Började ett utkast till rättsakt om ändringar av den federala lagen "Om information, informationsteknik och informationsskydd", utvecklat av ministeriet för digital utveckling, kommunikation och masskommunikation. Lagen föreslår att införa ett förbud mot användning på Ryska federationens territorium av "krypteringsprotokoll som gör det möjligt att dölja namnet (identifieraren) på en webbsida eller webbplats på Internet, utom i fall som fastställts av Ryska federationens lagstiftning."
För brott mot förbudet mot användning av krypteringsprotokoll som gör det möjligt att dölja webbplatsens namn, föreslås det att driften av internetresursen avbryts senast 1 (en) arbetsdag från dagen för upptäckten av denna överträdelse av det auktoriserade federala verkställande organet. Huvudsyftet med blockering är TLS-tillägget (tidigare känd som ESNI), som kan användas i kombination med TLS 1.3 och redan i Kina. Eftersom formuleringen i lagförslaget är vag och det inte finns någon specificitet, förutom ECH/ESNI, formellt sett nästan alla protokoll som tillhandahåller fullständig kryptering av kommunikationskanalen, såväl som protokoll (DoH) och (Punkt).
Låt oss komma ihåg att för att organisera arbetet på flera HTTPS-webbplatser på en IP-adress utvecklades SNI-tillägget på en gång, som överför värdnamnet i klartext i ClientHello-meddelandet som överförs innan en krypterad kommunikationskanal installeras. Denna funktion gör det möjligt på internetleverantörens sida att selektivt filtrera HTTPS-trafik och analysera vilka webbplatser användaren öppnar, vilket inte tillåter att man uppnår fullständig konfidentialitet när man använder HTTPS.
ECH/ESNI eliminerar fullständigt läckage av information om den begärda platsen vid analys av HTTPS-anslutningar. I kombination med åtkomst via ett innehållsleveransnätverk gör användningen av ECH/ESNI det också möjligt att dölja IP-adressen för den begärda resursen från leverantören - trafikinspektionssystem ser endast förfrågningar till CDN och kan inte tillämpa blockering utan att spoofa TLS session, i vilket fall användarens webbläsare ett motsvarande meddelande om certifikatutbytet kommer att visas. Om ett ECH/ESNI-förbud införs är det enda sättet att bekämpa denna möjlighet att helt begränsa åtkomsten till Content Delivery Networks (CDN) som stöder ECH/ESNI, annars blir förbudet ineffektivt och kan lätt kringgås av CDN:er.
Vid användning av ECH/ESNI sänds värdnamnet, som i SNI, i ClientHello-meddelandet, men innehållet i data som överförs i detta meddelande krypteras. Kryptering använder en hemlighet som beräknas från servern och klientnycklarna. För att dekryptera ett fångat eller mottaget ECH/ESNI-fältvärde måste du känna till klientens eller serverns privata nyckel (plus serverns eller klientens publika nycklar). Information om publika nycklar överförs för servernyckeln i DNS och för klientnyckeln i ClientHello-meddelandet. Dekryptering är också möjligt med hjälp av en delad hemlighet som överenskommits under TLS-anslutningens installation, endast känd för klienten och servern.
Källa: opennet.ru