Как работает ЕСН
Когда пользователь пытается открыть сайт, его браузер создает SNI-сообщение — информацию о сайте, пользователе, браузере и пр., которое могут видеть провайдеры или надзорные органы, даже если сообщение проходит шифровку. Технология ECH добавляет дополнительный уровень шифрования, при котором запрос может интерпретировать интернет-ресурс только при помощи специального ключа-дешифратора. Таким образом, все данные при подключении становятся неотслеживаемыми.
В середине октября Cloudflare включила на своих серверах расширение TLS ECH. Эта новость прошла почти незамеченной в российских крупных СМИ, оставив след только в специализированных отраслевых медиа. Компания предоставляет услуги по сетевой доставке контента (CDN) для таких крупных компаний, как Avito, Uber, Reuter’s, L’Oreal, IBM и еще более 6 млн клиентов. До введения TLS ECH надзорные органы могли контролировать трафик на зарубежные ресурсы и ограничивать его в случае необходимости. Однако введение расширения сделает такой контроль имеющимися средствами невозможным из-за шифрования трафика.
В число клиентов Cloudflare входит YouTube. На 23 октября некоторые пользователи из России начали сообщать, что видеосервис работает стабильно даже без VPN. Впрочем, в тот же день руководитель РКН Андрей Липов сообщал, что ведомство наблюдает падение трафика видеохостинга. «У Google в России было очень много серверов: практически каждый узел был присоединен к серверу GGC (сервер кэширования данных). Компания эти сервера перестала поддерживать с момента, как ушла из РФ, и никто в них не вкладывается. Сервера деградируют, где-то выключились. Мы видим падение трафика в сторону YouTube в первую очередь на сетях фиксированной связи», — сообщил Липов.
Активация технологии ECH может сделать невозможным отслеживание протоколов SNI (Server Name Indication, используются для перехода по ссылкам на сайты) и применение инструментов анализа запросов DPI (Deep Pocket Inspection, фильтрует трафик и собирает информацию о пользователях). SNI и DPI используются Роскомнадзором для блокировки доступа к запрещенным материалам.
Включение TLS ECH повышает уровень конфиденциальности соединений, скрывая метаданные, — это затрудняет попытки отслеживания посещаемых ресурсов, для сайтов это означает улучшение защиты от перехвата данных, считает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков. Но при его использовании могут наблюдаться незначительные задержки в установлении соединения, так как добавляется дополнительный этап шифрования, отмечает он.
Теоретически при правильных настройках ECH конечные пользователи не заметят никакой разницы ни в скорости, ни в функционале сайтов, уверен заместитель начальника Управления цифровой трансформации РЭУ имени Г. В. Плеханова Павел Терелянский. Однако, по его словам, пострадают и государство, и граждане, несмотря на то что блокировка осуществляется в интересах общественной безопасности. Помимо политически ангажированных ресурсов, РКН блокирует и сервисы, распространяющие контент, связанный с насилием, порнографией, религиозным экстремизмом, терроризмом, торговлей оружием и запрещенными веществами, подчеркивает эксперт. Свобода доступа к информации имеет не только технические проблемы, но и этические, моральные, указывает Терелянский.
TLS ECH, по сути, станет чистой технологией point-to-point, при этом провайдеры и РКН не смогут видеть все фреймы информации, которые будут закрыты, включая сами IP-адреса, указывает Терелянский. Технологии блокировки сайтов строятся на основе отслеживания конечного IP или на основе отслеживания и анализа контента третьим лицом — при TLS ECH исключается всякая возможность анализа, продолжает он.
В таком случае доступ к противоправному контенту граждане будут получать массово, отмечает Павел Терелянский. Какие ответные меры будет использовать РКН — неизвестно, возможно, будет закрывать широкий спектр IP-адресов, как это случилось с блокировкой Telegram в 2018 г., когда в итоге недоступными оказались сторонние (и весьма нужные) сайты и сервисы, а Роскомнадзор получил около 46 тыс. жалоб от частных лиц и владельцев нейтральных ресурсов, допускает он.
Возможным решением в условиях неспокойной и прямо враждебной политической обстановки может стать в том числе и аналог китайского проекта государственного файрвола «Золотой щит», когда доступ к сети возможен только через авторизованные поисковики, в которых доступ к контенту блокируется не только по IP, но и посредством анализа поисковых запросов самими браузерами, считает Терелянский. Также возможно ограничение российского сегмента сети внутри Рунета по типу внутренней сети КНДР «Кванмён», добавляет он.
Больше новостей читайте в нашем телеграм-канале @expert_mag