Başladı Dijital Kalkınma, İletişim ve Kitle İletişim Bakanlığı tarafından geliştirilen “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında” Federal Kanununda değişiklik yapılmasına ilişkin yasal düzenleme taslağı. Kanun, Rusya Federasyonu topraklarında, İnternet'teki bir İnternet sayfasının veya sitenin adının (tanımlayıcısının) gizlenmesini mümkün kılan şifreleme protokollerinin, Rusya Federasyonu tarafından belirlenen durumlar dışında, kullanımına yasak getirilmesini önermektedir. Rusya Federasyonu mevzuatı.”
Site adının gizlenmesini mümkün kılan şifreleme protokollerinin kullanımına ilişkin yasağın ihlali durumunda, bu ihlalin tespit edildiği tarihten itibaren en geç 1 (bir) iş günü içerisinde İnternet kaynağının çalışmasının askıya alınması önerilmektedir. yetkili federal yürütme organı. Engellemenin asıl amacı TLS uzantısıdır (eski adıyla ESNI olarak biliniyordu), TLS 1.3 ile birlikte kullanılabilir ve halihazırda Çin'de. Tasarıdaki ifadeler belirsiz olduğundan ve ECH/ESNI dışında herhangi bir spesifiklik bulunmadığından, resmi olarak iletişim kanalının tam şifrelemesini sağlayan hemen hemen tüm protokollerin yanı sıra protokoller de mevcuttur. (DoH) ve (Nokta).
Birkaç HTTPS sitesinin çalışmasını tek bir IP adresi üzerinde düzenlemek için, şifreli bir iletişim kanalı kurulmadan önce iletilen ClientHello mesajında ana bilgisayar adını açık metin olarak ileten SNI uzantısının aynı anda geliştirildiğini hatırlayalım. Bu özellik, İnternet sağlayıcısının HTTPS trafiğini seçici olarak filtrelemesini ve kullanıcının hangi siteleri açtığını analiz etmesini mümkün kılar, bu da HTTPS kullanırken tam bir gizlilik elde edilmesine izin vermez.
ECH/ESNI, HTTPS bağlantılarını analiz ederken istenen site hakkında bilgi sızıntısını tamamen ortadan kaldırır. İçerik dağıtım ağı aracılığıyla erişimle birlikte ECH/ESNI kullanımı, talep edilen kaynağın IP adresinin sağlayıcıdan gizlenmesine de olanak tanır; trafik denetim sistemleri yalnızca CDN'ye yapılan talepleri görür ve TLS'yi yanıltmadan engelleme uygulayamaz Bu durumda kullanıcının tarayıcısında sertifika değişikliğine ilişkin ilgili bir bildirim görüntülenecektir. Bir ECH/ESNI yasağı getirilirse, bu olasılıkla mücadele etmenin tek yolu, ECH/ESNI'yi destekleyen İçerik Dağıtım Ağlarına (CDN'ler) erişimi tamamen kısıtlamaktır, aksi takdirde yasak etkisiz olacak ve CDN'ler tarafından kolayca atlatılabilir.
ECH/ESNI kullanıldığında, SNI'de olduğu gibi ana bilgisayar adı ClientHello mesajında iletilir, ancak bu mesajda iletilen verilerin içeriği şifrelenir. Şifreleme, sunucu ve istemci anahtarlarından hesaplanan bir sır kullanır. Ele geçirilen veya alınan bir ECH/ESNI alan değerinin şifresini çözmek için, istemcinin veya sunucunun özel anahtarını (artı sunucunun veya istemcinin genel anahtarlarını) bilmeniz gerekir. Genel anahtarlarla ilgili bilgiler, DNS'deki sunucu anahtarı için ve ClientHello mesajındaki istemci anahtarı için iletilir. Şifre çözme, yalnızca istemci ve sunucu tarafından bilinen, TLS bağlantı kurulumu sırasında üzerinde anlaşılan paylaşılan bir sır kullanılarak da mümkündür.
Kaynak: opennet.ru