Dechreuodd deddf gyfreithiol ddrafft ar ddiwygiadau i’r Gyfraith Ffederal “Ar Wybodaeth, Technolegau Gwybodaeth a Diogelu Gwybodaeth”, a ddatblygwyd gan y Weinyddiaeth Datblygu Digidol, Cyfathrebu a Chyfathrebu Torfol. Mae'r gyfraith yn cynnig cyflwyno gwaharddiad ar y defnydd ar diriogaeth Ffederasiwn Rwsia o “brotocolau amgryptio sy'n ei gwneud hi'n bosibl cuddio enw (dynodwr) tudalen Rhyngrwyd neu wefan ar y Rhyngrwyd, ac eithrio achosion a sefydlwyd gan y deddfwriaeth Ffederasiwn Rwsia. ”
Er mwyn torri'r gwaharddiad ar ddefnyddio protocolau amgryptio sy'n ei gwneud hi'n bosibl cuddio enw'r wefan, cynigir atal gweithrediad yr adnodd Rhyngrwyd heb fod yn hwyrach nag 1 (un) diwrnod busnes o ddyddiad darganfod y groes hon gan y corff gweithredol ffederal awdurdodedig. Prif bwrpas blocio yw'r estyniad TLS (a elwid gynt yn ESNI), y gellir ei ddefnyddio ar y cyd â TLS 1.3 ac eisoes yn Tsieina. Gan fod geiriad y bil yn amwys ac nad oes unrhyw benodolrwydd, ac eithrio ECH/ESNI, yn ffurfiol, bron unrhyw brotocolau sy'n darparu amgryptio llawn o'r sianel gyfathrebu, yn ogystal â phrotocolau (DoH) a (DoT).
Gadewch inni gofio, er mwyn trefnu gwaith sawl safle HTTPS ar un cyfeiriad IP, bod yr estyniad SNI wedi'i ddatblygu ar un adeg, sy'n trosglwyddo'r enw gwesteiwr mewn testun clir yn y neges ClientHello a drosglwyddir cyn gosod sianel gyfathrebu wedi'i hamgryptio. Mae'r nodwedd hon yn ei gwneud hi'n bosibl ar ochr y darparwr Rhyngrwyd hidlo traffig HTTPS yn ddetholus a dadansoddi pa wefannau y mae'r defnyddiwr yn eu hagor, nad yw'n caniatáu cyflawni cyfrinachedd llwyr wrth ddefnyddio HTTPS.
Mae ECH/ESNI yn dileu'n llwyr y gollyngiad o wybodaeth am y wefan y gofynnwyd amdani wrth ddadansoddi cysylltiadau HTTPS. Ar y cyd â mynediad trwy rwydwaith darparu cynnwys, mae'r defnydd o ECH/ESNI hefyd yn ei gwneud hi'n bosibl cuddio cyfeiriad IP yr adnodd y gofynnwyd amdano oddi wrth y darparwr - dim ond ceisiadau i'r CDN y mae systemau archwilio traffig yn eu gweld ac ni allant gymhwyso blocio heb ffugio'r TLS sesiwn, ac os felly, porwr y defnyddiwr bydd hysbysiad cyfatebol am amnewid y dystysgrif yn cael ei arddangos. Os cyflwynir gwaharddiad ECH/ESNI, yr unig ffordd o fynd i’r afael â’r posibilrwydd hwn yw cyfyngu’n llwyr ar fynediad i Rwydweithiau Cyflenwi Cynnwys (CDNs) sy’n cefnogi ECH/ESNI, fel arall bydd y gwaharddiad yn aneffeithiol a gall CDNs ei osgoi’n hawdd.
Wrth ddefnyddio ECH/ESNI, mae'r enw gwesteiwr, fel yn SNI, yn cael ei drosglwyddo yn y neges ClientHello, ond mae cynnwys y data a drosglwyddir yn y neges hon wedi'i amgryptio. Mae amgryptio yn defnyddio cyfrinach wedi'i chyfrifo o allweddi'r gweinydd a'r cleient. I ddadgryptio gwerth maes ECH/ESNI sydd wedi'i ryng-gipio neu ei dderbyn, rhaid i chi wybod allwedd breifat y cleient neu'r gweinydd (ynghyd ag allweddi cyhoeddus y gweinydd neu'r cleient). Mae gwybodaeth am allweddi cyhoeddus yn cael ei throsglwyddo ar gyfer allwedd y gweinydd yn DNS, ac ar gyfer allwedd y cleient yn y neges ClientHello. Mae dadgryptio hefyd yn bosibl gan ddefnyddio cyfrinach a rennir y cytunwyd arni yn ystod gosodiad y cysylltiad TLS, sy'n hysbys i'r cleient a'r gweinydd yn unig.
Ffynhonnell: opennet.ru