Au inceput un proiect de act legislativ privind modificările aduse Legii federale „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, elaborat de Ministerul Dezvoltării Digitale, Comunicațiilor și Comunicațiilor de Masă. Legea propune introducerea unei interdicții privind utilizarea pe teritoriul Federației Ruse a „protocoalelor de criptare care fac posibilă ascunderea numelui (identificatorului) unei pagini de internet sau a unui site pe internet, cu excepția cazurilor stabilite de legislația Federației Ruse.”
Pentru încălcarea interdicției de utilizare a protocoalelor de criptare care fac posibilă ascunderea numelui site-ului, se propune suspendarea funcționării resursei de internet în cel mult 1 (o) zi lucrătoare de la data descoperirii acestei încălcări de către organul executiv federal autorizat. Scopul principal al blocării este extensia TLS (cunoscut anterior ca ESNI), care poate fi folosit împreună cu TLS 1.3 și deja in China. Deoarece formularea din proiectul de lege este vagă și nu există nicio specificitate, cu excepția ECH/ESNI, în mod formal, aproape orice protocoale care asigură criptarea completă a canalului de comunicație, precum și protocoalele (DoH) și (Punct).
Să reamintim că, pentru a organiza munca mai multor site-uri HTTPS pe o singură adresă IP, a fost dezvoltată la un moment dat extensia SNI, care transmite numele gazdei în text clar în mesajul ClientHello transmis înainte de instalarea unui canal de comunicație criptat. Această caracteristică face posibilă din partea furnizorului de internet să filtreze selectiv traficul HTTPS și să analizeze ce site-uri deschide utilizatorul, ceea ce nu permite obținerea confidențialității complete atunci când folosește HTTPS.
ECH/ESNI elimină complet scurgerea de informații despre site-ul solicitat atunci când se analizează conexiunile HTTPS. În combinație cu accesul printr-o rețea de livrare de conținut, utilizarea ECH/ESNI face posibilă și ascunderea adresei IP a resursei solicitate de la furnizor - sistemele de inspecție a traficului văd doar solicitările către CDN și nu pot aplica blocarea fără falsificarea TLS. sesiune, caz în care browserul utilizatorului va fi afișată o notificare corespunzătoare despre înlocuirea certificatului. Dacă se introduce o interdicție ECH/ESNI, singura modalitate de a combate această posibilitate este restricționarea completă a accesului la Rețelele de livrare a conținutului (CDN) care acceptă ECH/ESNI, altfel interdicția va fi ineficientă și poate fi ocolită cu ușurință de către CDN-uri.
Când se utilizează ECH/ESNI, numele gazdei, ca și în SNI, este transmis în mesajul ClientHello, dar conținutul datelor transmise în acest mesaj este criptat. Criptarea folosește un secret calculat din cheile de server și client. Pentru a decripta o valoare de câmp ECH/ESNI interceptată sau primită, trebuie să cunoașteți cheia privată a clientului sau a serverului (plus cheile publice ale serverului sau ale clientului). Informațiile despre cheile publice sunt transmise pentru cheia de server în DNS și pentru cheia client în mesajul ClientHello. Decriptarea este posibilă și folosind un secret comun convenit în timpul configurării conexiunii TLS, cunoscut doar de client și server.
Sursa: opennet.ru
