Ngawitan draf polah hukum ngeunaan amandemen Undang-undang Féderal "Ngeunaan Émbaran, Téknologi Informasi sareng Perlindungan Émbaran", dikembangkeun ku Kamentrian Pangwangunan Digital, Komunikasi sareng Komunikasi Massa. Hukum proposes pikeun ngenalkeun larangan dina pamakéan di wewengkon Féderasi Rusia tina "protokol enkripsi nu ngamungkinkeun pikeun nyumputkeun ngaran (identifier) tina hiji kaca Internet atawa situs dina Internet, iwal kasus ngadegkeun ku panerapan Féderasi Rusia".
Pikeun palanggaran larangan pamakean protokol enkripsi anu ngamungkinkeun pikeun nyumputkeun nami situs, diusulkeun pikeun ngagantungkeun operasi sumber Internét henteu langkung lami ti 1 (hiji) dinten kerja ti tanggal kapanggihna pelanggaran ieu ku badan eksekutif féderal otorisasi. Tujuan utama meungpeuk nyaéta extension TLS (baheulana kawanoh salaku ESNI), nu bisa dipaké ditéang jeung TLS 1.3 sarta geus di Cina. Kusabab kecap dina tagihanana samar-samar sareng teu aya spésifisitas, iwal ECH / ESNI, sacara resmi, ampir sagala protokol anu nyayogikeun énkripsi lengkep saluran komunikasi, ogé protokol. (DoH) jeung (DOT).
Hayu urang émut yén pikeun ngatur sababaraha situs HTTPS dina hiji alamat IP, ekstensi SNI dikembangkeun dina hiji waktos, anu ngirimkeun nami host dina téks anu jelas dina pesen ClientHello anu dikirimkeun sateuacan masang saluran komunikasi énkripsi. Fitur ieu ngamungkinkeun di sisi panyadia Internét pikeun nyaring lalu lintas HTTPS sacara selektif sareng nganalisis situs mana anu dibuka ku pangguna, anu henteu ngamungkinkeun pikeun ngahontal karusiahan lengkep nalika nganggo HTTPS.
ECH / ESNI lengkep ngaleungitkeun leakage inpormasi ngeunaan situs anu dipénta nalika nganalisis sambungan HTTPS. Dina kombinasi kalayan aksés ngaliwatan jaringan pangiriman eusi, pamakéan ECH / ESNI ogé ngamungkinkeun pikeun nyumputkeun alamat IP tina sumberdaya nu dipénta ti panyadia - sistem inspeksi lalulintas ningali ukur requests ka CDN jeung teu bisa nerapkeun blocking tanpa spoofing TLS. sési, dina hal ieu browser pamaké bakal dipintonkeun bewara saluyu ngeunaan substitusi sertipikat. Upami larangan ECH / ESNI diwanohkeun, hiji-hijina jalan pikeun merangan kamungkinan ieu nyaéta pikeun ngabatesan aksés lengkep ka Jaringan Pangiriman Kandungan (CDN) anu ngadukung ECH / ESNI, upami larangan éta henteu efektif sareng gampang dihindari ku CDN.
Nalika nganggo ECH / ESNI, nami host, sapertos dina SNI, dikirimkeun dina pesen ClientHello, tapi eusi data anu dikirimkeun dina pesen ieu énkripsi. Enkripsi ngagunakeun rusiah diitung tina server jeung konci klien. Pikeun ngadekrip nilai médan ECH/ESNI anu disadap atanapi ditampi, anjeun kedah terang konci pribadi klien atanapi server (tambah konci umum server atanapi klien). Inpormasi ngeunaan konci umum dikirimkeun pikeun konci server dina DNS, sareng pikeun konci klien dina pesen ClientHello. Dekripsi oge mungkin ngagunakeun rusiah dibagikeun sapuk kana salila setelan sambungan TLS, dipikawanoh wungkul ka klien tur server.
sumber: opennet.ru