В России намерены запретить протоколы, позволяющие скрыть имя сайта
21 сентября 2020 года
Началось общественное обсуждение (Архивная копия от 19 августа 2021 на Wayback Machine) проекта правового акта о внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», разработанного Министерством цифрового развития, связи и массовых коммуникаций. В закон предложено ввести запрет на использование на территории Российской Федерации «протоколов шифрования, позволяющих скрыть имя (идентификатор) Интернет-страницы или сайта в сети Интернет, за исключением случаев, установленных законодательством Российской Федерации».
За нарушение запрета использования протоколов шифрования, позволяющих скрыть имя сайта, предлагается приостанавливать функционирование Интернет-ресурса в срок не позднее 1 (одного) рабочего дня со дня обнаружения данного нарушения уполномоченным на то федеральным органом исполнительной власти. Основной целью блокировки является TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3 и уже заблокировано в Китае. Кроме ECH/ESNI под блокировку могут попасть протоколы DNS поверх HTTPS (DoH) и DNS поверх TLS (DoT).
Также не состоялись учения по обеспечению устойчивости и безопасности работы интернета в России, запланированные на 20 сентября. Согласно приказу министерства, в 2020 году были запланированы четыре учения на отработку разных видов угроз — 20 марта, 20 июня, 20 сентября и 20 декабря. В марте, июне и сентябре учения были отложены из-за ситуации с коронавирусом и домашнего режима. На 20 марта планировали работу по блокировке трафика с использованием технологий DNS поверх HTTPS и DNS поверх TLS.
В июле Mozilla заявила, что не планирует включать по умолчанию поддержку DNS-over-HTTPS для пользователей из Великобритании из-за давления со стороны Ассоциации провайдеров Великобритании (UK ISPA) и организации Internet Watch Foundation (IWF).
Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов в своё время было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.
ECH/ESNI полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса — системы инспектирования трафика видят только обращения к CDN и не могут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата.
При использовании ECH/ESNI имя хоста как и в SNI передаётся в сообщении ClientHello, но содержимое поля с именем зашифровано. Для шифрования используется секрет, вычисленный на основе ключей сервера и клиента. Для расшифровки перехваченного или полученного значения поля ECH/ESNI необходимо знать закрытый ключ клиента или сервера (плюс открытые ключи сервера или клиента). Информация об открытых ключах передаётся для серверного ключа в DNS с использованием TXT-поля «_esni», а для клиентского ключа в сообщении ClientHello. Расшифровка также возможна при помощи согласованного в процессе установки TLS-соединения общего секрета, известного только клиенту и серверу.
 |
См. также: Минцифры снова отменило учения по «Суверенному Рунету» |
 |
Предыдущая новость: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI |
Ссылки[править]
- Проект постановления (Архивная копия от 19 августа 2021 на Wayback Machine).
- Пояснительная записка о предложении запретить шифрование TLD 1.3 (Архивная копия от 24 сентября 2020 на Wayback Machine).
Источники[править]
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
- 21 сентября 2020
- Новости 2020 года
- 2020
- 21 сентября
- Сентябрь 2020
- Материалы OpenNET
- DNS
- DNS поверх HTTPS
- DNS поверх TLS
- ESNI
- HTTPS
- Server Name Indication
- TLS
- Великобритания
- Интернет
- Интернет в Великобритании
- Интернет в России
- Интернет-протоколы
- Интернет-цензура
- Информационная безопасность
- Китай
- Компьютерные технологии
- Криптография
- Криптографические протоколы
- Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
- Наука и технологии
- Протоколы прикладного уровня
- Россия
- Сетевая безопасность
- Сетевые протоколы
- Технологии
- Цензура
- Цензура в России
- Опубликовано
- Россия в сентябре 2020 года