Comezou un proxecto de lei de modificación da Lei Federal "sobre a información, as tecnoloxías da información e a protección da información", desenvolvido polo Ministerio de Desenvolvemento Dixital, Comunicacións e Comunicacións de Masas. A lei propón introducir a prohibición do uso no territorio da Federación Rusa de "protocolos de cifrado que permiten ocultar o nome (identificador) dunha páxina ou sitio de Internet en Internet, excepto nos casos establecidos pola lexislación da Federación Rusa".
Por violar a prohibición do uso de protocolos de cifrado que permiten ocultar o nome do sitio, proponse suspender o funcionamento do recurso de Internet a máis tardar 1 (un) día hábil desde a data de descubrimento desta violación por parte de o órgano executivo federal autorizado. O obxectivo principal do bloqueo é a extensión TLS (anteriormente coñecido como ESNI), que se pode usar xunto con TLS 1.3 e xa en China. Dado que a redacción do proxecto de lei é vaga e non hai especificidade, agás para ECH/ESNI, formalmente, case todos os protocolos que proporcionan o cifrado completo da canle de comunicación, así como os protocolos (DoH) e (DoT).
Lembremos que, para organizar o traballo de varios sitios HTTPS nun enderezo IP, desenvolveuse ao mesmo tempo a extensión SNI, que transmite o nome de host en texto claro na mensaxe ClientHello transmitida antes de instalar unha canle de comunicación cifrada. Esta función fai posible, por parte do provedor de Internet, filtrar selectivamente o tráfico HTTPS e analizar cales son os sitios que abre o usuario, o que non permite acadar a total confidencialidade cando se usa HTTPS.
ECH/ESNI elimina completamente a fuga de información sobre o sitio solicitado ao analizar as conexións HTTPS. En combinación co acceso a través dunha rede de entrega de contidos, o uso de ECH/ESNI tamén permite ocultar ao provedor o enderezo IP do recurso solicitado: os sistemas de inspección de tráfico só ven solicitudes ao CDN e non poden aplicar o bloqueo sen suplantar o TLS. sesión, nese caso no navegador do usuario mostrarase unha notificación correspondente sobre a substitución do certificado. Se se introduce unha prohibición de ECH/ESNI, a única forma de combater esta posibilidade é restrinxir completamente o acceso ás Redes de entrega de contidos (CDN) que admitan ECH/ESNI; se non, a prohibición será ineficaz e as CDN poderán eludir facilmente.
Cando se usa ECH/ESNI, o nome de host, como en SNI, transmítese na mensaxe ClientHello, pero o contido dos datos transmitidos nesta mensaxe está cifrado. O cifrado utiliza un segredo calculado a partir das claves do servidor e do cliente. Para descifrar un valor de campo ECH/ESNI interceptado ou recibido, debes coñecer a clave privada do cliente ou servidor (máis as claves públicas do servidor ou do cliente). A información sobre as chaves públicas transmítese para a clave do servidor no DNS e para a clave do cliente na mensaxe ClientHello. O descifrado tamén é posible mediante un segredo compartido acordado durante a configuración da conexión TLS, coñecido só polo cliente e o servidor.
Fonte: opennet.ru