開始 由數位發展、通訊和大眾傳播部製定的關於《資訊、資訊科技與資訊保護》聯邦法修正案的法律草案。 該法律提議禁止在俄羅斯聯邦境內使用“可隱藏互聯網頁面或網站名稱(標識符)的加密協議,俄羅斯聯邦確定的情況除外”。俄羅斯聯邦的立法。”
對於違反禁止使用可隱藏網站名稱的加密協定的行為,建議自發現違規行為之日起不遲於 1(一)個工作天內暫停網路資源的運作授權的聯邦執行機構。 阻止的主要目的是TLS擴展 (以前稱為 ESNI),可以與 TLS 1.3 結合使用,並且已經 在中國。 由於法案中的措辭模糊且沒有具體性,除了ECH/ESNI之外,從形式上來說,幾乎所有提供通訊通道完全加密的協議,以及協議 (衛生署)和 (點)。
讓我們回想一下,為了在一個 IP 位址上組織多個 HTTPS 網站的工作,一度開發了 SNI 擴展,它在安裝加密通訊通道之前傳輸的 ClientHello 訊息中以明文形式傳輸主機名稱。 此功能使得網路供應商可以選擇性地過濾 HTTPS 流量並分析使用者開啟的網站,但在使用 HTTPS 時無法實現完全保密。
ECH/ESNI 完全消除了分析 HTTPS 連線時所請求網站的資訊外洩。 與透過內容分發網路進行存取相結合,ECH/ESNI 的使用還可以向提供者隱藏所請求資源的IP 位址- 流量檢查系統只能看到對CDN 的請求,並且無法在不欺騙TLS 的情況下應用封鎖會話,在這種情況下,使用者的瀏覽器將顯示有關憑證替換的相應通知。 如果引入 ECH/ESNI 禁令,應對這種可能性的唯一方法是完全限制對支援 ECH/ESNI 的內容分發網路 (CDN) 的訪問,否則禁令將無效,並且很容易被 CDN 規避。
使用ECH/ESNI時,與SNI中一樣,主機名稱在ClientHello訊息中傳輸,但該訊息中傳輸的資料內容是加密的。 加密使用根據伺服器和客戶端密鑰計算出的秘密。 若要解密截獲或接收的 ECH/ESNI 欄位值,您必須知道用戶端或伺服器的私鑰(加上伺服器或用戶端的公鑰)。 有關公鑰的資訊在 DNS 中傳輸伺服器金鑰,並在 ClientHello 訊息中傳輸用戶端金鑰。 還可以使用 TLS 連線設定期間商定的共用金鑰進行解密,該金鑰只有客戶端和伺服器知道。
來源: opennet.ru