Začelo se je osnutek pravnega akta o spremembah zveznega zakona o informacijah, informacijskih tehnologijah in varstvu informacij, ki ga je pripravilo ministrstvo za digitalni razvoj, komunikacije in množične komunikacije. Zakon predlaga uvedbo prepovedi uporabe na ozemlju Ruske federacije "šifrirnih protokolov, ki omogočajo skrivanje imena (identifikatorja) internetne strani ali mesta na internetu, razen v primerih, ki jih določa zakonodaja Ruske federacije."
Za kršitev prepovedi uporabe šifrirnih protokolov, ki omogočajo skrivanje imena spletnega mesta, se predlaga začasna ustavitev delovanja internetnega vira najpozneje 1 (en) delovni dan od datuma odkritja te kršitve s strani pooblaščeni zvezni izvršilni organ. Glavni namen blokiranja je razširitev TLS (prej znan kot ESNI), ki se lahko uporablja v povezavi s TLS 1.3 in že na Kitajskem. Ker je besedilo v predlogu zakona nejasno in ni nobene posebnosti, razen za ECH/ESNI, so formalno skoraj vsi protokoli, ki zagotavljajo popolno šifriranje komunikacijskega kanala, kot tudi protokoli (DoH) in (DoT).
Spomnimo se, da je bila za organizacijo dela več spletnih mest HTTPS na enem naslovu IP naenkrat razvita razširitev SNI, ki posreduje ime gostitelja v čistem besedilu v sporočilu ClientHello, poslanem pred namestitvijo šifriranega komunikacijskega kanala. Ta funkcija omogoča na strani internetnega ponudnika, da selektivno filtrira promet HTTPS in analizira, katera spletna mesta uporabnik odpre, kar ne omogoča doseganja popolne zaupnosti pri uporabi HTTPS.
ECH/ESNI popolnoma odpravi uhajanje informacij o zahtevanem mestu pri analizi povezav HTTPS. V kombinaciji z dostopom prek omrežja za dostavo vsebin uporaba ECH/ESNI omogoča tudi skrivanje naslova IP zahtevanega vira pred ponudnikom – sistemi za nadzor prometa vidijo samo zahteve do CDN in ne morejo uporabiti blokiranja, ne da bi ponaredili TLS sejo, v tem primeru se v brskalniku uporabnika izpiše ustrezno obvestilo o zamenjavi potrdila. Če je uvedena prepoved ECH/ESNI, je edini način za boj proti tej možnosti popolna omejitev dostopa do omrežij za dostavo vsebin (CDN), ki podpirajo ECH/ESNI, sicer bo prepoved neučinkovita in jo bodo CDN-ji zlahka zaobšli.
Pri uporabi ECH/ESNI se ime gostitelja, tako kot pri SNI, prenese v sporočilu ClientHello, vendar je vsebina podatkov, posredovanih v tem sporočilu, šifrirana. Šifriranje uporablja skrivnost, izračunano iz ključev strežnika in odjemalca. Če želite dešifrirati prestreženo ali prejeto vrednost polja ECH/ESNI, morate poznati zasebni ključ odjemalca ali strežnika (ter javne ključe strežnika ali odjemalca). Informacije o javnih ključih se prenašajo za ključ strežnika v DNS, za ključ odjemalca pa v sporočilu ClientHello. Dešifriranje je možno tudi z uporabo skupne skrivnosti, dogovorjene med nastavitvijo povezave TLS, znane le odjemalcu in strežniku.
Vir: opennet.ru