başladı Rəqəmsal İnkişaf, Rabitə və Kütləvi Kommunikasiyalar Nazirliyi tərəfindən hazırlanmış “İnformasiya, informasiya texnologiyaları və informasiyanın mühafizəsi haqqında” Federal Qanuna dəyişikliklər edilməsi barədə hüquqi aktın layihəsi. Qanun Rusiya Federasiyasının ərazisində İnternetdə İnternet səhifəsinin və ya saytının adını (identifikatorunu) gizlətməyə imkan verən şifrələmə protokollarının Rusiya Federasiyasının ərazisində istifadəsinə qadağa qoyulmasını təklif edir. Rusiya Federasiyasının qanunvericiliyi."
Saytın adını gizlətməyə imkan verən şifrələmə protokollarının istifadəsinə qoyulan qadağanın pozulmasına görə bu pozuntu aşkar edildiyi gündən 1 (bir) iş günündən gec olmayaraq internet resursunun fəaliyyətinin dayandırılması təklif edilir. səlahiyyətli federal icra hakimiyyəti orqanı. Bloklamanın əsas məqsədi TLS uzadılmasıdır TLS 1.3 və artıq ilə birlikdə istifadə edilə bilən (əvvəllər ESNI kimi tanınır). Çində. Qanun layihəsində ifadə qeyri-müəyyən olduğundan və ECH/ESNI istisna olmaqla, heç bir spesifiklik olmadığı üçün formal olaraq demək olar ki, rabitə kanalının tam şifrələnməsini təmin edən hər hansı protokollar, eləcə də protokollar (DoH) və (DoT).
Xatırladaq ki, bir IP ünvanında bir neçə HTTPS saytının işini təşkil etmək üçün eyni vaxtda SNI uzantısı hazırlanmışdır ki, bu da şifrələnmiş rabitə kanalı quraşdırmadan əvvəl ötürülən ClientHello mesajında host adını aydın mətnlə ötürür. Bu xüsusiyyət İnternet provayderi tərəfində HTTPS trafikini seçici şəkildə filtrləməyə və istifadəçinin hansı saytları açdığını təhlil etməyə imkan verir ki, bu da HTTPS istifadə edərkən tam məxfiliyə nail olmağa imkan vermir.
ECH/ESNI HTTPS bağlantılarını təhlil edərkən tələb olunan sayt haqqında məlumatın sızmasını tamamilə aradan qaldırır. Məzmun çatdırılması şəbəkəsi vasitəsilə girişlə birlikdə, ECH/ESNI-nin istifadəsi tələb olunan resursun IP ünvanını provayderdən gizlətməyə də imkan verir - trafikin yoxlanılması sistemləri yalnız CDN-yə sorğuları görür və TLS-ni saxtalaşdırmadan bloklama tətbiq edə bilməz. sessiya, bu halda istifadəçinin brauzerində sertifikatın dəyişdirilməsi haqqında müvafiq bildiriş göstərilir. ECH/ESNI qadağası tətbiq edilərsə, bu ehtimalla mübarizə aparmağın yeganə yolu ECH/ESNI-ni dəstəkləyən Məzmun Çatdırılma Şəbəkələrinə (CDN) girişi tamamilə məhdudlaşdırmaqdır, əks halda qadağa səmərəsiz olacaq və CDN-lər tərəfindən asanlıqla yan keçə bilər.
ECH/ESNI-dən istifadə edərkən host adı, SNI-də olduğu kimi, ClientHello mesajında ötürülür, lakin bu mesajda ötürülən məlumatların məzmunu şifrələnir. Şifrələmə server və müştəri açarlarından hesablanmış sirrdən istifadə edir. Tutulmuş və ya qəbul edilmiş ECH/ESNI sahə dəyərinin şifrəsini açmaq üçün siz müştərinin və ya serverin şəxsi açarını (üstəlik serverin və ya müştərinin açıq açarlarını) bilməlisiniz. Açıq açarlar haqqında məlumat DNS-də server açarı üçün, ClientHello mesajında isə müştəri açarı üçün ötürülür. Şifrənin açılması TLS bağlantısının qurulması zamanı razılaşdırılmış, yalnız müştəri və serverə məlum olan paylaşılan sirrdən istifadə etməklə də mümkündür.
Mənbə: opennet.ru