Elkezdődött a Digitális Fejlesztési, Hírközlési és Tömegkommunikációs Minisztérium által kidolgozott jogszabálytervezet az „Információról, információs technológiákról és információvédelemről” szóló szövetségi törvény módosításáról. A törvény azt javasolja, hogy az Orosz Föderáció területén tiltsák be az olyan titkosítási protokollok használatát, amelyek lehetővé teszik egy internetes oldal vagy webhely nevének (azonosítójának) elrejtését az interneten, kivéve az Orosz Föderáció által meghatározott eseteket. az Orosz Föderáció jogszabályai."
A webhely nevének elrejtését lehetővé tevő titkosítási protokollok használatára vonatkozó tilalom megsértése esetén javasoljuk az internetes erőforrás működésének felfüggesztését legkésőbb 1 (egy) munkanapon belül a jogsértés felfedezésétől számított a felhatalmazott szövetségi végrehajtó szerv. A letiltás fő célja a TLS bővítmény (korábbi nevén ESNI), amely a TLS 1.3-mal együtt használható és már Kínában. Mivel a törvényjavaslat megfogalmazása homályos, és nincs konkrétum, kivéve az ECH/ESNI-t, formálisan szinte minden olyan protokoll, amely a kommunikációs csatorna teljes titkosítását biztosítja, valamint a protokollok (DoH) és (Pont).
Emlékezzünk vissza, hogy több HTTPS oldal egy IP-címen történő munkájának megszervezésére egy időben fejlesztették ki az SNI-bővítményt, amely a titkosított kommunikációs csatorna telepítése előtt küldött ClientHello üzenetben egyértelmű szöveggel továbbítja a gazdagép nevét. Ez a funkció lehetővé teszi az internetszolgáltató oldalán a HTTPS forgalom szelektív szűrését és elemzését, hogy a felhasználó mely oldalakat nyitja meg, ami nem teszi lehetővé a teljes titoktartás elérését HTTPS használatakor.
Az ECH/ESNI teljesen kiküszöböli a kért oldal információinak kiszivárgását a HTTPS-kapcsolatok elemzésekor. A tartalomszolgáltató hálózaton keresztüli hozzáféréssel kombinálva az ECH/ESNI használata lehetővé teszi a kért erőforrás IP-címének elrejtését a szolgáltató elől – a forgalomvizsgáló rendszerek csak a CDN-hez intézett kéréseket látják, és nem alkalmazhatnak blokkolást a TLS meghamisítása nélkül. munkamenetben, ebben az esetben a felhasználó böngészőjében egy megfelelő értesítés jelenik meg a tanúsítványcseréről. Ha bevezetik az ECH/ESNI tilalmat, az egyetlen módja ennek a lehetőségnek az ellen, hogy teljes mértékben korlátozzák a hozzáférést az ECH/ESNI-t támogató tartalomszolgáltató hálózatokhoz (CDN), különben a tilalom hatástalan lesz, és CDN-ekkel könnyen megkerülhető.
Az ECH/ESNI használatakor az SNI-hez hasonlóan a ClientHello üzenetben a gazdagépnév kerül továbbításra, de az üzenetben továbbított adatok tartalma titkosítva van. A titkosítás a szerver és a kliens kulcsaiból kiszámított titkot használ. Az elfogott vagy fogadott ECH/ESNI mezőérték visszafejtéséhez ismernie kell a kliens vagy a szerver privát kulcsát (valamint a szerver vagy az ügyfél nyilvános kulcsait). A nyilvános kulcsokkal kapcsolatos információk a DNS-ben a szerverkulcshoz, a ClientHello üzenetben pedig az ügyfélkulcshoz kerülnek továbbításra. A visszafejtés a TLS-kapcsolat beállítása során elfogadott megosztott titok használatával is lehetséges, amelyet csak a kliens és a kiszolgáló ismer.
Forrás: opennet.ru