ಚೀನಾ TLS 1.3 ಪ್ರೋಟೋಕಾಲ್ ಮತ್ತು ESNI (ಎನ್ಕ್ರಿಪ್ಟೆಡ್ ಸರ್ವರ್ ಹೆಸರು ಸೂಚನೆ) TLS ವಿಸ್ತರಣೆಯನ್ನು ಬಳಸುವ ಎಲ್ಲಾ HTTPS ಸಂಪರ್ಕಗಳು, ಇದು ವಿನಂತಿಸಿದ ಹೋಸ್ಟ್ ಕುರಿತು ಡೇಟಾದ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ. ಚೀನಾದಿಂದ ಹೊರಗಿನ ಪ್ರಪಂಚಕ್ಕೆ ಮತ್ತು ಹೊರಗಿನ ಪ್ರಪಂಚದಿಂದ ಚೀನಾಕ್ಕೆ ಸ್ಥಾಪಿಸಲಾದ ಸಂಪರ್ಕಗಳಿಗಾಗಿ ಟ್ರಾನ್ಸಿಟ್ ರೂಟರ್ಗಳಲ್ಲಿ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ.
SNI ವಿಷಯ-ಆಯ್ದ ನಿರ್ಬಂಧಿಸುವಿಕೆಯಿಂದ ಹಿಂದೆ ನಿರ್ವಹಿಸಲಾದ RST ಪ್ಯಾಕೆಟ್ ಪರ್ಯಾಯದ ಬದಲಿಗೆ ಕ್ಲೈಂಟ್ನಿಂದ ಸರ್ವರ್ಗೆ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಬಿಡುವ ಮೂಲಕ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಮಾಡಲಾಗುತ್ತದೆ. ESNI ನೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಿದ ನಂತರ, 120 ರಿಂದ 180 ಸೆಕೆಂಡುಗಳವರೆಗೆ ಮೂಲ IP, ಗಮ್ಯಸ್ಥಾನ IP ಮತ್ತು ಗಮ್ಯಸ್ಥಾನ ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯ ಸಂಯೋಜನೆಗೆ ಅನುಗುಣವಾದ ಎಲ್ಲಾ ನೆಟ್ವರ್ಕ್ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸಹ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ. ESNI ಇಲ್ಲದೆ TLS ಮತ್ತು TLS 1.3 ನ ಹಳೆಯ ಆವೃತ್ತಿಗಳನ್ನು ಆಧರಿಸಿದ HTTPS ಸಂಪರ್ಕಗಳನ್ನು ಎಂದಿನಂತೆ ಅನುಮತಿಸಲಾಗಿದೆ.
ಹಲವಾರು HTTPS ಸೈಟ್ಗಳ ಒಂದು IP ವಿಳಾಸದಲ್ಲಿ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸಲು, SNI ವಿಸ್ತರಣೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ, ಇದು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ರವಾನಿಸಲಾದ ಕ್ಲೈಂಟ್ಹೆಲೋ ಸಂದೇಶದಲ್ಲಿ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ರವಾನಿಸುತ್ತದೆ ಎಂದು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರ ಕಡೆಯಿಂದ HTTPS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಆಯ್ದವಾಗಿ ಫಿಲ್ಟರ್ ಮಾಡಲು ಮತ್ತು ಬಳಕೆದಾರರು ಯಾವ ಸೈಟ್ಗಳನ್ನು ತೆರೆಯುತ್ತಾರೆ ಎಂಬುದನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ, ಇದು HTTPS ಬಳಸುವಾಗ ಸಂಪೂರ್ಣ ಗೌಪ್ಯತೆಯನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ.
TLS 1.3 ಜೊತೆಯಲ್ಲಿ ಬಳಸಬಹುದಾದ ಹೊಸ TLS ವಿಸ್ತರಣೆ ECH (ಹಿಂದೆ ESNI), ಈ ನ್ಯೂನತೆಯನ್ನು ನಿವಾರಿಸುತ್ತದೆ ಮತ್ತು HTTPS ಸಂಪರ್ಕಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ ವಿನಂತಿಸಿದ ಸೈಟ್ನ ಮಾಹಿತಿಯ ಸೋರಿಕೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿವಾರಿಸುತ್ತದೆ. ವಿಷಯ ವಿತರಣಾ ನೆಟ್ವರ್ಕ್ ಮೂಲಕ ಪ್ರವೇಶದೊಂದಿಗೆ, ECH/ESNI ಬಳಕೆಯು ವಿನಂತಿಸಿದ ಸಂಪನ್ಮೂಲದ IP ವಿಳಾಸವನ್ನು ಒದಗಿಸುವವರಿಂದ ಮರೆಮಾಡಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಟ್ರಾಫಿಕ್ ತಪಾಸಣೆ ವ್ಯವಸ್ಥೆಗಳು CDN ಗೆ ವಿನಂತಿಗಳನ್ನು ಮಾತ್ರ ನೋಡುತ್ತವೆ ಮತ್ತು TLS ಸೆಷನ್ ವಂಚನೆ ಇಲ್ಲದೆ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಅನ್ವಯಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ವಂಚನೆಯ ಬಗ್ಗೆ ಅನುಗುಣವಾದ ಅಧಿಸೂಚನೆಯನ್ನು ಬಳಕೆದಾರರ ಬ್ರೌಸರ್ನಲ್ಲಿ ತೋರಿಸಲಾಗುತ್ತದೆ. DNS ಸಂಭವನೀಯ ಸೋರಿಕೆ ಚಾನಲ್ ಆಗಿ ಉಳಿದಿದೆ, ಆದರೆ ಕ್ಲೈಂಟ್ನಿಂದ DNS ಪ್ರವೇಶವನ್ನು ಮರೆಮಾಡಲು ಕ್ಲೈಂಟ್ DNS-over-HTTPS ಅಥವಾ DNS-over-TLS ಅನ್ನು ಬಳಸಬಹುದು.
ಸಂಶೋಧಕರು ಈಗಾಗಲೇ ಮಾಡಿದ್ದಾರೆ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ಚೈನೀಸ್ ಬ್ಲಾಕ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಹಲವಾರು ಪರಿಹಾರಗಳಿವೆ, ಆದರೆ ಅವು ಅಪ್ರಸ್ತುತವಾಗಬಹುದು ಮತ್ತು ತಾತ್ಕಾಲಿಕ ಕ್ರಮವಾಗಿ ಮಾತ್ರ ಪರಿಗಣಿಸಬೇಕು. ಉದಾಹರಣೆಗೆ, ಪ್ರಸ್ತುತದಲ್ಲಿ ಬಳಸಲಾದ ESNI ವಿಸ್ತರಣೆ ID 0xffce (encrypted_server_name) ಹೊಂದಿರುವ ಪ್ಯಾಕೆಟ್ಗಳು , ಆದರೆ ಪ್ರಸ್ತುತ ಐಡೆಂಟಿಫೈಯರ್ 0xff02 (encrypted_client_hello) ನೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ .
ಮತ್ತೊಂದು ಪರಿಹಾರವೆಂದರೆ ಪ್ರಮಾಣಿತವಲ್ಲದ ಸಂಪರ್ಕ ಸಮಾಲೋಚನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಬಳಸುವುದು, ಉದಾಹರಣೆಗೆ, ತಪ್ಪಾದ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯೊಂದಿಗೆ ಹೆಚ್ಚುವರಿ SYN ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಮುಂಚಿತವಾಗಿ ಕಳುಹಿಸಿದರೆ ನಿರ್ಬಂಧಿಸುವುದು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ, ಪ್ಯಾಕೆಟ್ ವಿಘಟನೆಯ ಫ್ಲ್ಯಾಗ್ಗಳೊಂದಿಗೆ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳು, FIN ಮತ್ತು SYN ಎರಡರಲ್ಲೂ ಪ್ಯಾಕೆಟ್ ಕಳುಹಿಸುವುದು ಫ್ಲ್ಯಾಗ್ಗಳನ್ನು ಹೊಂದಿಸಲಾಗಿದೆ, ತಪ್ಪಾದ ನಿಯಂತ್ರಣ ಮೊತ್ತದೊಂದಿಗೆ RST ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಬದಲಿಸುವುದು ಅಥವಾ SYN ಮತ್ತು ACK ಫ್ಲ್ಯಾಗ್ಗಳೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಸಂಪರ್ಕದ ಮಾತುಕತೆ ಪ್ರಾರಂಭವಾಗುವ ಮೊದಲು ಕಳುಹಿಸುವುದು. ವಿವರಿಸಿದ ವಿಧಾನಗಳನ್ನು ಈಗಾಗಲೇ ಟೂಲ್ಕಿಟ್ಗಾಗಿ ಪ್ಲಗಿನ್ ರೂಪದಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ , ಸೆನ್ಸಾರ್ ವಿಧಾನಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು.
ಮೂಲ: opennet.ru