В России намерены запретить протоколы, позволяющие скрыть имя сайта

21 сентября 2020 года

Началось общественное обсуждение (Архивная копия от 19 августа 2021 на Wayback Machine) проекта правового акта о внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации «протоколов шифрования, позволяющих скрыть имя (идентификатор) ‎Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации».

За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта, предлагается приостанавливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Кроме ECH/ESNI под блокировку могут попасть протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).

Также не состоялись учения по обеспечению устойчивости и безопасности работы интернета в России, запланированные на 20 сентября. Согласно приказу министерства, в 2020 году были запланированы четыре учения на отработку разных видов угроз — 20 марта, 20 июня, 20 сентября и 20 декабря. В марте, июне и сентябре учения были отложены из-за ситуации с коронавирусом и домашнего режима. На 20 марта планировали работу по блокировке трафика с использованием технологий DNS поверх HTTPS и DNS поверх TLS.

В июле Mozilla заявила, что не планирует включать по умолчанию поддержку DNS-over-HTTPS для пользователей из Великобритании из-за давления со стороны Ассоциации провайдеров Великобритании (UK ISPA) и организации Internet Watch Foundation (IWF).

Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса — системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата.

При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля с именем зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля «_esni», а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.

См. также: Минцифры снова отменило учения по «Суверенному Рунету»

Предыдущая новость: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI