Blog IT, Blog Marketing

Chiny blokują TLS 1.3

Chiny blokują TLS 1.3

Marcin Sarna , 10.08.2020 r.

Chiny blokują od teraz cały zaszyfrowany ruch HTTPS, który korzysta z TLS 1.3 i ESNI

Blokada została wprowadzona pod koniec lipca i jest egzekwowana przez chińską „wielką zaporę ogniową” (China’s Great Firewall).

Na czym polega zakaz

Chiński rząd posiada ogólnokrajowe narzędzie cenzurujące, znane pod nazwą Wielkiej Zapory (Great Firewall). Teraz wdrożył aktualizację w celu zablokowania szyfrowanych połączeń HTTPS, które są ustanawiane gdy użytkownik korzysta z nowoczesnych (czyt.: po prostu współczesnych), odpornych na przechwytywanie, protokołów i technologii.

Zakaz obowiązuje od końca lipca, przynajmniej według wspólnego raportu opublikowanego w tym tygodniu przez trzy organizacje śledzące chińską cenzurę - iYouPort, University of Maryland i Great Firewall Report.

Co jest szyfrowane

TLS to podstawa bezpiecznej komunikacji w sieci (HTTPS). Zapewnia uwierzytelnione szyfrowanie, dzięki czemu użytkownicy mogą wiedzieć, z kim się komunikują, i że ich informacje nie mogą zostać odczytane ani zmienione przez pośrednika. Chociaż TLS ukrywa treść komunikacji użytkownika, nie zawsze ukrywa, z kim się on komunikuje. Mamy bowiem pole Server Name Indication (SNI), które umożliwia klientowi użytkownika poinformowanie serwera, z którą witryną chce się komunikować. Cenzorzy z państw narodowych używają pola SNI do blokowania użytkownikom możliwości komunikowania się z określonymi miejscami docelowymi. Chiny od dawna cenzurują HTTPS w ten sposób.

W protokole TLS 1.3 wprowadzono szyfrowany SNI (ESNI), który szyfruje SNI, aby pośrednicy nie mogli go zobaczyć. Więcej o ESNI poczytasz tutaj.

Team Lead Data Engineer (obszar Snowflake) 23000 - 28000 PLN

Praca zdalna
Aplikuj

Developer .Net 12000 - 20000 PLN

Warszawa
Aplikuj

Scrum Master

Warszawa
Aplikuj

Administrator Systemów OSS

Warszawa
Aplikuj

NMS System Administrator

Praca zdalna
Aplikuj

Zakaz od strony technicznej czyli stare szyfrowania są OK dla cenzorów

Dzięki nowej aktualizacji GFW chińscy urzędnicy celują tylko w ruch HTTPS, który jest konfigurowany przy użyciu nowych technologii, takich jak TLS 1.3 i ESNI (Encrypted Server Name Indication). Inny ruch HTTPS jest nadal dozwolony mieszkańcom Chin, jeśli używa starszych wersji tych samych protokołów - takich jak TLS 1.1 lub 1.2 lub SNI (Server Name Indication).

W przypadku połączeń HTTPS konfigurowanych za pomocą tych starszych protokołów chińscy cenzorzy mogą wywnioskować, z jaką domeną użytkownik próbuje się połączyć. Odbywa się to poprzez analizę pola SNI (jest ono w plaintext) na wczesnych etapach połączeń HTTPS.

Natomiast w połączeniach HTTPS zestawionych za pośrednictwem nowszej wersji TLS 1.3 pole SNI można ukryć za pośrednictwem ESNI, zaszyfrowanej wersji starego SNI. Ponieważ TLS 1.3 jest coraz szerzej wykorzystywane w Internecie, ruch HTTPS, w którym używany jest TLS 1.3 i ESNI, przyprawia chińskich cenzorów o ból głowy. Trudniej jest bowiem filtrować ruch HTTPS i kontrolować, do jakich treści ma dostęp chińska ludność.

Zgodnie z ustaleniami wspólnego raportu rząd chiński obecnie nie tylko zakazuje całego ruchu HTTPS, w którym używane są TLS 1.3 i ESNI ale i dodatkowo, tymczasowo blokuje adresy IP zaangażowane w połączenie, na małe odstępy czasu, które mogą wynosić od dwóch do trzech minut.

Obchodzenie zakazu

Póki co iYouPort, University of Maryland i Great Firewall Report stwierdzili, że udało im się znaleźć sześć technik obchodzenia nowych obostrzeń, które można zastosować po stronie klienta (w aplikacjach i oprogramowaniu) oraz cztery, które można zastosować po stronie serwera (na serwerach i aplikacjach backendowych). Jak jednak czytamy w raporcie:

Niestety, te konkretne strategie mogą nie być rozwiązaniem długoterminowym. Cenzorzy nie śpią a gra w kotka i myszkę dopiero się rozkręca. Wielka Zapora prawdopodobnie będzie nadal poprawiać swoje możliwości cenzurowania

Czytelników chętny do zapoznania się bliżej z raportem odsyłamy na stronę Great Firewall Report – tutaj.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej