D'fhógair Mozilla go n-áireofar tacaíocht d'úsáideoirí an bhrainse chobhsaí de Firefox don mheicníocht ECH (Encrypted Client Hello), a leanann le forbairt na teicneolaíochta ESNI (Tásc Ainm Freastalaí Criptithe) agus atá deartha chun faisnéis a chriptiú faoi pharaiméadair na seisiún TLS , mar shampla an t-ainm fearainn iarrtha. Cuireadh cód le haghaidh oibriú le ECH leis an scaoileadh Firefox 85 ar dtús, ach díchumasaíodh é de réir réamhshocraithe. De réir a chéile thosaigh Chrome ag cur tacaíocht ECH san áireamh ag tosú le scaoileadh Chrome 115.
Ós rud é, chomh maith le nascadh le freastalaí Sceithtear faisnéis fearainn iarrtha trí DNS. Chun cosaint iomlán a fháil, chomh maith le ECH, ní mór duit DNS thar HTTPS nó DNS thar TLS a úsáid chun trácht DNS a chriptiú. Ní úsáidfidh Firefox ECH gan DNS thar HTTPS a chumasú sna socruithe. Is féidir leat tacaíocht ECH a sheiceáil i do bhrabhsálaí ar an leathanach seo.
Ceann de na fachtóirí a chuir ar chumas tacaíocht ECH de réir réamhshocraithe i Firefox ná cuimsiú Cloudflare de thacaíocht ECH ina líonra seachadta ábhar cúpla lá ó shin. Ar an taobh praiticiúil, ós rud é go bhfuil sonraí faoi na hóstach iarrtha agus ECH á n-úsáid i bhfolach ó anailís, beidh gá anois le scagadh agus bac a chur ar shuíomhanna nach dteastaíonn ag baint úsáide as Cloudflare CDN blocáil líonra iomlán Cloudflare, bac a chur ar gach iarratas ó ECH, nó idircheapadh HTTPS a eagrú ag baint úsáide as deimhnithe fréimhe bréige. ar chóras úsáideora.
Ar dtús, chun obair a eagrú ar sheoladh IP amháin de roinnt suíomhanna HTTPS, baineadh úsáid as an síneadh TLS SNI, inar léiríodh ainm an óstaigh iarrtha sa teachtaireacht ClientHello a tarchuireadh sular bunaíodh cainéal cumarsáide criptithe. Leis an ngné seo bhíothas in ann iarratais a dháileadh thar óstaigh fíorúil ag céim luath den phróiseáil naisc, ach rinne sé freisin ar thaobh an ISP trácht HTTPS a scagadh go roghnach agus anailís a dhéanamh ar na suíomhanna a osclaíonn an t-úsáideoir, rud nár cheadaigh rúndacht iomlán a bhaint amach agus é á úsáid HTTPS.
Chun an fhadhb seo a réiteach agus chun sceitheadh faisnéise faoin suíomh iarrtha a chosc, moladh síneadh ESNI níos déanaí a chuireann criptiú sonraí i bhfeidhm leis an óstainm. Le linn chur chun feidhme ESNI, tugadh le fios nach gclúdaíonn an mheicníocht atá beartaithe gach foinse sceite sonraí óstaigh agus nach leor é a úsáid chun rúndacht iomlán sheisiúin HTTPS a áirithiú. Go háirithe, le linn seisiún a bunaíodh roimhe seo a atosú, leanadh leis an ainm fearainn i dtéacs soiléir a shonrú i measc pharaiméadair an síneadh PSK (Eochair Réamhroinnte) TLS. Ina theannta sin, d’aithin iarrachtaí chun ESNI a chur chun feidhme saincheisteanna comhoiriúnachta agus scálaithe a chuir cosc ar ghlacadh forleathan ESNI.
Agus easnaimh aitheanta ESNI á gcur san áireamh, forbraíodh meicníocht uilíoch nua ECH a cheadaíonn criptiú paraiméadair aon síntí TLS. Go teicniúil, is í an phríomhdhifríocht idir ECH agus ESNI ná go bhfuil teachtaireacht iomlán ClientHello criptithe láithreach in ionad réimsí aonair. Is éard atá i gceist le ECH an ClientHello a roinnt ina dhá theachtaireacht ar leith - an teachtaireacht chriptithe ClientHelloInner (SNI Inner) agus an teachtaireacht bhunúsach gan chriptiú ClientHelloOuter (SNI Outer). Iompraíonn SNI Outer neamhchriptithe sonraí neamhphríobháideachta amhail an leagan TLS agus liosta de na sifir a úsáidtear, chomh maith le hainm fearainn coitianta nach bhforluíonn le hainm iarbhír an fhearainn iarrtha. Mar shampla, do gach cliant Cloudflare, sonraíonn an SNI Outer neamhchriptithe an t-óstach coiteann "cloudflare-ech.com", ach tarchuirtear ainm iarbhír an óstaigh iarrtha sa SNI Inner criptithe agus níl sé ar fáil le haghaidh anailíse.
Úsáideann ECH scéim dáilte eochrach criptithe dhifriúil freisin: tarchuirtear faisnéis eochrach phoiblí i dtaifid DNS HTTPSSVC seachas i dtaifid TXT. Úsáidtear criptiú fíordheimhnithe ó cheann ceann go ceann bunaithe ar an sásra HPKE (Criptiú Eochrach Poiblí Hibrideach) chun an eochair a fháil agus a chriptiú. Tacaíonn ECH freisin le hath-tharchur slán eochrach ón bhfreastalaí, ar féidir a úsáid i gcás rothlú eochrach. freastalaí agus chun fadhbanna a réiteach maidir le heochracha atá as dáta a aisghabháil ón taisce DNS.
Foinse: oscailtenet.ru
