Началось общественное обсуждение проекта правового акта о внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации "протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации".
За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта предлагается приостановливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Кроме ECH/ESNI под блокировку могут попасть протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).
Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.
ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата.
При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
• Source: regulation.gov.ru/projects#npa=108513
За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта предлагается приостановливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Кроме ECH/ESNI под блокировку могут попасть протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).
Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.
ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата.
При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
• Source: regulation.gov.ru/projects#npa=108513
Последнее редактирование:
