPNs användarvillkor. Det följer av detta att användarens åtgärder i nätverket övervakas.

Och några smidiga VPN -leverantörer, till exempel Astrill, kräver SMS -bekräftelse för att aktivera kontot (det fungerar inte för ryska nummer). Vill du dölja din IP och kryptera din trafik? Ok, men lämna numret för säkerhets skull.

Och frågeformulären när du registrerar konton är ibland ansträngda med onödiga frågor. Till exempel, varför behöver en VPN -leverantör en persons postnummer? Skicka paket för nyåret?

Användarens identitet är också kanske identifieras av bankkort(eller via plånböckerna i betalningssystem genom vilka virtuella kort). Vissa VPN -leverantörer lockar användare genom att acceptera kryptokurvor som betalning. Detta är ett plus för anonymitet.

Att välja en VPN -tjänst

VPN -leverantörer är en krona ett dussin. När allt kommer omkring detta lönsam verksamhet med en låg tröskel för inträde. Om du ställer en sådan fråga på forumet kommer ägarna till tjänsterna springande och översvämma med sina annonser.

För att hjälpa dig att välja skapades sajten bestvpn.com, där betyg och recensioner av VPN -leverantörer publiceras.

Låt oss ta en snabb titt på de bästa VPN: erna (enligt bestvpn.com) som har en iOS -app.

ExpressVPN

96 städer i 78 länder. 30-dagars pengarna-tillbaka-garanti vid servicestopp. Det finns applikationer för OS X, Windows, iOS och Android. Du kan arbeta med 5 enheter samtidigt.

Pris: från $ 9,99 till $ 12,95 per månad (beror på betalningsperioden).

Privat internetåtkomst

25 länder. Det finns applikationer för OS X, Windows, projektets webbplats.

Pris: från $ 2,50 till $ 6,95 per månad (beror på betalningsperioden).

IP försvinna VPN

Mer än 60 länder. Det finns VPN -klienter för iOS, Android, Windows, Mac, Ubuntu, Chromebooks och routrar. Det är möjligt att arbeta med flera enheter samtidigt.

Optimistisk paranoid

En mycket intressant marknadsföring knep av. De föreslår att kör krypterad trafik inte genom en, utan genom två eller tre servrar.

Min åsikt i den här frågan är följande: om en VPN bara behövs för att dölja vilket land du kommer från, är det inte meningsfullt. Och om du verkligen har något att dölja, då är poängen att överföra det via tre andras servrar samtidigt?

Alternativ

Egen OpenVPN -server

Tor

Tor -trafik flödar genom flera oberoende servrar till olika punkter landa i krypterad form. Detta gör det svårt att bestämma användarens ursprungliga IP -adress. Men den försiktiga berättelsen om Ross Ulbricht (ägare till Silk Road) påminner oss om att de amerikanska underrättelsetjänsterna kan mycket.

Fördelar:

• Är gratis;
• Tillgång till löknätverket ("darknet"). Det finns hela linjen webbplatser som endast är tillgängliga från Tor -webbläsaren. Det här är deras egna sökmotorer (gram), butiker, bibliotek, kryptovalutaväxlingar, system kontextuell reklam, Encyclopedia Onion Wiki. Men för en laglydig ryss finns det inget av intresse för detta nätverk.

Minus:

• Låg hastighet.

Vad tycker Roskomnadzor?

Anställda på avdelningen är oerhört missnöjda med att ryssarna strävar efter anonymitet på Internet. Nyligen kallade en talesman för Roskomnadzor Tor -användare för "socialt avfall", och byrån själv är för att förbjuda anonymiserare. Men ryssarna lyssnar inte på sådana åsikter. Egor Minin (grundare av RuTracker) hävdar att hälften av användarna av hans resurs kan kringgå blockeringen.

Parallellt med utvecklingen av teknik för att skydda internettrafik från obehörig åtkomst utvecklas också teknik för att fånga upp säker trafik. Det har länge varit lätt att fånga upp och studera okrypterad brukartrafik, även för en vanlig användare. Nästan alla känner till ordet "sniffer". I teorin kan säkra SSL / TSL -anslutningar inte fångas upp på konventionella sätt. Men är det?

I själva verket är detta inte helt sant. Ja, krypterad trafik är teoretiskt omöjlig att dekryptera, även om teoretiskt igen, med ett mycket stort behov och lust, sådan trafik kan dekrypteras genom att hämta nyckeln. Detta kräver emellertid en sådan resursutgift att hackningens relevans bara förblir på regerings- eller militärnivå :)

När du arbetar över en säker anslutning (det enklaste exemplet är), krypteras all trafik mellan interagerande punkter i nätverket på avsändarens sida och dekrypteras på mottagarens sida. Trafiken som går åt båda hållen är krypterad. För att kunna kryptera och dekryptera det behöver du ett par nycklar (asymmetrisk kryptering). Den offentliga nyckeln används för kryptering och överförs till mottagaren av data, och den privata nyckeln för dekryptering, den ligger kvar hos avsändaren. Således utbyter noderna mellan vilka en SSL -anslutning upprättas offentliga nycklar. För att förbättra prestanda bildas vidare en enda nyckel som skickas redan krypterad och används för både kryptering och dekryptering på båda sidor (symmetrisk kryptering).

Hur gör dom det? Vanligtvis - på samma kanal genom vilken den skyddade trafiken kommer att gå längre. Dessutom sker utbyte av nycklar i öppet läge... När det gäller HTTPS är servernyckeln associerad med ett certifikat som användaren uppmanas att visa och acceptera. Och detta certifikat kan fångas upp av någon mellanliggande server, på vilket sätt det finns ett certifikat i klartext (proxy, router).

För att ytterligare "läsa" all användartrafik, ersätter mellanservern certifikatet med sitt eget. De där. den ansluter bara till klienten själv med sitt eget certifikat och ansluter samtidigt till fjärrservern. Klienten får ett "vänster" -certifikat från en skadlig server och webbläsaren informerar användaren om faran (sådana certifikat är alltid osignerade). Användaren har ett val: acceptera certifikatet och arbeta med webbplatsen, eller vägra att acceptera det, men då fungerar inte arbetet med webbplatsen längre. Ibland ignorerar användare innehållet i certifikaten helt och hållet och accepterar automatiskt allt som ges till dem.

Om användaren accepterar ett förfalskat certifikat går trafiken enligt följande mönster:

kund<= SSL-соединение =>avlyssningsserver<= SSL-соединение =>målserver

De där. mellanliggande servern tar emot all din "säkra" trafik i klartext. Det är också värt att notera att överföringen av certifikatet sker i början av varje HTTPS -session.

När det gäller säker SSH, första gången du ansluter till servern, lagras servernyckeln på klienten och klientnyckeln lagras på servern. Dessa nycklar överförs endast mellan dataklient-servern en gång vid den första anslutningen. Om SSH -trafik i det här fallet försöker fångas upp, kommer både klienten och servern att neka anslutningen på grund av en nyckelfel. Eftersom nycklarna kan överföras mellan klienten och servern i en rondell (via en säker kanal eller på ett externt medium) är denna anslutningsmetod relativt säker. Det kan bara blockeras genom att tvinga användaren att arbeta i det öppna.

Det bör noteras att de så kallade ”lösningarna för informationssäkerhet företag ”som avlyssnar all trafik som passerar kontors proxyserver och” läser ”den. Program letar efter förekomsten av vissa fraser eller information av en viss typ i dataströmmen från webbläsare, e -postprogram, ftp -klienter, budbärare från kontorsanställda. Dessutom kan dessa program särskilja och bearbeta korrekt mest olika typer kommunikation med servrar. Bland annat kontrollerar de också säker SSL -trafik genom att förfalska certifikat. Jag stötte på utvecklingen av ett av dessa system nästan direkt.

Men det finns sätt att undkomma total övervakning. Genom den etablerade SSH -anslutningen kan du skicka all nödvändig trafik som går från SSH -servern i den öppna formen till slutpunkten. Denna metod kallas SSH -tunnling. På så sätt kan du säkra trafikpassage över en osäker kanal, men detta tillvägagångssätt är meningsfullt bara om du har en pålitlig server med en SSH -demon installerad och konfigurerad för tunnling. Dessutom är det ganska enkelt att organisera det. SSH -klienten ansluter till servern, konfigurerar sig för att lyssna på vilken port som helst på den lokala datorn. Denna klient kommer att tillhandahålla SOCKS5 -proxytjänsten, dvs. dess användning kan konfigureras i alla webbläsare, e -postprogram, snabbmeddelanden etc. Genom SSH -tunneln går paketen till servern och därifrån går de till målservern. Schemat är följande:

<== SSH-соединение ==>server<=>målserver

Ett annat sätt att skydda trafiken är en VPN -kanal. Det är lättare och bekvämare att använda än SSH -tunneling, men det är svårare i den första installationen och konfigurationen. Den främsta bekvämligheten med denna metod är att det inte finns något behov av att registrera proxyer i program. Och en del programvara stöder inte alls en proxy, därför kommer bara VPN att göra det.

I praktiken finns det två alternativ för att arbeta. Det första är att köpa ett VPN -konto, som säljs specifikt för dessa ändamål (kryptering av trafik över en osäker kanal). I det här fallet säljs vanligtvis konton, som måste anslutas via PPTP (en vanlig VPN, som implementeras, till exempel i Windows) eller L2TP.

Det andra alternativet är att köpa en VDS -server (virtuell dedikerad server) med vilken Linux -distribution som helst ombord och skapa en VPN -server på den. VDS kan vara ryska eller amerikanska (glöm inte utländska pings), billiga (från $ 5) och svaga, eller dyra och kraftfullare. En OpenVPN -server är installerad på VDS, och OpenVPN -klienten är installerad på datorn. För Windows finns det till och med en guish -version av klienten.

Om du bestämmer dig för att använda OpenVPN-alternativet, det är till exempel den här enkla steg-för-steg-instruktionen om hur du höjer en server (Debian). Att installera klienten är ännu enklare, särskilt på Windows. Det finns bara en nyans som är värd att notera. Om all trafik måste tillåtas via den skapade VPN-anslutningen måste du registrera standardgatewayen till VPN-gatewayen (parametern för omdirigering-gateway i klientens konfiguration), och om bara en del av trafiken (till vissa värdar), då kan du skriva normala statiska rutter till dessa värdar (med IP; till exempel rutt add -p 81.25.32.25 10.7.0.1).

För OpenVPN -anslutningen sker nyckelutbytet i manuellt läge, d.v.s. det är helt säkert att transportera dem från servern till klienten.

Således kan SSH- och VPN -anslutningar nästan helt garantera din trafiks säkerhet när du reser över en osäker kanal. Det enda problemet som kan uppstå i detta fall är förbudet mot SSL -trafik på företagets brandvägg. Om SSL -trafik tillåts åtminstone en av någon port (vanligtvis standard 443), kan du eventuellt höja både SSH -tunneln och VPN -anslutningen genom att konfigurera lämplig demon på din VDS för denna port.

Alla pratar om sekretess för information, och kräver ibland att det måste säkerställas. Men få människor tänker på vart sådana krav leder oss? Å ena sidan, ja, sekretess, hemligheten i det personliga livet, korrespondensens hemlighet ... Allt detta beviljas oss av konstitutionen och verkar vara en omistlig rättighet. Därav ökningen i volymen av krypterad trafik på Internet enligt den senaste forskningen från Cisco.

Ökningen av denna indikator påverkas positivt av införandet av kryptering i olika standarder (till exempel PCI DSS) och bästa praktiker som många organisationer och tjänsteleverantörer börjar följa. Till exempel:

• leverantörer av mobilt innehåll och tjänster som har implementerat kryptering som standard,
• videohotell och webbläsarinställningar, inklusive kryptering som standard,
• datalagring och säkerhetskopieringstjänster online.

Det kommer till den punkten att företag börjar använda kryptering även i kontrollerade områden, där denna kryptering inte tidigare krävdes, eftersom det var förknippat med behovet av att uppdatera infrastrukturen till en mer produktiv, liksom med olika lagstiftningshinder från FSB: s sida. Men idag förändras situationen - och utrustningen blir kraftfullare och innehåller inbyggda krypteringsfunktioner, och regulatorn är mindre bekymrad över vad företag gör för att skydda information för sina egna behov. Nedan följer ett exempel på en studie av Lancope, som studerade ett antal företag och uppmärksammade ökningen av entropi i företagens interna nätverk.

Men kryptering har en annan sida. För det första skapar det en illusion av säkerhet när all uppmärksamhet ägnas åt kryptering i dataöverföringskanalen, men helt glömmer bort att kryptera data på de platser där den lagras (samma datacenter). I många fall av informationsläckage stal angripare värdefull data under lagringen, inte överföringen. Men detta är inte det enda problemet med kryptering.

Angripare började också aktivt använda den, döljer sina aktiviteter från övervakning eller helt enkelt använder kryptering för dåliga ändamål (samma ransomware TeslaCrypt eller CryptoWall). Det blir mycket svårt att kontrollera sådana informationsflöden, men kryptering kommer inte att misslyckas vare sig ur informationssäkerhetssynpunkt eller från angripares synvinkel. Därför är det så viktigt att använda ytterligare mekanismer för att analysera nätverkstrafik, som gör att du kan övervaka relaterade parametrar utan att dyka in i själva kommunikationens innehåll - Netflow, domäner och IP -adresser och deras födelsedatum, rykte för interagerande noder och andra metadata. Det är också viktigt att inte glömma integrerad säkerhet, som inte bör vara "i en lucka", som ofta är fallet, utan vara inbyggd i nätverksutrustning, OS, databaser, servrar, arbetsstationer etc. I det här fallet är det mer effektivt att arbeta med krypterad trafik än att försöka omdirigera den någonstans för dekryptering.

Det finns också en tredje sida med användning av kryptering. Från ingenstans har vi en stat med sina krav för att säkerställa nationell säkerhet, skydd mot terrorister och extremister, etc. säkert viktiga frågor. Ta till exempel det senaste initiativet från våra myndigheter, som jag skrev om häromdagen. Specialtjänster och andra intresserade personer i själva verket erkänner de oförmågan hos de universellt etablerade elementen i SORM att möta de utmaningar de står inför. SORM, traditionellt fokuserad på konventionell röstkommunikation, klarade denna uppgift väl, eftersom kryptering aldrig användes i ett vanligt telefonnät och i ett mobilnät är det enkelt att hantera på operatörsnivå. mobil kommunikation(rösten är endast krypterad från telefonapparaten till basstationen).

Med datakontroll och Internet är situationen mycket mer komplicerad-där kan kryptering enkelt göras från ände till ände och ingen SORM hjälper mycket här. Och sedan finns det en vändpunkt i användningen av kryptering - över 50% av internettrafiken har blivit otillgänglig för analys av specialtjänster. Därför finns det bara en sak kvar - antingen att helt förbjuda kryptering (vilket är osannolikt), eller att tvinga alla att sätta in krypteringsnycklar och dela offentliga nyckelcertifikat för "laglig" kilning i dataströmmen, som de försökte göra i mitten av 90-talet i USA som en del av Clipper-projektet. eller utveckla en outtalad SORM.

Som sagt är Snowdens "avslöjanden" bara en demonstration av det tredje sättet att bekämpa kryptering, som följdes av USA: s specialtjänster. Att förbjuda något i det mest demokratiska landet skulle aldrig falla någon in. Det är meningslöst att kräva att Facebook, Twitter, Microsoft offentligt avvisar sekretessen för nyckelförvaring (återigen kommer demokratin i vägen). Det finns bara en sak kvar - att utveckla teknik för hämtning av hemlig information, samt tvinga internetföretag att dela information om hemliga beslut från en hemlig domstol.

Ryssland är nu också mycket nära detta dilemma, som USA mötte för 20 år sedan, och startade projekten Clipper, Capstone och Skipjack. Hittills har vi valt den andra vägen, eftersom den första är väl, mycket otrevlig (och viktigast av allt, terrorister och extremister kommer inte att bry sig om detta förbud ändå), och den tredje är dåligt fungerande och inte skalbar (kom bara ihåg hur Twitter, Google och Facebook "skickade" Roskomnadzor med sina förfrågningar om blockering av konton som publicerar information som är obehaglig för de ryska myndigheterna).

Det här är historien vi har med kryptering. Och vad som blir dess sista är ännu inte klart ...