China toate conexiunile HTTPS care folosesc protocolul TLS 1.3 și extensia TLS ESNI (Encrypted Server Name Indication), care oferă criptarea datelor despre gazda solicitată. Blocarea se efectuează pe routerele de tranzit atât pentru conexiunile stabilite din China către lumea exterioară, cât și din lumea exterioară către China.
Blocarea se face prin eliminarea pachetelor de la client la server, mai degrabă decât înlocuirea pachetelor RST care a fost efectuată anterior prin blocarea selectivă a conținutului SNI. După declanșarea blocării unui pachet cu ESNI, toate pachetele de rețea corespunzătoare combinației de IP sursă, IP destinație și numărul portului de destinație sunt de asemenea blocate timp de 120 până la 180 de secunde. Conexiunile HTTPS bazate pe versiuni mai vechi de TLS și TLS 1.3 fără ESNI sunt permise ca de obicei.
Să reamintim că pentru a organiza lucrul pe o singură adresă IP a mai multor site-uri HTTPS a fost dezvoltată extensia SNI, care transmite numele gazdei în text clar în mesajul ClientHello transmis înainte de stabilirea unui canal de comunicare criptat. Această caracteristică face posibilă din partea furnizorului de internet să filtreze selectiv traficul HTTPS și să analizeze ce site-uri deschide utilizatorul, ceea ce nu permite obținerea confidențialității complete atunci când folosește HTTPS.
Noua extensie TLS ECH (fostă ESNI), care poate fi utilizată împreună cu TLS 1.3, elimină acest neajuns și elimină complet scurgerea de informații despre site-ul solicitat atunci când se analizează conexiunile HTTPS. În combinație cu accesul printr-o rețea de livrare de conținut, utilizarea ECH/ESNI face posibilă și ascunderea adresei IP a resursei solicitate de la furnizor. Sistemele de inspecție a traficului vor vedea doar solicitări către CDN și nu vor putea aplica blocarea fără falsificarea sesiunii TLS, caz în care o notificare corespunzătoare despre falsificarea certificatelor va fi afișată în browserul utilizatorului. DNS rămâne un posibil canal de scurgere, dar clientul poate folosi DNS-over-HTTPS sau DNS-over-TLS pentru a ascunde accesul DNS al clientului.
Cercetătorii au făcut deja Există mai multe soluții pentru a ocoli blocul chinezesc din partea client și server, dar acestea pot deveni irelevante și ar trebui considerate doar ca o măsură temporară. De exemplu, în prezent numai pachetele cu ID-ul extensiei ESNI 0xffce (nume_server_criptat), care a fost folosit în , dar deocamdată pachete cu identificatorul curent 0xff02 (encrypted_client_hello), propuse în .
O altă soluție este să utilizați un proces de negociere a conexiunii non-standard, de exemplu, blocarea nu funcționează dacă este trimis în prealabil un pachet SYN suplimentar cu un număr de secvență incorect, manipulări cu steaguri de fragmentare a pachetelor, trimiterea unui pachet atât cu FIN, cât și cu SYN. steaguri setate, înlocuirea unui pachet RST cu o cantitate de control incorectă sau trimiterea înainte de începerea negocierii conexiunii pachetului cu steaguri SYN și ACK. Metodele descrise au fost deja implementate sub forma unui plugin pentru trusa de instrumente , pentru a ocoli metodele de cenzură.
Sursa: opennet.ru
