A commencé un projet d'acte juridique sur les modifications de la loi fédérale « sur l'information, les technologies de l'information et la protection de l'information », élaboré par le ministère du Développement numérique, des Communications et des Communications de masse. La loi propose d'interdire l'utilisation sur le territoire de la Fédération de Russie de « protocoles de cryptage permettant de masquer le nom (identifiant) d'une page ou d'un site Internet sur Internet, sauf dans les cas établis par la législation de la Fédération de Russie.
En cas de violation de l'interdiction d'utilisation de protocoles de cryptage permettant de masquer le nom du site, il est proposé de suspendre le fonctionnement de la ressource Internet au plus tard 1 (un) jour ouvrable à compter de la date de découverte de cette violation par l'organe exécutif fédéral autorisé. L'objectif principal du blocage est l'extension TLS (anciennement ESNI), qui peut être utilisé conjointement avec TLS 1.3 et déjà en Chine. Étant donné que le libellé du projet de loi est vague et qu'il n'y a aucune spécificité, à l'exception de ECH/ESNI, presque tous les protocoles qui assurent un cryptage complet du canal de communication, ainsi que les protocoles (DoH) et (Point).
Rappelons qu'afin d'organiser le travail de plusieurs sites HTTPS sur une même adresse IP, a été développé à un moment donné l'extension SNI, qui transmet le nom d'hôte en texte clair dans le message ClientHello transmis avant d'installer un canal de communication crypté. Cette fonctionnalité permet du côté du fournisseur d’accès Internet de filtrer sélectivement le trafic HTTPS et d’analyser les sites ouverts par l’utilisateur, ce qui ne permet pas d’obtenir une confidentialité totale lors de l’utilisation de HTTPS.
ECH/ESNI élimine complètement la fuite d'informations sur le site demandé lors de l'analyse des connexions HTTPS. En combinaison avec l'accès via un réseau de diffusion de contenu, l'utilisation d'ECH/ESNI permet également de masquer l'adresse IP de la ressource demandée au fournisseur - les systèmes d'inspection du trafic ne voient que les demandes adressées au CDN et ne peuvent pas appliquer de blocage sans usurper le TLS. session, auquel cas le navigateur de l'utilisateur affichera une notification correspondante concernant la substitution du certificat. Si une interdiction ECH/ESNI est introduite, la seule façon de lutter contre cette possibilité est de restreindre complètement l'accès aux réseaux de diffusion de contenu (CDN) qui prennent en charge ECH/ESNI, sinon l'interdiction sera inefficace et pourra facilement être contournée par les CDN.
Lors de l'utilisation d'ECH/ESNI, le nom d'hôte, comme dans SNI, est transmis dans le message ClientHello, mais le contenu des données transmises dans ce message est crypté. Le chiffrement utilise un secret calculé à partir des clés du serveur et du client. Pour déchiffrer une valeur de champ ECH/ESNI interceptée ou reçue, vous devez connaître la clé privée du client ou du serveur (plus les clés publiques du serveur ou du client). Les informations sur les clés publiques sont transmises pour la clé du serveur dans DNS et pour la clé client dans le message ClientHello. Le décryptage est également possible à l'aide d'un secret partagé convenu lors de l'établissement de la connexion TLS, connu uniquement du client et du serveur.
Source: opennet.ru