В РФ намерены запретить протоколы, позволяющие скрыть имя сайта
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Началось общественное обсуждение проекта правового акта о внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации "протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации".
За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта предлагается приостановливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее известно как ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Так как формулировки в законопроекте размыты и отсутствует конкретика, кроме ECH/ESNI формально под блокировку могут попасть практически любые протоколы, обеспечивающие полное шифрование канала связи, а также протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).
Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.
ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. В случае введения запрета ECH/ESNI для противостояния подобной возможности может помочь лишь полное ограничение доступа к сетям доставки контента (CDN), поддерживающим ECH/ESNI, иначе блокировка будет неэффективной и сможет легко обходиться при помощи CDN.
При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://t.me/usher2/1769...)
- OpenNews: В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
- OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- OpenNews: В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок
- OpenNews: Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS
- OpenNews: В Chrome для Android включена поддержка DNS-over-HTTPS
Похожие новости:
- [Информационная безопасность] Минцифра предлагает запретить шифрование доменных имён и TLS v.1.3
- [Информационная безопасность, IT-инфраструктура, Исследования и прогнозы в IT, IT-компании] Зона доступа: 30 способов, которые позволят разблокировать любой смартфон. Часть 1
- [DevOps, Kubernetes, Хранение данных, Хранилища данных] Практический пример подключения хранилища на базе Ceph в кластер Kubernetes
- [Высокая производительность, Венчурные инвестиции, Распределённые системы, Криптовалюты] Взгляд изнутри на строительство компании в Кремниевой долине
- [JavaScript, Node.JS, Программирование, Разработка веб-сайтов] Web Cryptography API: пример использования
- [Системное администрирование, Серверное администрирование, DevOps, Kubernetes] Хранение данных в кластере Kubernetes
- [Расширения для браузеров] Конструктор интерактивных туров
- Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH
- [Законодательство в IT, Информационная безопасность, Сотовая связь] Американский суд признал массовую слежку за гражданами незаконной — с опозданием на 7 лет
- [Go, Информационная безопасность, Криптография] Потроха IPsec, меримся с TLS 1.3, ГОСТ и Go
Теги для поиска: #_crypt, #_esni, #_tls, #_block, #_doh
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 03:47
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Началось общественное обсуждение проекта правового акта о внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации "протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации". За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта предлагается приостановливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее известно как ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Так как формулировки в законопроекте размыты и отсутствует конкретика, кроме ECH/ESNI формально под блокировку могут попасть практически любые протоколы, обеспечивающие полное шифрование канала связи, а также протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT). Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS. ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. В случае введения запрета ECH/ESNI для противостояния подобной возможности может помочь лишь полное ограничение доступа к сетям доставки контента (CDN), поддерживающим ECH/ESNI, иначе блокировка будет неэффективной и сможет легко обходиться при помощи CDN. При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 03:47
Часовой пояс: UTC + 5