Фонд электронных рубежей: зашифруем Интернет целиком

Массовый переход на протокол HTTPS произошел за последние годы во многом благодаря деятельности EFF, правозащитной организации, борющейся за соблюдение прав свободы личности в Интернете


14:56 22.02.2019  (обновлено: 10:31 24.02.2019)   |   3037 | 

Рубрика Технологии



Слежка властей за пользователями побуждает правозащитную организацию наращивать масштаб инициатив, направленных на обеспечение шифрования трафика Всемирной сети.

Массовый переход веб-сайтов на протокол HTTPS, шифрующий обмен данными между компьютером пользователя и сайтом, произошел за последние годы во многом благодаря деятельности Фонда электронных рубежей (EFF), правозащитной организации, борющейся за соблюдение прав свободы личности в Интернете. Еще десять лет тому назад, отмечают в EFF, обмен информацией в WWW практически повсеместно происходил в режиме открытого текста.

Толчком к началу кампании за повсеместное внедрение HTTPS для EFF стало событие, происшедшее 26 января 2006 года, — в штаб-квартиру организации пришел бывший сотрудник AT&T Марк Клейн и рассказал, что в этой компании специалисты АНБ США устроили «секретную шпионскую комнату», позволившую спецслужбе получить доступ ко всему трафику Интернета, проходившему через провайдера.

Одним из результатов последовавшей кампании по переводу сайтов на шифрование в 2011 году стало появление браузерного плагина HTTPS Everywhere, созданного в партнерстве с Tor Project, — он принудительно переключает соединение в режим обмена данными по защищенному протоколу TLS, если он поддерживается сайтом.

В то время лишь около тысячи сайтов из первого миллиона в рейтинге Alexa пользовались HTTPS. В 2013 году Эдвард Сноуден рассказал миру о тотальной слежке АНБ за пользователями WWW, и в EFF начали регулярную публикацию «Отчета о шифровании Всемирной паутины» с рейтингом онлайн-компаний, отражавшим уровень внедрения защитных технологий. Рейтинг составляется в форме «матрицы оценочных карточек», таблицы, в которой каждая ячейка — это флажок, свидетельствующий о выполнении или невыполнении участником той или иной технической задачи.

Инициатива принесла свои плоды — в целом ряде онлайн-компаний стали активно работать над тем, чтобы заполнить все клетки в таблице «галочками». Тем не менее, очень многие сайты по-прежнему не использовали шифрование. Тогда в EFF совместно с Мичиганским университетом и Mozilla учредили удостоверяющий центр Let's Encrypt, который стал выдавать всем желающим бесплатные сертификаты шифрования и тем самым радикально упростили перевод сайтов на HTTPS. Как следствие, в августе 2018 года доля HTTPS-сайтов в верхнем миллионе Alexa достигла уже 50%.

На этом в EFF останавливаться не собираются: в организации надеются добиться шифрования не только WWW, но и вообще всего трафика Интернета. В этой связи в фокусе внимания EFF сейчас находится ряд новых технологий.

Одна из них — Encrypted Server Name Identification. Технология SNI — это расширение протокола TLS, которое позволяет на одном сервере сосуществовать нескольким зашифрованным сайтам, доступным по одному IP. Выбор нужного сайта выполняется с помощью SNI, однако его имя при этом передается открытым текстом.

Доработанный вариант, Encrypted SNI, шифрует идентификационную информацию, но атакующий по-прежнему может выяснить доменное имя в связи с открытостью системы DNS. Чтобы помешать этому, предлагается шифровать и систему доменных имен.

Конкретно, обсуждаются два варианта такой технологии — DNS over HTTPS (DoH) и DNS over TLS (DoT). Первый подразумевает разрешение доменных имен по протоколу HTTPS, второй — шифрование запросов к DNS и ее ответов с помощью TLS. Как объясняют в EFF, преимущество DoH — значительное затруднение цензуры в Интернете, а недостаток — усложнение обнаружения вредоносной активности для операторов сетей. В случае DoT компромисс противоположный: эта технология облегчает и обнаружение вредоносной активности, и цензуру. В EFF признаются, что еще не выбрали, какой из двух вариантов шифрования DNS предпочесть.

Борются в EFF и за защиту электронной почты. В последнее время на почтовых серверах достаточно широко стало применяться расширение STARTTLS, которое позволяет зашифровать обмен информацией с клиентским приложением, но его можно легко обойти с помощью атаки посредника с подменой сертификата. По данным EFF, в некоторых странах это активно делается на уровне провайдеров, например, в Тунисе из 96% сообщений электронной почты заголовки STARTTLS удаляются.

В качестве решения предлагается протокол SMTP MTA-STS (Mail Transfer Agent Strict Transport Security), который делает обязательной проверку действительности сертификата шифрования. Перевод почтовых серверов на этот протокол — процедура относительно сложная, в связи с чем в EFF начали проект STARTTLS Everywhere, в рамках которого предлагаются меры по облегчению внедрения MTA-STS.

Чтобы ускорить переход к тотальному шифрованию Интернета, в EFF планируют начать публикацию новой матрицы оценочных карточек, — рейтинга, который будет учитывать использование участниками современных криптографических технологий. Пока что с содержанием новой таблицы в EFF не определились: помимо поддержки Encrypted SNI, шифрования DNS и MTA-STS в ней могут быть и другие технологии, например, TLS 1.3 и HSTS.

В организации признают, что достичь амбициозной цели полного шифрования трафика Интернета будет непросто, учитывая что решением соответствующих технических задач в EFF занимаются всего восемь разработчиков.


Теги: Информационная безопасность показывать на главной Самое интересное HTTPS Шифрование
На ту же тему: