begon een ontwerp van rechtshandeling tot wijziging van de federale wet “Informatie, informatietechnologie en informatiebescherming”, ontwikkeld door het ministerie van Digitale Ontwikkeling, Communicatie en Massacommunicatie. De wet stelt voor een verbod in te voeren op het gebruik op het grondgebied van de Russische Federatie van “encryptieprotocollen die het mogelijk maken de naam (identifier) van een internetpagina of site op internet te verbergen, behalve in gevallen vastgesteld door de wetgeving van de Russische Federatie.”
Voor overtreding van het verbod op het gebruik van encryptieprotocollen die het mogelijk maken de sitenaam te verbergen, wordt voorgesteld om de werking van de internetbron op te schorten uiterlijk 1 (één) werkdag vanaf de datum van ontdekking van deze overtreding door het bevoegde federale uitvoerende orgaan. Het belangrijkste doel van het blokkeren is de TLS-extensie (voorheen bekend als ESNI), dat kan worden gebruikt in combinatie met TLS 1.3 en al in China. Aangezien de formulering in het wetsvoorstel vaag is en er geen specificiteit is, behalve voor ECH/ESNI, zijn formeel bijna alle protocollen die volledige encryptie van het communicatiekanaal bieden, evenals protocollen (DoH) en (Punt).
Laten we niet vergeten dat om het werk van verschillende HTTPS-sites op één IP-adres te organiseren, in één keer de SNI-extensie is ontwikkeld, die de hostnaam in duidelijke tekst verzendt in het ClientHello-bericht dat wordt verzonden voordat een gecodeerd communicatiekanaal wordt geïnstalleerd. Deze functie maakt het aan de kant van de internetprovider mogelijk om selectief HTTPS-verkeer te filteren en te analyseren welke sites de gebruiker opent, waardoor volledige vertrouwelijkheid bij het gebruik van HTTPS niet kan worden bereikt.
ECH/ESNI elimineert volledig het lekken van informatie over de opgevraagde site bij het analyseren van HTTPS-verbindingen. In combinatie met toegang via een content delivery network maakt het gebruik van ECH/ESNI het ook mogelijk om het IP-adres van de gevraagde bron voor de provider te verbergen - verkeersinspectiesystemen zien alleen verzoeken aan het CDN en kunnen geen blokkering toepassen zonder de TLS te spoofen sessie, in welk geval de browser van de gebruiker een overeenkomstige melding over de certificaatvervanging zal worden weergegeven. Als er een ECH/ESNI-verbod wordt ingevoerd, is de enige manier om deze mogelijkheid te bestrijden het volledig beperken van de toegang tot Content Delivery Networks (CDN's) die ECH/ESNI ondersteunen. Anders is het verbod ineffectief en kan het gemakkelijk worden omzeild door CDN's.
Bij gebruik van ECH/ESNI wordt de hostnaam, net als bij SNI, verzonden in het ClientHello-bericht, maar de inhoud van de gegevens die in dit bericht worden verzonden, zijn gecodeerd. Versleuteling maakt gebruik van een geheim dat wordt berekend op basis van de server- en clientsleutels. Om een onderschepte of ontvangen ECH/ESNI-veldwaarde te ontsleutelen, moet u de privésleutel van de client of server kennen (plus de openbare sleutels van de server of client). Informatie over openbare sleutels wordt verzonden voor de serversleutel in DNS, en voor de clientsleutel in het ClientHello-bericht. Decodering is ook mogelijk met behulp van een gedeeld geheim dat is overeengekomen tijdens het instellen van de TLS-verbinding en dat alleen bekend is bij de client en de server.
Bron: opennet.ru