Algas digitaalarengu, side ja massikommunikatsiooni ministeeriumi poolt välja töötatud õigusakti eelnõu föderaalseaduse "Info, infotehnoloogia ja teabekaitse kohta" muutmise kohta. Seadusega tehakse ettepanek kehtestada Vene Föderatsiooni territooriumil keeld kasutada "krüpteerimisprotokolle, mis võimaldavad Internetis Interneti-lehe või saidi nime (identifikaatorit) varjata, välja arvatud juhul, kui see on kindlaks määratud. Vene Föderatsiooni õigusaktid."
Saidi nime varjamist võimaldavate krüpteerimisprotokollide kasutamise keelu rikkumise korral tehakse ettepanek peatada Interneti-ressursi töö hiljemalt 1 (ühe) tööpäeva jooksul alates selle rikkumise avastamise kuupäevast. volitatud föderaalne täitevorgan. Blokeerimise peamine eesmärk on TLS-laiendus (varem tuntud kui ESNI), mida saab kasutada koos TLS 1.3-ga ja juba Hiinas. Kuna seaduseelnõu sõnastus on ebamäärane ja spetsiifilisus puudub, välja arvatud ECH/ESNI, siis formaalselt peaaegu kõik sidekanali täielikku krüpteerimist tagavad protokollid, samuti protokollid (DoH) ja (DoT).
Meenutagem, et mitme HTTPS-saidi töö korraldamiseks ühel IP-aadressil töötati korraga välja SNI laiendus, mis edastab enne krüpteeritud sidekanali paigaldamist edastatavas ClientHello sõnumis lahtise tekstina hosti nime. See funktsioon võimaldab Interneti-pakkuja poolel HTTPS-i liiklust valikuliselt filtreerida ja analüüsida, milliseid saite kasutaja avab, mis ei võimalda HTTPS-i kasutamisel täielikku konfidentsiaalsust saavutada.
ECH/ESNI välistab HTTPS-ühenduste analüüsimisel täielikult teabelekke soovitud saidi kohta. Koos juurdepääsuga sisu edastamise võrgu kaudu võimaldab ECH/ESNI kasutamine ka taotletud ressursi IP-aadressi pakkuja eest varjata – liikluskontrollisüsteemid näevad ainult CDN-ile suunatud päringuid ja ei saa rakendada blokeerimist ilma TLS-i võltsimiseta. seanss, mille puhul kuvatakse kasutaja brauseris vastav teade sertifikaadi asendamise kohta. Kui kehtestatakse ECH/ESNI keeld, on ainus viis selle võimaluse vastu võitlemiseks piirata täielikult juurdepääsu ECH/ESNI-d toetavatele sisuedastusvõrkudele (CDN), vastasel juhul on keeld ebaefektiivne ja CDN-ide abil saab sellest kergesti mööda hiilida.
ECH/ESNI kasutamisel edastatakse hostinimi, nagu ka SNI-s, ClientHello sõnumis, kuid selles sõnumis edastatavate andmete sisu on krüpteeritud. Krüptimisel kasutatakse serveri- ja kliendivõtmete põhjal arvutatud saladust. Peatatud või vastuvõetud ECH/ESNI välja väärtuse dekrüpteerimiseks peate teadma kliendi või serveri privaatvõtit (lisaks serveri või kliendi avalikud võtmed). Teave avalike võtmete kohta edastatakse serveri võtme kohta DNS-is ja kliendi võtme kohta ClientHello sõnumis. Dekrüpteerimine on võimalik ka TLS-i ühenduse seadistamisel kokkulepitud jagatud saladuse abil, mida teavad ainult klient ja server.
Allikas: opennet.ru