Iniciado um projeto de ato jurídico sobre alterações à Lei Federal “Sobre Informação, Tecnologias de Informação e Proteção da Informação”, desenvolvido pelo Ministério do Desenvolvimento Digital, Comunicações e Comunicações de Massa. A lei propõe a proibição do uso no território da Federação Russa de “protocolos de criptografia que permitem ocultar o nome (identificador) de uma página ou site da Internet na Internet, exceto nos casos estabelecidos pelo legislação da Federação Russa.”
Por violação da proibição de utilização de protocolos de criptografia que possibilitem a ocultação do nome do site, propõe-se a suspensão do funcionamento do recurso Internet no prazo máximo de 1 (um) dia útil a partir da data da descoberta desta violação por o órgão executivo federal autorizado. O principal objetivo do bloqueio é a extensão TLS (anteriormente conhecido como ESNI), que pode ser usado em conjunto com o TLS 1.3 e já na China. Como a redação do projeto de lei é vaga e não há especificidade, exceto para ECH/ESNI, formalmente, quase todos os protocolos que fornecem criptografia completa do canal de comunicação, bem como protocolos (DoH) e (Ponto).
Lembremos que para organizar o trabalho de vários sites HTTPS em um endereço IP, foi desenvolvida a extensão SNI de uma só vez, que transmite o nome do host em texto não criptografado na mensagem ClientHello transmitida antes da instalação de um canal de comunicação criptografado. Este recurso permite que o provedor de Internet filtre seletivamente o tráfego HTTPS e analise quais sites o usuário abre, o que não permite obter total confidencialidade ao usar HTTPS.
ECH/ESNI elimina completamente o vazamento de informações sobre o site solicitado ao analisar conexões HTTPS. Em combinação com o acesso através de uma rede de entrega de conteúdo, o uso de ECH/ESNI também permite ocultar do provedor o endereço IP do recurso solicitado - os sistemas de inspeção de tráfego veem apenas solicitações para o CDN e não podem aplicar bloqueio sem falsificar o TLS sessão, caso em que será exibida no navegador do usuário uma notificação correspondente sobre a substituição do certificado. Se for introduzida uma proibição de ECH/ESNI, a única forma de combater esta possibilidade é restringir completamente o acesso às redes de distribuição de conteúdos (CDN) que suportam ECH/ESNI, caso contrário a proibição será ineficaz e poderá ser facilmente contornada por CDN.
Ao usar ECH/ESNI, o nome do host, como no SNI, é transmitido na mensagem ClientHello, mas o conteúdo dos dados transmitidos nesta mensagem é criptografado. A criptografia usa um segredo calculado a partir das chaves do servidor e do cliente. Para descriptografar um valor de campo ECH/ESNI interceptado ou recebido, você deve conhecer a chave privada do cliente ou servidor (mais as chaves públicas do servidor ou cliente). As informações sobre chaves públicas são transmitidas para a chave do servidor no DNS e para a chave do cliente na mensagem ClientHello. A descriptografia também é possível usando um segredo compartilhado acordado durante a configuração da conexão TLS, conhecido apenas pelo cliente e pelo servidor.
Fonte: opennet.ru