Alkoi digitaalisen kehityksen, viestinnän ja joukkoviestinnän ministeriön laatima luonnos säädökseksi liittovaltion lain "Tiedotuksesta, tietotekniikasta ja tietosuojasta" muuttamisesta. Laissa ehdotetaan kieltoa käyttää Venäjän federaation alueella "salausprotokollia, jotka mahdollistavat Internet-sivun tai -sivuston nimen (tunnisteen) piilottamisen Internetissä, lukuun ottamatta tapauksia, jotka on vahvistettu Venäjän federaation lainsäädäntö."
Sivuston nimen piilottamisen mahdollistavien salausprotokollien käyttökiellon rikkomisesta ehdotetaan, että Internet-resurssin toiminta keskeytetään viimeistään 1 (yksi) arkipäivän kuluessa siitä, kun tämä rikkomus havaittiin. valtuutettu liittovaltion toimeenpaneva elin. Eston päätarkoitus on TLS-laajennus (aiemmin ESNI), jota voidaan käyttää yhdessä TLS 1.3:n kanssa ja jo Kiinassa. Koska lakiehdotuksen sanamuoto on epämääräinen eikä siinä ole mitään erityistä, paitsi ECH/ESNI, muodollisesti lähes kaikki protokollat, jotka tarjoavat viestintäkanavan täydellisen salauksen, sekä protokollat (DoH) ja (Piste).
Muistetaan, että usean HTTPS-sivuston työn järjestämiseksi yhdellä IP-osoitteella kehitettiin kerralla SNI-laajennus, joka välittää isäntänimen selkeänä tekstinä ennen salatun viestintäkanavan asentamista lähetetyssä ClientHello-viestissä. Tämä ominaisuus mahdollistaa Internet-palveluntarjoajan puolella HTTPS-liikenteen valikoivan suodattamisen ja analysoinnin, mitkä sivustot käyttäjä avaa, mikä ei salli täydellistä luottamuksellisuutta HTTPS:ää käytettäessä.
ECH/ESNI eliminoi täysin tiedon vuotamisen pyydetystä sivustosta analysoitaessa HTTPS-yhteyksiä. Yhdessä sisällönjakeluverkon kautta tapahtuvan käytön kanssa ECH/ESNI:n käyttö mahdollistaa myös pyydetyn resurssin IP-osoitteen piilottamisen palveluntarjoajalta - liikenteentarkistusjärjestelmät näkevät vain CDN:lle osoitetut pyynnöt, eivätkä ne voi soveltaa estoa ilman TLS:n huijausta. istunto, jolloin käyttäjän selaimeen tulee vastaava ilmoitus varmenteen korvaamisesta. Jos ECH/ESNI-kielto otetaan käyttöön, ainoa tapa torjua tätä mahdollisuutta on rajoittaa kokonaan pääsy ECH/ESNI:tä tukeviin sisällönjakeluverkkoihin (CDN), muuten kielto on tehoton ja CDN-verkkojen voi helposti kiertää sen.
Käytettäessä ECH/ESNI:tä isäntänimi, kuten SNI:ssä, lähetetään ClientHello-sanomassa, mutta tässä viestissä lähetettyjen tietojen sisältö on salattu. Salaus käyttää salaisuutta, joka lasketaan palvelimen ja asiakkaan avaimista. Jotta voit purkaa siepatun tai vastaanotetun ECH/ESNI-kentän arvon, sinun on tiedettävä asiakkaan tai palvelimen yksityinen avain (sekä palvelimen tai asiakkaan julkiset avaimet). Tietoa julkisista avaimista välitetään palvelinavaimelle DNS:ssä ja asiakasavaimelle ClientHello-sanomassa. Salauksen purku on mahdollista myös TLS-yhteyden asennuksen yhteydessä sovitun jaetun salaisuuden avulla, jonka tietävät vain asiakas ja palvelin.
Lähde: opennet.ru