Boshlangan Raqamli rivojlanish, kommunikatsiyalar va ommaviy kommunikatsiyalarni rivojlantirish vazirligi tomonidan ishlab chiqilgan “Axborot, axborot texnologiyalari va axborotni muhofaza qilish to‘g‘risida”gi Federal qonunga o‘zgartirishlar kiritish to‘g‘risidagi huquqiy hujjat loyihasi. Qonun Rossiya Federatsiyasi hududida Internetdagi Internet sahifasi yoki sayt nomini (identifikatorini) yashirish imkonini beruvchi “shifrlash protokollaridan” foydalanishni taqiqlashni taklif qilmoqda, bundan qonun hujjatlarida belgilangan hollar bundan mustasno. Rossiya Federatsiyasi qonunchiligi."
Sayt nomini yashirish imkonini beruvchi shifrlash protokollaridan foydalanish taqiqini buzganlik uchun internet-resurs faoliyatini ushbu qoidabuzarlik aniqlangan kundan boshlab 1 (bir) ish kunidan kechiktirmay toʻxtatib turish taklif etiladi. vakolatli federal ijroiya organi. Bloklashning asosiy maqsadi - TLS kengaytmasi (ilgari ESNI nomi bilan tanilgan), bu TLS 1.3 va allaqachon bilan birgalikda ishlatilishi mumkin Xitoyda. Qonun loyihasidagi matnlar noaniq bo'lgani uchun va hech qanday o'ziga xoslik mavjud emas, ECH/ESNI dan tashqari, rasmiy ravishda aloqa kanalining to'liq shifrlanishini ta'minlaydigan deyarli har qanday protokollar, shuningdek protokollar (DoH) va (DoT).
Eslatib o'tamiz, bir IP-manzilda bir nechta HTTPS saytlarining ishini tashkil qilish uchun SNI kengaytmasi bir vaqtning o'zida ishlab chiqilgan bo'lib, shifrlangan aloqa kanalini o'rnatishdan oldin uzatilgan ClientHello xabarida xost nomini aniq matnda uzatadi. Ushbu xususiyat Internet-provayder tomonidan HTTPS trafigini tanlab filtrlash va foydalanuvchi qaysi saytlarni ochishini tahlil qilish imkonini beradi, bu HTTPS-dan foydalanishda to'liq maxfiylikka erishishga imkon bermaydi.
ECH/ESNI HTTPS ulanishlarini tahlil qilishda so'ralgan sayt haqidagi ma'lumotlarning sizib chiqishini butunlay yo'q qiladi. Kontentni etkazib berish tarmog'i orqali kirish bilan birgalikda, ECH/ESNI-dan foydalanish, shuningdek, so'ralgan manbaning IP-manzilini provayderdan yashirish imkonini beradi - trafikni tekshirish tizimlari faqat CDN-ga so'rovlarni ko'radi va TLS-ni aldamasdan bloklashni qo'llamaydi. seans, bu holda foydalanuvchi brauzerida sertifikatni almashtirish haqida tegishli bildirishnoma ko'rsatiladi. Agar ECH/ESNI taqiqi joriy etilsa, bu imkoniyatga qarshi kurashishning yagona yo‘li ECH/ESNI-ni qo‘llab-quvvatlovchi Kontentni yetkazib berish tarmoqlariga (CDN) kirishni butunlay cheklashdir, aks holda taqiq samarasiz bo‘ladi va CDN-lar tomonidan osonlikcha chetlab o‘tish mumkin.
ECH/ESNI-dan foydalanilganda, SNI-dagi kabi xost nomi ClientHello xabarida uzatiladi, ammo bu xabarda uzatiladigan ma'lumotlarning mazmuni shifrlangan. Shifrlash server va mijoz kalitlaridan hisoblangan sirdan foydalanadi. Qabul qilingan yoki qabul qilingan ECH/ESNI maydoni qiymatining shifrini ochish uchun siz mijoz yoki serverning shaxsiy kalitini (shuningdek, server yoki mijozning ochiq kalitlarini) bilishingiz kerak. Ochiq kalitlar haqidagi ma'lumotlar DNS server kaliti uchun, ClientHello xabaridagi mijoz kaliti uchun uzatiladi. Shifrni ochish faqat mijoz va serverga ma'lum bo'lgan TLS ulanishini sozlash paytida kelishilgan umumiy sir yordamida ham mumkin.
Manba: opennet.ru