Chiny blokują od teraz cały zaszyfrowany ruch HTTPS, który korzysta z TLS 1.3 i ESNI

Blokada została wprowadzona pod koniec lipca i jest egzekwowana przez chińską „wielką zaporę ogniową” (China’s Great Firewall).

Na czym polega zakaz

Chiński rząd posiada ogólnokrajowe narzędzie cenzurujące, znane pod nazwą Wielkiej Zapory (Great Firewall). Teraz wdrożył aktualizację w celu zablokowania szyfrowanych połączeń HTTPS, które są ustanawiane gdy użytkownik korzysta z nowoczesnych (czyt.: po prostu współczesnych), odpornych na przechwytywanie, protokołów i technologii.

Zakaz obowiązuje od końca lipca, przynajmniej według wspólnego raportu opublikowanego w tym tygodniu przez trzy organizacje śledzące chińską cenzurę - iYouPort, University of Maryland i Great Firewall Report.

Co jest szyfrowane

TLS to podstawa bezpiecznej komunikacji w sieci (HTTPS). Zapewnia uwierzytelnione szyfrowanie, dzięki czemu użytkownicy mogą wiedzieć, z kim się komunikują, i że ich informacje nie mogą zostać odczytane ani zmienione przez pośrednika. Chociaż TLS ukrywa treść komunikacji użytkownika, nie zawsze ukrywa, z kim się on komunikuje. Mamy bowiem pole Server Name Indication (SNI), które umożliwia klientowi użytkownika poinformowanie serwera, z którą witryną chce się komunikować. Cenzorzy z państw narodowych używają pola SNI do blokowania użytkownikom możliwości komunikowania się z określonymi miejscami docelowymi. Chiny od dawna cenzurują HTTPS w ten sposób.

W protokole TLS 1.3 wprowadzono szyfrowany SNI (ESNI), który szyfruje SNI, aby pośrednicy nie mogli go zobaczyć. Więcej o ESNI poczytasz tutaj.

Zakaz od strony technicznej czyli stare szyfrowania są OK dla cenzorów

Dzięki nowej aktualizacji GFW chińscy urzędnicy celują tylko w ruch HTTPS, który jest konfigurowany przy użyciu nowych technologii, takich jak TLS 1.3 i ESNI (Encrypted Server Name Indication). Inny ruch HTTPS jest nadal dozwolony mieszkańcom Chin, jeśli używa starszych wersji tych samych protokołów - takich jak TLS 1.1 lub 1.2 lub SNI (Server Name Indication).

W przypadku połączeń HTTPS konfigurowanych za pomocą tych starszych protokołów chińscy cenzorzy mogą wywnioskować, z jaką domeną użytkownik próbuje się połączyć. Odbywa się to poprzez analizę pola SNI (jest ono w plaintext) na wczesnych etapach połączeń HTTPS.

Natomiast w połączeniach HTTPS zestawionych za pośrednictwem nowszej wersji TLS 1.3 pole SNI można ukryć za pośrednictwem ESNI, zaszyfrowanej wersji starego SNI. Ponieważ TLS 1.3 jest coraz szerzej wykorzystywane w Internecie, ruch HTTPS, w którym używany jest TLS 1.3 i ESNI, przyprawia chińskich cenzorów o ból głowy. Trudniej jest bowiem filtrować ruch HTTPS i kontrolować, do jakich treści ma dostęp chińska ludność.

Zgodnie z ustaleniami wspólnego raportu rząd chiński obecnie nie tylko zakazuje całego ruchu HTTPS, w którym używane są TLS 1.3 i ESNI ale i dodatkowo, tymczasowo blokuje adresy IP zaangażowane w połączenie, na małe odstępy czasu, które mogą wynosić od dwóch do trzech minut.

Obchodzenie zakazu

Póki co iYouPort, University of Maryland i Great Firewall Report stwierdzili, że udało im się znaleźć sześć technik obchodzenia nowych obostrzeń, które można zastosować po stronie klienta (w aplikacjach i oprogramowaniu) oraz cztery, które można zastosować po stronie serwera (na serwerach i aplikacjach backendowych). Jak jednak czytamy w raporcie:

Niestety, te konkretne strategie mogą nie być rozwiązaniem długoterminowym. Cenzorzy nie śpią a gra w kotka i myszkę dopiero się rozkręca. Wielka Zapora prawdopodobnie będzie nadal poprawiać swoje możliwości cenzurowania

Czytelników chętny do zapoznania się bliżej z raportem odsyłamy na stronę Great Firewall Report – tutaj.