È iniziata un progetto di atto giuridico sulle modifiche alla legge federale "sull'informazione, le tecnologie dell'informazione e la protezione dell'informazione", sviluppato dal Ministero dello sviluppo digitale, delle comunicazioni e delle comunicazioni di massa. La legge propone di introdurre il divieto di utilizzo sul territorio della Federazione Russa di "protocolli di crittografia che consentano di nascondere il nome (identificatore) di una pagina Internet o di un sito su Internet, ad eccezione dei casi stabiliti dalla legislazione della Federazione Russa”.
Per violazione del divieto di utilizzo di protocolli di crittografia che consentano di nascondere il nome del sito, si propone di sospendere il funzionamento della risorsa Internet entro e non oltre 1 (un) giorno lavorativo dalla data di scoperta di tale violazione da parte l’organo esecutivo federale autorizzato. Lo scopo principale del blocco è l'estensione TLS (precedentemente noto come ESNI), che può essere utilizzato insieme a TLS 1.3 e già in Cina. Dal momento che la formulazione del disegno di legge è vaga e non vi è alcuna specificità, ad eccezione di ECH/ESNI, formalmente quasi tutti i protocolli che forniscono la crittografia completa del canale di comunicazione, così come i protocolli (DoH) e (Punto).
Ricordiamo che per organizzare il lavoro di più siti HTTPS su un indirizzo IP, è stata sviluppata contemporaneamente l'estensione SNI, che trasmette il nome host in chiaro nel messaggio ClientHello trasmesso prima dell'installazione di un canale di comunicazione crittografato. Questa funzionalità consente da parte del provider Internet di filtrare selettivamente il traffico HTTPS e di analizzare quali siti apre l'utente, il che non consente di ottenere la completa riservatezza quando si utilizza HTTPS.
ECH/ESNI elimina completamente la fuga di informazioni sul sito richiesto durante l'analisi delle connessioni HTTPS. In combinazione con l'accesso tramite una rete di distribuzione dei contenuti, l'uso di ECH/ESNI consente anche di nascondere al fornitore l'indirizzo IP della risorsa richiesta: i sistemi di ispezione del traffico vedono solo le richieste alla CDN e non possono applicare il blocco senza spoofing del TLS sessione, nel qual caso nel browser dell'utente verrà visualizzata una notifica corrispondente sulla sostituzione del certificato. Se viene introdotto un divieto ECH/ESNI, l’unico modo per combattere questa possibilità è limitare completamente l’accesso alle reti di distribuzione dei contenuti (CDN) che supportano ECH/ESNI, altrimenti il divieto sarà inefficace e potrà essere facilmente aggirato dai CDN.
Quando si utilizza ECH/ESNI, il nome host, come in SNI, viene trasmesso nel messaggio ClientHello, ma il contenuto dei dati trasmessi in questo messaggio è crittografato. La crittografia utilizza un segreto calcolato dalle chiavi del server e del client. Per decrittografare un valore di campo ECH/ESNI intercettato o ricevuto, è necessario conoscere la chiave privata del client o del server (più le chiavi pubbliche del server o del client). Le informazioni sulle chiavi pubbliche vengono trasmesse per la chiave del server in DNS e per la chiave del client nel messaggio ClientHello. La decrittografia è possibile anche utilizzando un segreto condiviso concordato durante l'impostazione della connessione TLS, noto solo al client e al server.
Fonte: opennet.ru