Počeo nacrt pravnog akta o izmjenama i dopunama Saveznog zakona „O informacijama, informacijskim tehnologijama i zaštiti informacija“, koji je izradilo Ministarstvo digitalnog razvoja, komunikacija i masovnih komunikacija. Zakon predlaže uvođenje zabrane korištenja na teritoriju Ruske Federacije „protokola šifriranja koji omogućuju skrivanje imena (identifikatora) internetske stranice ili web mjesta na internetu, osim u slučajevima utvrđenim zakonodavstvo Ruske Federacije."
Za kršenje zabrane korištenja protokola šifriranja koji omogućuju skrivanje naziva web mjesta, predlaže se obustava rada internetskog resursa najkasnije 1 (jedan) radni dan od dana otkrivanja ovog kršenja od strane ovlašteni savezni organ izvršne vlasti. Glavna svrha blokiranja je TLS proširenje (prije poznat kao ESNI), koji se može koristiti u kombinaciji s TLS 1.3 i već u Kini. Budući da je formulacija u prijedlogu zakona nejasna i nema specifičnosti, osim za ECH/ESNI, formalno, gotovo svi protokoli koji pružaju punu enkripciju komunikacijskog kanala, kao i protokoli (DoH) i (Točka).
Podsjetimo, kako bi se organizirao rad nekoliko HTTPS stranica na jednoj IP adresi, svojedobno je razvijeno proširenje SNI, koje prenosi ime hosta u jasnom tekstu u poruci ClientHello koja se prenosi prije instaliranja šifriranog komunikacijskog kanala. Ova značajka omogućuje internetskom pružatelju da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što ne dopušta postizanje potpune povjerljivosti pri korištenju HTTPS-a.
ECH/ESNI u potpunosti eliminira curenje informacija o traženoj stranici prilikom analize HTTPS veza. U kombinaciji s pristupom putem mreže za isporuku sadržaja, korištenje ECH/ESNI također omogućuje skrivanje IP adrese traženog resursa od pružatelja usluga - sustavi za inspekciju prometa vide samo zahtjeve prema CDN-u i ne mogu primijeniti blokiranje bez lažiranja TLS-a sesije, pri čemu će se u pregledniku korisnika prikazati odgovarajuća obavijest o zamjeni certifikata. Ako se uvede zabrana ECH/ESNI, jedini način za borbu protiv te mogućnosti je potpuno ograničiti pristup mrežama za isporuku sadržaja (CDN) koje podržavaju ECH/ESNI, inače će zabrana biti neučinkovita i CDN-ovi je mogu lako zaobići.
Kada koristite ECH/ESNI, ime glavnog računala, kao u SNI, prenosi se u poruci ClientHello, ali sadržaj podataka koji se prenose u ovoj poruci je šifriran. Enkripcija koristi tajnu izračunatu iz ključeva poslužitelja i klijenta. Za dešifriranje presretnute ili primljene vrijednosti ECH/ESNI polja, morate znati privatni ključ klijenta ili poslužitelja (plus javne ključeve poslužitelja ili klijenta). Informacije o javnim ključevima prenose se za ključ poslužitelja u DNS-u, a za ključ klijenta u poruci ClientHello. Dešifriranje je također moguće pomoću zajedničke tajne dogovorene tijekom postavljanja TLS veze, poznate samo klijentu i poslužitelju.
Izvor: opennet.ru