Mozillak iragarri du Firefoxen adar egonkorraren erabiltzaileentzako laguntza sartu duela ECH (Encrypted Client Hello) mekanismorako, ESNI (Encrypted Server Name Indication) teknologia garatzen jarraitzen duena eta TLS saioen parametroei buruzko informazioa enkriptatzeko diseinatuta dagoena. , hala nola eskatutako domeinu-izena. ECHrekin lan egiteko kodea jatorriz Firefox 85 bertsioan gehitu zen, baina lehenespenez desgaituta zegoen. Chrome pixkanaka ECH euskarria sartzen hasi zen Chrome 115 kaleratu zenetik.
konektatzeaz gain, geroztik zerbitzaria Eskatutako domeinuaren informazioa DNS bidez filtratu da. Babes osoa lortzeko, ECHz gain, DNS HTTPS bidez edo DNS TLS bidez erabili behar duzu DNS trafikoa enkriptatzeko. Firefoxek ez du ECH erabiliko ezarpenetan HTTPS bidezko DNS gaituta ez badago. ECHren euskarria egiaztatu dezakezu zure arakatzailean orrialde honetan.
Firefox-en ECH euskarria lehenespenez gaitu zuen faktoreetako bat izan zen Cloudflare-k duela egun batzuk ECH euskarria bere edukiak bidaltzeko sarean sartzea. Alde praktikoan, ECH erabiltzean eskatutako ostalariei buruzko datuak analisitik ezkutatuta daudenez, Cloudflare CDN erabiliz nahi ez diren guneak iragaztea eta blokeatzea beharrezkoa izango da orain Cloudflare sare osoa blokeatzea, ECH-ren eskaera guztiak blokeatzea edo HTTPS atzematea antolatzea erro-ziurtagiri faltsuak erabiliz. erabiltzailearen sisteman.
Hasieran, hainbat HTTPS gunetako IP helbide batean lana antolatzeko, TLS luzapena SNI erabili zen, eta bertan enkriptatutako komunikazio kanal bat ezarri aurretik igorritako ClientHello mezuan eskatutako ostalariaren izena adierazten zen. Ezaugarri honi esker, eskaerak ostalari birtualetan banatzea posible izan zen konexioaren prozesamenduaren hasierako fasean, baina ISP aldetik HTTPS trafikoa selektiboki iragaztea eta erabiltzaileak zein gune irekitzen dituen aztertzea ere ahalbidetu zuen, eta horrek ez zuen erabateko konfidentzialtasuna lortzea ahalbidetzen erabiltzean. HTTPS.
Arazo hau konpontzeko eta eskatutako guneari buruzko informazioa isurtzea saihesteko, gerora ostalari-izenarekin datuen enkriptatzea ezartzen duen ESNI luzapena proposatu zen. ESNIren ezarpenean, agerian geratu zen proposatutako mekanismoak ez dituela ostalariaren datuen ihesaren iturri posible guztiak estaltzen eta erabiltzea ez dela nahikoa HTTPS saioen konfidentzialtasun osoa bermatzeko. Bereziki, aurrez ezarritako saio bati berriro ekitean, domeinu-izena testu garbian PSK (Pre-Shared Key) TLS luzapenaren parametroen artean zehazten jarraitu zuen. Horrez gain, ESNI ezartzeko ahaleginek ESNIren harrera zabala eragotzi duten bateragarritasun eta eskalatze arazoak identifikatu dituzte.
ESNIk identifikatutako gabeziak kontuan hartuta, ECH mekanismo unibertsal berri bat garatu zen, edozein TLS luzapenen parametroak enkriptatzea ahalbidetzen duena. Teknikoki, ECH eta ESNIren arteko desberdintasun nagusia da eremu indibidualen ordez, ClientHello mezu osoa aldi berean enkriptatzen dela. ECH-k ClientHello bi mezu bereizitan banatzen du: enkriptatutako ClientHelloInner mezua (SNI Inner) eta enkriptatutako azpian ClientHelloOuter mezua (SNI Outer). Zifratu gabeko SNI Outer batek pribatutasunik gabeko datuak daramatza, hala nola TLS bertsioa eta erabilitako zifratuen zerrenda, baita eskatutako domeinuaren benetako izenarekin gainjartzen ez den domeinu-izen komun bat ere. Adibidez, Cloudflare bezero guztientzat, zifratu gabeko SNI Outer-ek "cloudflare-ech.com" ostalari komuna zehazten du, baina eskatutako ostalariaren benetako izena SNI Inner enkriptatutakoan transmititzen da eta ez dago aztertzeko erabilgarri.
ECH-k enkriptazio-gakoen banaketa-eskema desberdina ere erabiltzen du: gako publikoaren informazioa HTTPSSVC DNS erregistroetan transmititzen da, TXT erregistroetan baino. HPKE (Giltza Publikoaren Enkriptazio Hibridoa) mekanismoan oinarritutako muturretik muturrerako enkriptazio autentifikatua erabiltzen da gakoa lortzeko eta enkriptatzeko. ECH-k zerbitzaritik gakoen birtransmisio segurua ere onartzen du, eta hori erabil daiteke gakoen biraketa kasuan. zerbitzaria eta DNS cachetik gako zaharkituak berreskuratzeko arazoak konpontzeko.
Iturria: opennet.ru
