La dernière fois que nous avons écrit sur le fait que Mintsifra a présenté l'audience publique du projet de loi, selon l'exposé des motifs interdisant aux services en Russie de travailler avec la technologie de masquage des noms de domaine - eSNI / ECH, et plus largement, l'ensemble de TLS c. 1.3, et selon la lettre de la facture - même HTTPS en général.
Je voudrais maintenant montrer ce que les informaticiens peuvent faire dans de tels cas - en plus des discussions animées sur Habré. Cela aura-t-il un effet - nous le verrons dans les semaines à venir, mais au moins c'est la bonne façon de communiquer avec les agences gouvernementales sur de tels projets de loi.
En fait, chaque projet de loi examiné par le ministère des Sciences numériques, comme les autres départements, a sa propre page sur Regulation.gov.ru - dans ce cas, la voici . Il comporte un lien «Vos suggestions», en cliquant sur lequel et en vous connectant via les services de l'Etat, vous pouvez envoyer des propositions sous forme de texte ou sous forme de fichier joint.
Quoi faire et ne pas faire?
- N'envoyez que des propositions écrites sur l'essence et la matière du projet de loi, avec des commentaires spécifiques. Passez un jour ou deux à lire attentivement l'essence du projet de loi et à formuler des revendications particulières.
- , - . , 500 , 10 , 490 — , , . , , , .
- — - , . , .
- , , etc. — . — , , .
- Si vous avez la possibilité de publier ouvertement une critique et une note explicative, par exemple dans les médias ou sur le site Web de toute association ou organisation spécialisée, utilisez-la. Laissez la trace de votre activité rester dans le domaine public et soyez Google.
- N'oubliez pas Habr. Plutôt que de gémir encore et encore dans les commentaires que personne ne lit sur les fonctionnaires sans âme, faites le travail spécifié et partagez-le ici.
Alors, maintenant - un bon exemple.
Appel au ministère des Finances: experts sur le danger du nouveau projet de loi
«Ceux qui sont prêts à sacrifier la liberté essentielle pour une fraction de la sécurité temporaire ne méritent ni la liberté ni la sécurité.»
Benjamin Franklin,
Pennsylvania Assembly Official Letter to
Governor Thomas Wharton
11 novembre 1755
Le lundi 5 octobre, la réception des réponses s'est terminée dans le cadre du débat public sur le nouveau projet de loi du Ministère des sciences numériques de la Fédération de Russie, modifiant le 149-FZ "Sur l'information, les technologies de l'information et la protection de l'information":
1) 2 21 :
« , () - «» — , , .»;
2) 2 10 :
« , () - «», , .
La violation de l'interdiction d'utiliser dans la Fédération de Russie des protocoles de cryptage permettant de masquer le nom (identifiant) d'une page ou d'un site Internet sur Internet, entraîne la suspension du fonctionnement de la ressource Internet au plus tard 1 (un) jour ouvrable à compter de la date de détection de cette violation par le organe exécutif fédéral "
Selon de nombreux experts, que nous partageons pleinement, dans sa forme actuelle, ce projet de loi n'est pas seulement nuisible, mais dangereux - principalement pour le segment domestique d'Internet, qu'il vise à protéger.
Commençons un peu de loin. Une partie importante de l'existence et du développement d'Internet au cours des deux dernières décennies, à partir du moment où il est devenu un moyen de communication généralement accepté, y compris - pour le transfert d'informations critiques, y compris les données financières, personnelles des utilisateurs et autres - est la lutte contre les fraudeurs et autres personnes malhonnêtes. intentions. Il y a eu de nombreuses étapes: le développement rapide des antivirus, la protection contre le spam et les faux e-mails (hameçonnage), la distribution de certificats confirmant que le site que vous avez visité est bien celui qu'il prétend être, et enfin, le cryptage des messages transmis entre votre ordinateur. et un site de données afin que les fraudeurs ne puissent pas intercepter, écouter ou falsifier.
Ces tâches sont résolues progressivement, comme dans toute compétition entre obus et armure.
La prochaine étape de la protection des internautes contre les fraudeurs consiste à cacher aux personnes non autorisées non seulement le contenu des informations que vous échangez avec les sites, mais également les noms des sites que vous visitez. Personne, sauf vous, ne doit savoir quelle banque et quand vous utilisez, sur quels services vous êtes inscrit. Ces technologies sont connues des professionnels sous le nom d'eSNI et d'ECH et en sont maintenant aux premières étapes de leur mise en œuvre.
Oui, ces technologies empêchent Roskomnadzor de bloquer les sites indésirables, y compris les sites hébergeant du contenu interdit. Mais de la même manière, les verrous des portes des appartements et des entrées empêchent la police de poursuivre les crimes présumés - mais ici, la société n'a pas hésité à parvenir à un consensus sur le fait que l'espace personnel doit rester privé et protégé. Que le droit de protéger cet espace ne doit pas être délégué inconditionnellement aux autorités compétentes, car elles ne peuvent toujours pas mettre un policier à chaque porte. Qu'il y a une frontière qui ne peut être franchie. Oui, une personne honnête n'a rien à cacher. Non, cela ne veut pas dire que vous pouvez lui interdire de tirer les rideaux des fenêtres.
Malheureusement, dans le domaine des technologies numériques, un tel consensus n'existe pas - par conséquent, si nous développons une analogie, le ministère du Développement numérique suggère de commencer par une interdiction de tirer les rideaux, puis de passer à l'illégalité des serrures aux portes.
Outre l'inadmissibilité même de telles interdictions, il faut noter les dommages colossaux qu'elles vont infliger à l'industrie Internet russe à moyen terme. L'eSNI et l'ECH mentionnés ci-dessus font partie de normes mondiales - par exemple, la norme TLS v.1.3 - qui seront non seulement de plus en plus utilisées par les entreprises étrangères, mais seront certainement incluses dans certaines exigences, par exemple, dans les exigences de sécurité du traitement des informations financières PCI DSS. que tous les organismes bancaires et de paiement doivent satisfaire.
Que répondra le ministère de Tsifra lorsque des représentants de banques russes viendront lui dire qu'ils ne peuvent plus travailler avec les cartes VISA et MasterCard, car la nouvelle version de PCI DSS rend TLS v.1.3 obligatoire - et le ministère de Tsifra l'a interdit? Quand se révélera-t-il que les plus grands services du monde passeront à de nouvelles normes simplement au cours de mises à jour logicielles programmées sur leurs serveurs?
De plus, l'extrême imprécision du libellé du projet de loi permet, s'il est adopté, de fermer la quasi-totalité de l'Internet, y compris le russe, littéralement le lendemain. L'expression «permettant de masquer le nom (identifiant) de la page Internet» peut être formellement appliquée à tout site fonctionnant sur le protocole HTTPS - c'est-à-dire à presque 100% des grands sites. Allez sur Yandex, Mail.ru, Sberbank, Kultura.rf - voir l'icône de verrouillage à côté de l'adresse du site Web? C'est le HTTPS même qui «cache le nom des pages Internet» - et en même temps empêche les attaquants de remplacer le vrai site par un faux, d'intercepter les détails de votre carte de crédit ou de découvrir vos mots de passe.
Sans nier l'importance de lutter contre la propagation de contenus illégaux sur Internet, nous soulignons: s'il est adopté dans sa forme actuelle, le projet de loi causera des dommages irréparables au segment russe de l'Internet, coupant le marché russe des plus grands services du monde, mettant en danger la numérisation de l'économie russe et réduisant considérablement la compétitivité des entreprises Internet nationales. sur le marché international. Le retard des technologies de protection des données transmises mettra en danger la sécurité nationale du pays, ce qui permettra aux agents étrangers intéressés de collecter plus facilement les informations pertinentes.
Nous insistons pour que le projet de loi soit radicalement révisé en tenant compte des commentaires ci-dessus.
Application:Examen des experts du Parti de la démocratie directe sur le projet de loi «Sur les amendements aux articles 2 et 10 de la loi fédérale sur l'information, les technologies de l'information et la protection de l'information» ( PDF, 171 Ko ) Cet
examen est signé par:
Makarov Vyacheslav Viktorovich
Secrétaire général du Conseil suprême de coordination du Parti direct Démocratie
Artamonov Oleg Nikolaevich
Chef du groupe d'expertise scientifique et technique du Parti de la démocratie directe
Chevyakov Timofey Nikolayevich
Attaché de presse, membre du Conseil suprême de coordination du Parti de la démocratie directe
Lysakovsky Dmitri Ivanovich
Entrepreneur, membre du Conseil suprême de coordination du Parti de la démocratie directe
Chigidin Boris Viktorovich
Membre du Conseil suprême de coordination du Parti de la démocratie directe, Ph.D.
Filippov Andrey Alexandrovich
Membre du Conseil suprême de coordination du Parti de la démocratie directe
Palyulin Anton Yurievich
Associé directeur du bureau juridique "Palyulin and Partners"
Nesterovich Sergueï Alexandrovitch
Adjoint. Rédacteur en chef de "Agency of Political News"
Scherbakov Alexey
Développeur principal FoodPlex
Pusher Alexander
Entrepreneur, Community Lead chez Gaijin Entertainment
Kaloshin Vyacheslav
entrepreneur, architecte, chef de projet
Zaitsev Alexey Vladimirovich
Développeur Web
Povolotsky Alexander Borisovich
Administrateur système et programmeur
Bolshakov Nikolay Borisovich
Chef de projet
Ivanov Pavel Borisovich
Chef de projet Learnee, développeur
Maddalena Alexander Nikolovich
Professionnel indépendant
Petrov Alexey Alekseevich
Entrepreneur, développeur web
Vardiev Pavel Anatolyevich
Spécialiste informatique avec plus de 20 ans expérience
***
L'appel original est publié ici . Si vous souhaitez devenir signataire - bien que post factum - il existe un formulaire sur le lien ci-dessous.
Soyons honnêtes - nous ne savons pas si cela aura un effet, mais nous essaierons de nous assurer que l'appel du ministère de la Sécurité numérique est remarqué.
Répétons cette expérience la prochaine fois? Au moins, personne ne pourra dire «oui, les hackers de la ressource Habr étaient mécontents, mais en fait aucun commentaire n'a été reçu».