Sākās Digitālās attīstības, sakaru un masu komunikāciju ministrijas izstrādāto tiesību akta projektu par grozījumiem Federālajā likumā “Par informāciju, informācijas tehnoloģijām un informācijas aizsardzību”. Likums paredz ieviest aizliegumu Krievijas Federācijas teritorijā izmantot "šifrēšanas protokolus, kas ļauj slēpt interneta lapas vai vietnes nosaukumu (identifikatoru) internetā, izņemot gadījumus, ko nosaka Krievijas Federācijas tiesību akti."
Par šifrēšanas protokolu lietošanas aizlieguma pārkāpšanu, kas ļauj slēpt vietnes nosaukumu, tiek ierosināts apturēt interneta resursa darbību ne vēlāk kā 1 (vienu) darba dienu no šī pārkāpuma atklāšanas dienas līdz plkst. pilnvarotā federālā izpildinstitūcija. Galvenais bloķēšanas mērķis ir TLS paplašinājums (agrāk pazīstams kā ESNI), ko var izmantot kopā ar TLS 1.3 un jau Ķīnā. Tā kā likumprojektā formulējums ir neskaidrs un nav konkrētības, izņemot ECH/ESNI, formāli gandrīz jebkuri protokoli, kas nodrošina pilnu sakaru kanāla šifrēšanu, kā arī protokoli (DoH) un (DoT).
Atgādināsim, ka, lai organizētu vairāku HTTPS vietņu darbu uz vienas IP adreses, vienā reizē tika izstrādāts SNI paplašinājums, kas pirms šifrēta sakaru kanāla instalēšanas nosūtītajā ClientHello ziņojumā skaidrā tekstā pārraida resursdatora nosaukumu. Šī funkcija sniedz iespēju interneta pakalpojumu sniedzējam selektīvi filtrēt HTTPS trafiku un analizēt, kuras vietnes lietotājs atver, kas neļauj sasniegt pilnīgu konfidencialitāti, izmantojot HTTPS.
ECH/ESNI pilnībā novērš informācijas noplūdi par pieprasīto vietni, analizējot HTTPS savienojumus. Apvienojumā ar piekļuvi, izmantojot satura piegādes tīklu, ECH/ESNI izmantošana ļauj arī paslēpt pieprasītā resursa IP adresi no nodrošinātāja - satiksmes pārbaudes sistēmas redz tikai pieprasījumus CDN un nevar piemērot bloķēšanu bez TLS viltošanas. sesija, un tādā gadījumā lietotāja pārlūkprogrammā tiks parādīts atbilstošs paziņojums par sertifikāta aizstāšanu. Ja tiks ieviests ECH/ESNI aizliegums, vienīgais veids, kā cīnīties ar šo iespēju, ir pilnībā ierobežot piekļuvi satura piegādes tīkliem (CDN), kas atbalsta ECH/ESNI, pretējā gadījumā aizliegums būs neefektīvs un ar CDN to var viegli apiet.
Izmantojot ECH/ESNI, resursdatora nosaukums, tāpat kā SNI, tiek pārsūtīts ziņojumā ClientHello, bet šajā ziņojumā pārsūtīto datu saturs tiek šifrēts. Šifrēšana izmanto noslēpumu, kas aprēķināts no servera un klienta atslēgām. Lai atšifrētu pārtvertu vai saņemtu ECH/ESNI lauka vērtību, jums jāzina klienta vai servera privātā atslēga (kā arī servera vai klienta publiskās atslēgas). Informācija par publiskajām atslēgām tiek pārsūtīta servera atslēgai DNS un klienta atslēgai ClientHello ziņojumā. Atšifrēšana ir iespējama arī, izmantojot koplietotu noslēpumu, par kuru vienojās TLS savienojuma iestatīšanas laikā un kas zināms tikai klientam un serverim.
Avots: opennet.ru