В РФ намерены запретить протоколы, позволяющие скрыть имя сайта

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
21-Сен-2020 22:30

Началось общественное обсуждение проекта правового акта о внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации", разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации "протоколов шифрования, позволяющих скрыть имя (идентификатор) ‎Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации".
За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта предлагается приостановливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее известно как ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Так как формулировки в законопроекте размыты и отсутствует конкретика, кроме ECH/ESNI формально под блокировку могут попасть практически любые протоколы, обеспечивающие полное шифрование канала связи, а также протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).
Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.
ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса - системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. В случае введения запрета ECH/ESNI для противостояния подобной возможности может помочь лишь полное ограничение доступа к сетям доставки контента (CDN), поддерживающим ECH/ESNI, иначе блокировка будет неэффективной и сможет легко обходиться при помощи CDN.
При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое передаваемых в данном сообщении данных зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS, а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_crypt, #_esni, #_tls, #_block, #_doh
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 03:47
Часовой пояс: UTC + 5