بدأت مشروع قانون بشأن تعديلات القانون الاتحادي "بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات"، الذي وضعته وزارة التنمية الرقمية والاتصالات والاتصال الجماهيري. يقترح القانون فرض حظر على استخدام "بروتوكولات التشفير" على أراضي الاتحاد الروسي التي تتيح إخفاء اسم (معرف) صفحة إنترنت أو موقع على الإنترنت، باستثناء الحالات التي يحددها تشريعات الاتحاد الروسي."
في حالة انتهاك الحظر المفروض على استخدام بروتوكولات التشفير التي تتيح إخفاء اسم الموقع، يُقترح تعليق تشغيل مورد الإنترنت في موعد لا يتجاوز يوم عمل واحد (واحد) من تاريخ اكتشاف هذا الانتهاك بواسطة الهيئة التنفيذية الفيدرالية المعتمدة. الغرض الرئيسي من الحظر هو امتداد TLS (المعروف سابقًا باسم ESNI)، والذي يمكن استخدامه مع TLS 1.3 وبالفعل في الصين. نظرًا لأن الصياغة في مشروع القانون غامضة ولا يوجد أي تحديد، باستثناء ECH/ESNI، رسميًا، أي بروتوكولات تقريبًا توفر تشفيرًا كاملاً لقناة الاتصال، بالإضافة إلى البروتوكولات (دوه) و (نقطة).
أذكر أنه من أجل تنظيم عمل العديد من مواقع HTTPS على عنوان IP واحد، تم تطوير امتداد SNI في وقت واحد، والذي ينقل اسم المضيف بنص واضح في رسالة ClientHello المرسلة قبل تثبيت قناة اتصال مشفرة. تتيح هذه الميزة من جانب مزود خدمة الإنترنت تصفية حركة مرور HTTPS بشكل انتقائي وتحليل المواقع التي يفتحها المستخدم، مما لا يسمح بتحقيق السرية الكاملة عند استخدام HTTPS.
تعمل ECH/ESNI على منع تسرب المعلومات حول الموقع المطلوب تمامًا عند تحليل اتصالات HTTPS. بالاشتراك مع الوصول من خلال شبكة توصيل المحتوى، فإن استخدام ECH/ESNI يجعل من الممكن أيضًا إخفاء عنوان IP الخاص بالمورد المطلوب من الموفر - ترى أنظمة فحص حركة المرور فقط الطلبات المقدمة إلى CDN ولا يمكنها تطبيق الحظر دون انتحال TLS الجلسة، وفي هذه الحالة سيتم عرض إشعار مناسب في متصفح المستخدم حول استبدال الشهادة. إذا تم فرض حظر على ECH/ESNI، فإن الطريقة الوحيدة لمكافحة هذا الاحتمال هي تقييد الوصول تمامًا إلى شبكات توصيل المحتوى (CDNs) التي تدعم ECH/ESNI، وإلا فسيكون الحظر غير فعال ويمكن التحايل عليه بسهولة بواسطة شبكات CDN.
عند استخدام ECH/ESNI، يتم إرسال اسم المضيف، كما هو الحال في SNI، في رسالة ClientHello، ولكن يتم تشفير محتويات البيانات المرسلة في هذه الرسالة. يستخدم التشفير سرًا محسوبًا من مفاتيح الخادم والعميل. لفك تشفير قيمة حقل ECH/ESNI التي تم اعتراضها أو استلامها، يجب أن تعرف المفتاح الخاص للعميل أو الخادم (بالإضافة إلى المفاتيح العامة للخادم أو العميل). يتم إرسال المعلومات حول المفاتيح العامة لمفتاح الخادم في DNS، ولمفتاح العميل في رسالة ClientHello. يمكن أيضًا فك التشفير باستخدام سر مشترك تم الاتفاق عليه أثناء إعداد اتصال TLS، والمعروف فقط للعميل والخادم.
المصدر: opennet.ru