Nagsimula isang draft na legal na batas sa mga susog sa Pederal na Batas "Sa Impormasyon, Teknolohiya ng Impormasyon at Proteksyon ng Impormasyon", na binuo ng Ministry of Digital Development, Communications at Mass Communications. Ang batas ay nagmumungkahi na ipakilala ang isang pagbabawal sa paggamit sa teritoryo ng Russian Federation ng "mga protocol ng pag-encrypt na ginagawang posible na itago ang pangalan (identifier) ββng isang pahina sa Internet o site sa Internet, maliban sa mga kaso na itinatag ng batas ng Russian Federation."
Para sa paglabag sa pagbabawal sa paggamit ng mga protocol ng pag-encrypt na ginagawang posible na itago ang pangalan ng site, iminungkahi na suspindihin ang pagpapatakbo ng mapagkukunan ng Internet nang hindi lalampas sa 1 (isang) araw ng negosyo mula sa petsa ng pagkatuklas ng paglabag na ito ng ang awtorisadong pederal na ehekutibong katawan. Ang pangunahing layunin ng pagharang ay ang extension ng TLS (dating kilala bilang ESNI), na maaaring gamitin kasabay ng TLS 1.3 at mayroon na sa Tsina. Dahil ang mga salita sa bill ay malabo at walang tiyak, bilang karagdagan sa ECH/ESNI, pormal, halos anumang mga protocol na nagbibigay ng buong pag-encrypt ng channel ng komunikasyon, pati na rin ang mga protocol (DoH) at (DoT).
Alalahanin natin na upang maisaayos ang gawain ng ilang mga site ng HTTPS sa isang IP address, binuo ang extension ng SNI sa isang pagkakataon, na nagpapadala ng pangalan ng host sa malinaw na teksto sa mensaheng ClientHello na ipinadala bago mag-install ng naka-encrypt na channel ng komunikasyon. Ginagawang posible ng feature na ito sa panig ng Internet provider na piliing i-filter ang trapiko ng HTTPS at suriin kung aling mga site ang bubuksan ng user, na hindi nagpapahintulot sa pagkamit ng kumpletong pagiging kumpidensyal kapag gumagamit ng HTTPS.
Ganap na inaalis ng ECH/ESNI ang pagtagas ng impormasyon tungkol sa hiniling na site kapag sinusuri ang mga koneksyon sa HTTPS. Kasabay ng pag-access sa pamamagitan ng network ng paghahatid ng nilalaman, ginagawang posible rin ng paggamit ng ECH/ESNI na itago ang IP address ng hiniling na mapagkukunan mula sa provider - ang mga sistema ng inspeksyon ng trapiko ay nakakakita lamang ng mga kahilingan sa CDN at hindi maaaring maglapat ng pag-block nang hindi na-spoof ang TLS session, kung saan ang browser ng user ay magpapakita ng kaukulang abiso tungkol sa pagpapalit ng certificate. Kung ang isang ECH/ESNI ban ay ipinakilala, ang tanging paraan upang labanan ang posibilidad na ito ay ganap na paghigpitan ang pag-access sa Content Delivery Networks (CDNs) na sumusuporta sa ECH/ESNI, kung hindi, ang pagbabawal ay magiging hindi epektibo at madaling maiiwasan ng mga CDN.
Kapag gumagamit ng ECH/ESNI, ang pangalan ng host, tulad ng sa SNI, ay ipinapadala sa mensaheng ClientHello, ngunit ang mga nilalaman ng data na ipinadala sa mensaheng ito ay naka-encrypt. Gumagamit ang pag-encrypt ng lihim na kinakalkula mula sa mga susi ng server at kliyente. Upang i-decrypt ang isang na-intercept o natanggap na halaga ng field ng ECH/ESNI, dapat mong malaman ang pribadong key ng kliyente o server (kasama ang mga pampublikong key ng server o kliyente). Ang impormasyon tungkol sa mga pampublikong key ay ipinapadala para sa server key sa DNS, at para sa client key sa mensahe ng ClientHello. Posible rin ang pag-decryption gamit ang isang nakabahaging lihim na napagkasunduan sa panahon ng pag-setup ng koneksyon sa TLS, na alam lang ng kliyente at server.
Pinagmulan: opennet.ru