始まった デジタル開発・通信・マスコミュニケーション省が策定した「情報、情報技術および情報保護に関する」連邦法の改正に関する法律案。 この法律は、ロシア連邦領土内での「インターネット上のインターネットページまたはサイトの名前(識別子)を隠すことを可能にする暗号化プロトコル」の使用禁止を導入することを提案している。ただし、ロシア連邦によって定められた場合を除く。ロシア連邦の法律。」
サイト名を隠すことを可能にする暗号化プロトコルの使用の禁止に違反した場合、この違反の発見日から 1 営業日以内にインターネット リソースの運用を停止することが提案されています。認可された連邦執行機関。 ブロックの主な目的は TLS 拡張機能です (以前は ESNI として知られていました)、TLS 1.3 と組み合わせて使用でき、すでに 中国で。 法案の文言は曖昧で具体性がないため、ECH/ESNI を除いて、正式には、通信チャネルの完全な暗号化を提供するほぼすべてのプロトコルとプロトコルが適用されます。 (DoH) および (ドット)。
XNUMX つの IP アドレス上で複数の HTTPS サイトの作業を整理するために、暗号化された通信チャネルをインストールする前に送信される ClientHello メッセージでホスト名をクリア テキストで送信する SNI 拡張機能がかつて開発されたことを思い出してください。 この機能により、インターネット プロバイダー側で HTTPS トラフィックを選択的にフィルタリングし、ユーザーが開いたサイトを分析できるようになりますが、これでは HTTPS 使用時に完全な機密性を達成することはできません。
ECH/ESNI は、HTTPS 接続を分析する際に、要求されたサイトに関する情報の漏洩を完全に排除します。 コンテンツ配信ネットワークを介したアクセスと組み合わせて、ECH/ESNI を使用すると、要求されたリソースの IP アドレスをプロバイダーから隠すこともできます。トラフィック検査システムは CDN への要求のみを認識し、TLS をスプーフィングせずにブロックを適用することはできません。この場合、ユーザーのブラウザには、証明書の置換に関する対応する通知が表示されます。 ECH/ESNI 禁止が導入された場合、この可能性に対抗する唯一の方法は、ECH/ESNI をサポートするコンテンツ配信ネットワーク (CDN) へのアクセスを完全に制限することです。そうしないと、禁止は効果がなく、CDN によって簡単に回避されてしまいます。
ECH/ESNI を使用する場合、SNI と同様にホスト名が ClientHello メッセージで送信されますが、このメッセージで送信されるデータの内容は暗号化されます。 暗号化には、サーバーとクライアントのキーから計算されたシークレットが使用されます。 傍受または受信した ECH/ESNI フィールド値を復号化するには、クライアントまたはサーバーの秘密キー (およびサーバーまたはクライアントの公開キー) を知っている必要があります。 公開キーに関する情報は、サーバー キーについては DNS で、クライアント キーについては ClientHello メッセージで送信されます。 復号化は、TLS 接続のセットアップ中に合意された、クライアントとサーバーのみが知っている共有秘密を使用して行うこともできます。
出所: オープンネット.ru