Het begin 'n Konsepregswet oor wysigings aan die Federale Wet "Op Inligting, Inligtingstegnologie en Inligtingbeskerming", ontwikkel deur die Ministerie van Digitale Ontwikkeling, Kommunikasie en Massakommunikasie. Die wet stel voor om 'n verbod in te stel op die gebruik op die grondgebied van die Russiese Federasie van "enkripsieprotokolle wat dit moontlik maak om die naam (identifiseerder) van 'n internetbladsy of webwerf op die internet te verberg, behalwe vir gevalle wat deur die wetgewing van die Russiese Federasie."
Vir die oortreding van die verbod op die gebruik van enkripsieprotokolle wat dit moontlik maak om die werfnaam te verberg, word voorgestel om die werking van die internethulpbron nie later nie as 1 (een) werksdag vanaf die datum van ontdekking van hierdie oortreding op te skort deur die gemagtigde federale uitvoerende liggaam. Die hoofdoel van blokkering is die TLS-uitbreiding (voorheen bekend as ESNI), wat in samewerking met TLS 1.3 en reeds gebruik kan word in Sjina. Aangesien die bewoording in die wetsontwerp vaag is en daar geen spesifisiteit is nie, behalwe vir ECH/ESNI, formeel, byna enige protokolle wat volledige enkripsie van die kommunikasiekanaal verskaf, sowel as protokolle (DoH) en (DoT).
Laat ons onthou dat om die werk van verskeie HTTPS-webwerwe op een IP-adres te organiseer, die SNI-uitbreiding op een slag ontwikkel is, wat die gasheernaam in duidelike teks oordra in die ClientHello-boodskap wat versend is voordat 'n geënkripteerde kommunikasiekanaal geïnstalleer word. Hierdie kenmerk maak dit aan die internetverskaffer se kant moontlik om HTTPS-verkeer selektief te filter en te ontleed watter werwe die gebruiker oopmaak, wat nie toelaat dat volledige vertroulikheid verkry word wanneer HTTPS gebruik word nie.
ECH/ESNI skakel die lekkasie van inligting oor die gevraagde webwerf heeltemal uit wanneer HTTPS-verbindings ontleed word. In kombinasie met toegang deur 'n inhoudafleweringsnetwerk maak die gebruik van ECH/ESNI dit ook moontlik om die IP-adres van die gevraagde hulpbron vir die verskaffer te versteek - verkeersinspeksiestelsels sien slegs versoeke aan die CDN en kan nie blokkering toepas sonder om die TLS te bedrieg nie sessie, in welke geval die gebruiker se blaaier 'n ooreenstemmende kennisgewing oor die sertifikaatvervanging vertoon sal word. As 'n ECH/ESNI-verbod ingestel word, is die enigste manier om hierdie moontlikheid te bekamp om toegang tot inhoudafleweringsnetwerke (CDN's) wat ECH/ESNI ondersteun, heeltemal te beperk, anders sal die verbod ondoeltreffend wees en kan maklik deur CDN's omseil word.
Wanneer ECH/ESNI gebruik word, word die gasheernaam, soos in SNI, in die ClientHello-boodskap oorgedra, maar die inhoud van die data wat in hierdie boodskap versend word, is geïnkripteer. Enkripsie gebruik 'n geheim wat vanaf die bediener- en kliëntsleutels bereken word. Om 'n onderskepte of ontvangde ECH/ESNI-veldwaarde te dekripteer, moet jy die kliënt of bediener se private sleutel ken (plus die bediener of kliënt se publieke sleutels). Inligting oor publieke sleutels word oorgedra vir die bedienersleutel in DNS, en vir die kliëntsleutel in die ClientHello-boodskap. Dekripsie is ook moontlik met behulp van 'n gedeelde geheim waarop ooreengekom is tydens die TLS-verbindingsopstelling, wat slegs aan die kliënt en bediener bekend is.
Bron: opennet.ru