Chiny usprawniają Wielki Firewall

Państwowa zapora ogniowa, wykorzystywana przez władze ChRL jako narzędzie cenzorskie, blokuje obecnie wszyskie szyfrowane połączenia nawiązywane z zastosowaniem mechanizmu ESNI i protokołu TLS 1.3.

Blokada została wdrożona pod koniec lipca. Usprawnienie Wielkiego Firewalla zauważyły organizacje iYouPort i Great Firewall Report oraz uniwersytet stanu Maryland. Obecnie opublikowano wspólny raport na temat kolejnych utrudnień, z którymi muszą się liczyć chińscy internauci podczas korzystaniu ze światowych zasobów sieci.

TLS jest fundamentem szyfrowanej komunikacji w internecie. Bazujący na tym mechanizmie protokół HTTPS zapewnia poufność danych wymienianych między przeglądarką WWW a odwiedzanym przez internautę serwerem. Niestety, TLS w wersji 1.1 oraz 1.2 ma pewną słabość. Szyfrowanie zapewnia co prawda, że nikt nie jest w stanie dowiedzieć się, jakie informacje są pobierane z serwera, ale nie zawsze zachowana jest tajemnica co do adresów odwiedzanych witryn.

Podczas uzgadniania zasad transmisji między przeglądarką a stroną WWW opcjonalnie podawany jest parametr SNI (Server Name Indication). Browser przekazuje go w sposób najzupełniej jawny.

Zastosowanie SNI pozwala na utrzymywanie wielu witryn internetowych na jednym serwerze posługującym się określonym zestawem adresów IP. Internauci muszą jednak wyjaśnić, z którą stroną chcą się połączyć podczas uzgadniania metody komunikacji. Bez SNI serwer nie wiedziałby na przykład, który certyfikat ma być podawany przeglądarce WWW w celu ustalenia klucza szyfrującego. Problem polega na tym, że w takiej sytuacji adres witryny jest znany działającym w sieci cenzorom, a to już wystarczy, aby odciąć użytkownika od „nieodpowiednich" treści. Taka właśnie metoda cenzury jest obecnie stosowana w Wielkim Firewallu.

W protokole TLS 1.3 usunięto opisaną niedogodność: pojawił się mechanizm szyfrowania parametru SNI (ESNI, Encrypted SNI). W rezultacie ani operatorzy łączy, ani instytucje nadzorujące sieć nie są w stanie sprawdzić, które strony odwiedza internauta. Ruch z wykorzystaniem TLS 1.3 został jednak w Chinach zablokowany. Dopuszczalna jest tylko transmisja z zastosowaniem TLS 1.1/1.2 i nieszyfrowanym parametrem SNI.

Autorzy raportu przedstawili metody, dzięki którym można uniknąć cenzurowania stron przecz państwową zaporę. Sześć spośród nich znajduje zastosowanie po stronie oprogramowania użytkownika, a cztery po stronie serwera. Każdy działa z niemal stuprocentową niezawodnością. Raport podsumowuje jednak stwierdzenie: „niestety, przedstawione strategie nie są raczej rozwiązaniem długoterminowym: w grze w kotka i myszkę Wielki Firewall prawdopodobnie będzie nadal ulepszany jako narzędzie cenzury".