wiwit draf tumindak hukum babagan amandemen Undang-undang Federal "On Information, Information Technologies and Information Protection", sing dikembangake dening Kementerian Pembangunan Digital, Komunikasi lan Komunikasi Massa. Undhang-undhang kasebut ngusulake kanggo ngenalake larangan panggunaan "protokol enkripsi ing wilayah Federasi Rusia sing bisa ndhelikake jeneng (pengenal) kaca utawa situs Internet ing Internet, kajaba kanggo kasus sing ditetepake dening aturan saka Federasi Rusia."
Kanggo nglanggar larangan panggunaan protokol enkripsi sing bisa ndhelikake jeneng situs, diusulake kanggo nundha operasi sumber Internet ora luwih saka 1 (siji) dina kerja wiwit tanggal ditemokake pelanggaran iki dening badan eksekutif federal sing sah. Tujuan utama pamblokiran yaiku ekstensi TLS (sadurungΓ© dikenal minangka ESNI), sing bisa digunakake bebarengan karo TLS 1.3 lan wis ing China. Wiwit tembung ing tagihan ora jelas lan ora ana spesifik, kajaba ECH / ESNI, kanthi resmi, meh kabeh protokol sing nyedhiyakake enkripsi lengkap saluran komunikasi, uga protokol. (DoH) lan (DOT).
Elinga yen kanggo ngatur karya sawetara situs HTTPS ing siji alamat IP, ekstensi SNI dikembangake bebarengan, sing ngirim jeneng host ing teks sing jelas ing pesen ClientHello sing dikirim sadurunge nginstal saluran komunikasi sing dienkripsi. Fitur iki ndadekake panyedhiya Internet bisa nyaring lalu lintas HTTPS kanthi selektif lan nganalisa situs sing dibukak pangguna, sing ora ngidini entuk rahasia lengkap nalika nggunakake HTTPS.
ECH/ESNI rampung ngilangi kebocoran informasi babagan situs sing dijaluk nalika nganalisa sambungan HTTPS. Ing kombinasi karo akses liwat jaringan pangiriman konten, panggunaan ECH/ESNI uga ndadekake bisa ndhelikake alamat IP sumber daya sing dijaluk saka panyedhiya - sistem pengawasan lalu lintas mung ndeleng panjalukan menyang CDN lan ora bisa ngetrapake pamblokiran tanpa spoofing TLS. sesi, ing kasus iki browser pangguna kabar sing cocog babagan substitusi sertifikat bakal ditampilake. Yen larangan ECH / ESNI dienalake, siji-sijine cara kanggo nglawan kemungkinan iki yaiku mbatesi akses menyang Jaringan Pangiriman Konten (CDN) sing ndhukung ECH / ESNI, yen larangan kasebut bakal ora efektif lan bisa gampang dikalahake dening CDN.
Nalika nggunakake ECH / ESNI, jeneng host, kaya ing SNI, dikirim ing pesen ClientHello, nanging isi data sing dikirim ing pesen iki dienkripsi. Enkripsi nggunakake rahasia sing diwilang saka kunci server lan klien. Kanggo dekripsi nilai lapangan ECH/ESNI sing dicegat utawa ditampa, sampeyan kudu ngerti kunci pribadhi klien utawa server (plus kunci umum server utawa klien). Informasi babagan kunci umum dikirim kanggo kunci server ing DNS, lan kanggo kunci klien ing pesen ClientHello. Dekripsi uga bisa nggunakake rahasia bareng sing disepakati sajrone persiyapan sambungan TLS, sing mung dikenal dening klien lan server.
Source: opennet.ru