Comenzó un proyecto de ley sobre modificaciones a la Ley Federal "Sobre la Información, Tecnologías de la Información y Protección de la Información", elaborado por el Ministerio de Desarrollo Digital, Comunicaciones y Comunicaciones Masivas. La ley propone introducir una prohibición del uso en el territorio de la Federación de Rusia de "protocolos de cifrado que permitan ocultar el nombre (identificador) de una página o sitio de Internet en Internet, excepto en los casos establecidos por la legislación de la Federación de Rusia”.
Por violación de la prohibición del uso de protocolos de cifrado que permitan ocultar el nombre del sitio, se propone suspender el funcionamiento del recurso de Internet a más tardar 1 (un) día hábil a partir de la fecha en que el descubrimiento de esta violación por parte de el órgano ejecutivo federal autorizado. El objetivo principal del bloqueo es la extensión TLS. (anteriormente conocido como ESNI), que se puede utilizar junto con TLS 1.3 y ya en China. Dado que la redacción del proyecto de ley es vaga y no hay detalles, excepto ECH/ESNI, formalmente, casi todos los protocolos que proporcionen cifrado completo del canal de comunicación, así como los protocolos (DoH) y (Punto).
Recordemos que para organizar el trabajo de varios sitios HTTPS en una dirección IP, se desarrolló al mismo tiempo la extensión SNI, que transmite el nombre del host en texto claro en el mensaje ClientHello transmitido antes de instalar un canal de comunicación cifrado. Esta característica permite al proveedor de Internet filtrar selectivamente el tráfico HTTPS y analizar qué sitios abre el usuario, lo que no permite lograr una total confidencialidad al utilizar HTTPS.
ECH/ESNI elimina por completo la filtración de información sobre el sitio solicitado al analizar las conexiones HTTPS. En combinación con el acceso a través de una red de entrega de contenido, el uso de ECH/ESNI también permite ocultar la dirección IP del recurso solicitado al proveedor: los sistemas de inspección de tráfico solo ven solicitudes a la CDN y no pueden aplicar el bloqueo sin falsificar el TLS. sesión, en cuyo caso se mostrará en el navegador del usuario la correspondiente notificación sobre la sustitución del certificado. Si se introduce una prohibición de ECH/ESNI, la única forma de combatir esta posibilidad es restringir completamente el acceso a las redes de entrega de contenido (CDN) que admitan ECH/ESNI; de lo contrario, la prohibición será ineficaz y las CDN podrán eludirla fácilmente.
Cuando se utiliza ECH/ESNI, el nombre del host, como en SNI, se transmite en el mensaje ClientHello, pero el contenido de los datos transmitidos en este mensaje está cifrado. El cifrado utiliza un secreto calculado en función de las claves del servidor y del cliente. Para descifrar un valor de campo ECH/ESNI interceptado o recibido, debe conocer la clave privada del cliente o del servidor (más las claves públicas del servidor o del cliente). La información sobre las claves públicas se transmite para la clave del servidor en DNS y para la clave del cliente en el mensaje ClientHello. El descifrado también es posible utilizando un secreto compartido acordado durante la configuración de la conexión TLS, conocido sólo por el cliente y el servidor.
Fuente: opennet.ru