הפדרציה הרוסית מתכוונת לאסור פרוטוקולים המאפשרים להסתיר את השם של אתר אינטרנט

התחיל דיון ציבורי טיוטת חוק משפטי על תיקונים לחוק הפדרלי "על מידע, טכנולוגיות מידע והגנת מידע", שפותחה על ידי המשרד לפיתוח דיגיטלי, תקשורת ותקשורת המונים. החוק מציע להנהיג איסור על שימוש בשטח הפדרציה הרוסית ב"פרוטוקולי הצפנה המאפשרים להסתיר את השם (מזהה) של דף אינטרנט או אתר באינטרנט, למעט מקרים שנקבעו על ידי חקיקה של הפדרציה הרוסית".

בגין הפרת האיסור על שימוש בפרוטוקולי הצפנה המאפשרים להסתיר את שם האתר, מוצע להשעות את פעולת המשאב האינטרנטי לא יאוחר מיום עסקים 1 (אחד) ממועד גילוי הפרה זו על ידי הגוף הפדרלי המוסמך. המטרה העיקרית של החסימה היא סיומת TLS איכס (שנודע בעבר כ-ESNI), שניתן להשתמש בו בשילוב עם TLS 1.3 וכבר חָסוּם בסין. מכיוון שהנוסח בהצעת החוק מעורפל ואין ספציפיות, למעט ECH/ESNI, באופן פורמלי, כמעט כל פרוטוקול המספק הצפנה מלאה של ערוץ התקשורת, וכן פרוטוקולים. DNS דרך HTTPS (DoH) ו DNS על TLS (נְקוּדָה).

נזכיר שכדי לארגן את העבודה של מספר אתרי HTTPS על כתובת IP אחת, פותחה בבת אחת סיומת SNI, המשדרת את שם המארח בטקסט ברור בהודעת ClientHello המועברת לפני התקנת ערוץ תקשורת מוצפן. תכונה זו מאפשרת בצד של ספק האינטרנט לסנן באופן סלקטיבי תעבורת HTTPS ולנתח אילו אתרים המשתמש פותח, מה שלא מאפשר השגת סודיות מלאה בעת שימוש ב-HTTPS.

ECH/ESNI מבטל לחלוטין את דליפת המידע על האתר המבוקש בעת ניתוח חיבורי HTTPS. בשילוב עם גישה דרך רשת מסירת תוכן, השימוש ב-ECH/ESNI מאפשר גם להסתיר את כתובת ה-IP של המשאב המבוקש מהספק - מערכות בדיקת תעבורה רואות רק בקשות ל-CDN ואינן יכולות להחיל חסימה מבלי לזייף את ה-TLS הפעלה, ובמקרה זה תוצג הודעה מתאימה בדפדפן המשתמש על החלפת האישור. אם יוכנס איסור ECH/ESNI, הדרך היחידה להילחם באפשרות זו היא להגביל לחלוטין את הגישה לרשתות אספקת תוכן (CDNs) התומכות ב-ECH/ESNI, אחרת האיסור לא יהיה יעיל וניתן בקלות לעקוף אותו על ידי CDNs.

בעת שימוש ב-ECH/ESNI, שם המארח, כמו ב-SNI, מועבר בהודעת ClientHello, אך תוכן הנתונים המועברים בהודעה זו מוצפן. ההצפנה משתמשת בסוד המחושב ממפתחות השרת והלקוח. כדי לפענח ערך שדה ECH/ESNI שיירט או התקבל, עליך לדעת את המפתח הפרטי של הלקוח או השרת (בתוספת המפתחות הציבוריים של השרת או הלקוח). מידע על מפתחות ציבוריים מועבר עבור מפתח השרת ב-DNS, ועבור מפתח הלקוח בהודעת ClientHello. פענוח אפשרי גם באמצעות סוד משותף שהוסכם עליו במהלך הגדרת חיבור TLS, הידוע רק ללקוח ולשרת.

מקור: OpenNet.ru