চীন TLS 1.3 এবং ESNI এর সাথে প্রতিষ্ঠিত HTTPS সংযোগগুলি ব্লক করা শুরু করেছে৷

চীন বাস্তবায়িত তালা সমস্ত HTTPS সংযোগ যা TLS 1.3 প্রোটোকল এবং ESNI (এনক্রিপ্টেড সার্ভার নেম ইঙ্গিত) TLS এক্সটেনশন ব্যবহার করে, যা অনুরোধ করা হোস্ট সম্পর্কে ডেটা এনক্রিপশন প্রদান করে। চীন থেকে বহির্বিশ্বে এবং বহির্বিশ্ব থেকে চীনের সাথে সংযোগ স্থাপনের জন্য ট্রানজিট রাউটারগুলিতে ব্লক করা হয়।

SNI বিষয়বস্তু-নির্বাচিত ব্লকিং দ্বারা পূর্বে সম্পাদিত RST প্যাকেট প্রতিস্থাপনের পরিবর্তে ক্লায়েন্ট থেকে প্যাকেটগুলিকে সার্ভারে ড্রপ করে ব্লক করা হয়৷ ESNI সহ একটি প্যাকেট ব্লক করার পরে, উত্স আইপি, গন্তব্য আইপি এবং গন্তব্য পোর্ট নম্বরের সংমিশ্রণের সাথে সম্পর্কিত সমস্ত নেটওয়ার্ক প্যাকেটগুলিও 120 থেকে 180 সেকেন্ডের জন্য ব্লক করা হয়৷ ESNI ছাড়া TLS এবং TLS 1.3 এর পুরানো সংস্করণের উপর ভিত্তি করে HTTPS সংযোগগুলি যথারীতি মাধ্যমে অনুমোদিত।

আমাদের স্মরণ করা যাক যে বেশ কয়েকটি HTTPS সাইটের একটি আইপি ঠিকানায় কাজ সংগঠিত করার জন্য, SNI এক্সটেনশনটি তৈরি করা হয়েছিল, যা একটি এনক্রিপ্ট করা যোগাযোগ চ্যানেল ইনস্টল করার আগে প্রেরণ করা ClientHello বার্তায় স্পষ্ট পাঠ্যে হোস্টের নাম প্রেরণ করে। এই বৈশিষ্ট্যটি ইন্টারনেট প্রদানকারীর পক্ষে HTTPS ট্র্যাফিককে বেছে বেছে ফিল্টার করা এবং ব্যবহারকারী কোন সাইটগুলি খোলে তা বিশ্লেষণ করা সম্ভব করে, যা HTTPS ব্যবহার করার সময় সম্পূর্ণ গোপনীয়তা অর্জনের অনুমতি দেয় না।

নতুন TLS এক্সটেনশন ECH (পূর্বে ESNI), যা TLS 1.3 এর সাথে ব্যবহার করা যেতে পারে, এই ঘাটতি দূর করে এবং HTTPS সংযোগ বিশ্লেষণ করার সময় অনুরোধ করা সাইট সম্পর্কে তথ্য ফাঁস সম্পূর্ণভাবে দূর করে। একটি বিষয়বস্তু বিতরণ নেটওয়ার্কের মাধ্যমে অ্যাক্সেসের সংমিশ্রণে, ECH/ESNI ব্যবহার প্রদানকারীর কাছ থেকে অনুরোধকৃত সংস্থানের IP ঠিকানা লুকিয়ে রাখাও সম্ভব করে তোলে। ট্রাফিক পরিদর্শন সিস্টেমগুলি শুধুমাত্র CDN-এর কাছে অনুরোধগুলি দেখতে পাবে এবং TLS সেশন স্পুফিং ছাড়া ব্লকিং প্রয়োগ করতে সক্ষম হবে না, এই ক্ষেত্রে ব্যবহারকারীর ব্রাউজারে সার্টিফিকেট স্পুফিং সম্পর্কে একটি সংশ্লিষ্ট বিজ্ঞপ্তি দেখানো হবে৷ ডিএনএস একটি সম্ভাব্য লিক চ্যানেল থেকে যায়, তবে ক্লায়েন্ট ক্লায়েন্টের দ্বারা ডিএনএস অ্যাক্সেস লুকানোর জন্য DNS-ওভার-HTTPS বা DNS-ওভার-TLS ব্যবহার করতে পারে।

গবেষকরা ইতিমধ্যেই প্রকাশিত ক্লায়েন্ট এবং সার্ভার সাইডে চাইনিজ ব্লককে বাইপাস করার জন্য বেশ কিছু সমাধান আছে, কিন্তু সেগুলি অপ্রাসঙ্গিক হয়ে উঠতে পারে এবং শুধুমাত্র একটি অস্থায়ী পরিমাপ হিসাবে বিবেচনা করা উচিত। উদাহরণস্বরূপ, বর্তমানে শুধুমাত্র ESNI এক্সটেনশন আইডি 0xffce (এনক্রিপ্টেড_সার্ভার_নাম) সহ প্যাকেটগুলি, যা ব্যবহার করা হয়েছিল খসড়া স্ট্যান্ডার্ডের পঞ্চম সংস্করণ, কিন্তু এখনকার জন্য বর্তমান শনাক্তকারী 0xff02 (এনক্রিপ্টেড_ক্লায়েন্ট_হ্যালো) সহ প্যাকেট, প্রস্তাবিত ECH স্পেসিফিকেশনের সপ্তম খসড়া.

আরেকটি সমাধান হল একটি অ-মানক সংযোগ আলোচনার প্রক্রিয়া ব্যবহার করা, উদাহরণস্বরূপ, একটি ভুল সিকোয়েন্স নম্বর সহ একটি অতিরিক্ত SYN প্যাকেট আগাম পাঠানো হলে ব্লক করা কাজ করে না, প্যাকেট ফ্র্যাগমেন্টেশন ফ্ল্যাগগুলির সাথে ম্যানিপুলেশন, FIN এবং SYN উভয়ের সাথে একটি প্যাকেট পাঠানো পতাকা সেট, একটি ভুল নিয়ন্ত্রণ পরিমাণ সহ একটি RST প্যাকেটের প্রতিস্থাপন বা SYN এবং ACK পতাকার সাথে প্যাকেট সংযোগের আলোচনা শুরু হওয়ার আগে পাঠানো। বর্ণিত পদ্ধতিগুলি ইতিমধ্যে টুলকিটের জন্য একটি প্লাগইন আকারে প্রয়োগ করা হয়েছে জেনেভা, উন্নত সেন্সরিং পদ্ধতি বাইপাস করতে।

উত্স: opennet.ru