Hasi zen Garapen Digital, Komunikazio eta Masa Komunikazio Ministerioak garatutako "Informazioaren, Informazioaren Teknologien eta Informazioaren Babesari buruzko" Lege Federalaren aldaketei buruzko lege-proiektua. Legeak proposatzen du Errusiar Federazioaren lurraldean "Interneteko orri edo gune baten izena (identifikatzailea) ezkutatzea posible egiten duten enkriptazio-protokoloak erabiltzeko debekua ezartzea, erakundeak ezarritako kasuetan izan ezik. Errusiako Federazioko legediaβ.
Gunearen izena ezkutatzea posible egiten duten enkriptatze-protokoloak erabiltzeko debekua hausteagatik, Interneteko baliabidearen funtzionamendua etetea proposatzen da urraketa hau aurkitu den egunetik 1 (bat) lanegun baino lehen. baimendutako organo exekutibo federala. Blokeoaren helburu nagusia TLS luzapena da (lehen ESNI izenez ezagutzen dena), TLS 1.3-rekin batera erabil daitekeena eta dagoeneko Txinan. Lege-proiektuan idazkera lausoa denez eta zehaztasunik ez dagoenez, ECH/ESNI izan ezik, formalki, komunikazio-kanalaren zifraketa osoa ematen duten ia protokoloak, baita protokoloak ere. (DoH) eta (DoT).
Gogora dezagun hainbat HTTPS guneren lana IP helbide batean antolatzeko, SNI luzapena aldi berean garatu zela, ostalari-izena testu argian transmititzen duela ClientHello mezuan enkriptatutako komunikazio kanal bat instalatu aurretik. Ezaugarri honek Internet hornitzailearen aldetik HTTPS trafikoa selektiboki iragaztea eta erabiltzaileak zein gune irekitzen dituen aztertzea ahalbidetzen du, eta horrek ez du baimentzen HTTPS erabiltzean konfidentzialtasun osoa lortzea.
ECH/ESNIk guztiz ezabatzen du eskatutako guneari buruzko informazio-ihesak HTTPS konexioak aztertzean. Edukiak bidaltzeko sare baten bidezko sarbidearekin batera, ECH/ESNI erabiltzeak hornitzaileari eskatutako baliabidearen IP helbidea ezkutatzea ere ahalbidetzen du - trafikoa ikuskatzeko sistemek CDNrako eskaerak soilik ikusten dituzte eta ezin dute blokeorik aplikatu TLS faltsutu gabe. saioa, eta kasu horretan erabiltzailearen nabigatzailean ziurtagiriaren ordezkapenari buruzko jakinarazpena bistaratuko da. ECH/ESNI debekua sartzen bada, aukera horri aurre egiteko modu bakarra ECH/ESNI onartzen duten Edukiak Bidaltzeko Sareetarako (CDN) sarbidea guztiz mugatzea da, bestela debekua ez da eraginkorra izango eta CDNek erraz saihes dezake.
ECH/ESNI erabiltzean, ostalari-izena, SNIn bezala, ClientHello mezuan transmititzen da, baina mezu honetan transmititzen diren datuen edukia enkriptatzen da. Enkriptatzea zerbitzariaren eta bezeroaren gakoetatik kalkulatutako sekretua erabiltzen du. Atzemandako edo jasotako ECH/ESNI eremu-balioa deszifratzeko, bezeroaren edo zerbitzariaren gako pribatua ezagutu behar duzu (gehi zerbitzariaren edo bezeroaren gako publikoak). Gako publikoei buruzko informazioa DNSn zerbitzariaren gakoari eta ClientHello mezuan bezeroaren gakoari igortzen zaio. Deszifratzea ere posible da TLS konexioaren konfigurazioan adostutako sekretu partekatu bat erabiliz, bezeroak eta zerbitzariak soilik ezagutzen duena.
Iturria: opennet.ru