Hasi zen Garapen Digitalaren, Komunikazioen eta Hedabideen Ministerioak garatutako "Informazioari, Informazioaren Teknologiari eta Informazioaren Babesari buruzko Lege Federala" aldatzen duen lege-proiektu bat. Legeak Errusiako Federazioko "internet orrialde edo webgune baten izena (identifikatzailea) ezkutatzen duten enkriptazio-protokoloak" erabiltzea debekatzea proposatzen du, Errusiako legeriak ezarritako kasuetan izan ezik.
Webgune baten izena ezkutatzea ahalbidetzen duten enkriptazio-protokoloak erabiltzearen debekua urratzeagatik, Interneteko baliabidearen funtzionamendua etetea proposatzen da, baimendutako organo exekutibo federalak urraketa aurkitu eta gehienez ere lanegun 1 (bat) igaro ondoren. Blokeatzearen helburu nagusia TLS luzapena da. (lehen ESNI bezala ezagutzen zena), TLS 1.3rekin batera erabil daitekeena eta dagoeneko Txinan. Lege-proiektuaren hitzak lausoak direnez eta xehetasunik ez dutenez, ECH/ESNIz gain, komunikazio-kanalaren enkriptazio osoa eskaintzen duten ia edozein protokolo, baita protokoloak ere (DoH) eta (DoT).
Gogorarazteko, SNI luzapena garatu zen hainbat HTTPS gune IP helbide bakar batean funtziona dezaten. Host-izena testu arruntean transmititzen du ClientHello mezuan, komunikazio-kanal enkriptatu bat ezarri aurretik transmititua. Ezaugarri honek Interneteko zerbitzu-hornitzaileei HTTPS trafikoa selektiboki iragazi eta erabiltzaile batek zein gune bisitatzen dituen aztertzeko aukera ematen die, eta horrek pribatutasun osoa eragozten du HTTPS erabiltzean.
ECH/ESNI-k erabat ezabatzen du eskatutako webguneari buruzko informazio-ihesa HTTPS konexioak aztertzerakoan. Edukiak banatzeko sare baten bidezko sarbidearekin konbinatuta, ECH/ESNI-k eskatutako baliabidearen IP helbidea hornitzailearengandik ezkutatzea ere ahalbidetzen du. Trafiko-ikuskapen sistemek CDNra egindako eskaerak soilik ikusten dituzte eta ezin dute trafikoa blokeatu TLS saioa faltsutu gabe, eta horrek erabiltzailearen arakatzailean ziurtagiriaren faltsutzeari buruzko jakinarazpen bat jasoko luke. ECH/ESNI debekatzen bada, horri aurre egiteko modu bakarra ECH/ESNI onartzen duten edukiak banatzeko sareetarako (CDN) sarbidea guztiz mugatzea da. Bestela, blokeoa ez da eraginkorra izango eta erraz saihestu daiteke CDN erabiliz.
ECH/ESNI erabiltzean, SNIrekin gertatzen den bezala, host izena ClientHello mezuan transmititzen da, baina mezu honetan transmititzen diren datuak enkriptatuta daude. Zerbitzariaren eta bezeroaren gakoetatik kalkulatutako sekretu bat erabiltzen da enkriptatzeko. Atzemandako edo jasotako ECH/ESNI eremuaren balioa deszifratzeko, bezeroaren edo zerbitzariaren gako pribatua (eta zerbitzariaren edo bezeroaren gako publikoak) behar dira. Gako publikoei buruzko informazioa DNSn transmititzen da zerbitzariaren gakorako, eta ClientHello mezuan bezeroaren gakorako. Deszifratzea ere posible da TLS konexioa ezartzean negoziatutako sekretu partekatu bat erabiliz, bezeroak eta zerbitzariak bakarrik ezagutzen dutena.
Iturria: opennet.ru
