中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 49
ストーリー by nagazou
すぐアップデートしそう 部門より
すぐアップデートしそう 部門より
中国政府が7月29日以降、グレート・ファイアウォール(GFW)を更新して、TLS 1.3やESNIを利用したHTTPS接続をブロックしているという。中国の検閲を調査しているiYouPort、メリーランド大学、Great Firewall Reportの三つの組織が発表したレポートで分かった。古いTLS 1.1や1.2、SNIなどを使用したHTTPSトラフィックは、これまで通りGFWを通過できる(ZDNet、Una-al-día、メリーランド大学)。
理由としては、TLS 1.3ではSNIフィールドが暗号化されていることから、サードパーティのアプリケーションからユーザーがアクセスしたサイトを監視できなくなったことが挙げられる。中国政府はGFWによって、ユーザーがアクセスできる情報を制限してきたが、TLS 1.3を利用しているHTTPS接続ではこれが困難になるためだという。
この共同レポートによると、現時点ではこのグレート・ファイアウォーによるブロックを迂回する手段は六つほど存在するという。もっともグレート・ファイアウォールはアップデートが続けられているため、この迂回手段がいつまで通用するかは分からないようだ。
理由としては、TLS 1.3ではSNIフィールドが暗号化されていることから、サードパーティのアプリケーションからユーザーがアクセスしたサイトを監視できなくなったことが挙げられる。中国政府はGFWによって、ユーザーがアクセスできる情報を制限してきたが、TLS 1.3を利用しているHTTPS接続ではこれが困難になるためだという。
この共同レポートによると、現時点ではこのグレート・ファイアウォーによるブロックを迂回する手段は六つほど存在するという。もっともグレート・ファイアウォールはアップデートが続けられているため、この迂回手段がいつまで通用するかは分からないようだ。
そもそも中国では SSL/TLS 通信の内容はダダ洩れ (スコア:2, 参考になる)
ESNIブロックは、外国人が持ち込むPCやスマホでSNI使用時にアクセス先のFQDNを取得できなくなることへの対策といったところでしょう。
一般の中国国民の通信に関しては、スマホだろうがWindows PCだろうが、中国国内で一般に市販されているものは政府のルート証明書がインストールされていますので、SSL/TLS を使っていようが政府が内容を復号できます。
(中間者攻撃をして、政府の証明書の秘密鍵で再度暗号化する方法での解読)
SSL/TLS が安全だと過信している人がいますが、信頼できないルート証明書が1枚でもPCに入っていたら終わりです。Windows PCなんかは信用できないアプリをAdministrator権限でインストールしたらもう終わり。
スマホも、サポートが切れたAndroidなどは脆弱性でルート証明書追加したら終わり。
そもそもOSにバックドアが組み込まれているかもしれないし、国家レベルの検閲に抗うのはなかなか難しいものです。
Re:そもそも中国では SSL/TLS 通信の内容はダダ洩れ (スコア:3, 参考になる)
「そもそも中国では SSL/TLS 通信の内容はダダ洩れ」というのはデマ。
ダウト。そもそも外国人は国際ローミングや訪中外国人向けSIMカードなどで金盾を迂回可能であり、中国政府のスコープ外。
ダウト。それをやっているのはカザフスタン [gigazine.net]。中国はやってない。
Firefoxなどは独自の証明書ストアを使うので、Mozillaに政府証明書バンドルを強制させようとした段階でバレる。
ダウト。管理者権限で任意のアプリや証明書をインストールできる段階で何もかも終わってる。SSL/TLS以前の問題。
「ピッキング防止錠を過信している人がいますが、爆弾で吹き飛ばされたら終わりです」というのと同義。
TLS 1.2 はok (スコア:1)
逆説的に、TLS 1.3 は安全だと言っている気がする。
TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。
TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。
Re:TLS 1.2 はok (スコア:5, 参考になる)
TLS 1.3未満のSSL/TLSには、SNIといって宛先ドメイン名を平文で添える仕組みがあるんです。ec2-12-34-56-78.ap-northeast-1-compute.amazonaws.comが*.amazonaws.comの証明書の代わりにsrad.jpの証明書を選んで返すにはそれが一番見栄えが良くて手っ取り早いので。
で、平文で送信されるということはGFWで見つけて叩き落とせるので、TLS 1.3でESNI(Encrypted SNI)が導入されたわけです。で、平文で送信されないということはGFWで見つけて叩き落とせないわけですね。
ここで例えばupdate.microsoft.comとgithub.comとtiktok.comが全てESNIを強制していて、全て逆引きで*cloudapp.azure.comとかを返してきて、全てIPが時々入れ替わるようになっていたりすると、GFWの運用上は不都合でしょうね。
Re:TLS 1.2 はok (スコア:3, 参考になる)
>TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。
解読できているわけではなく、そもそも暗号化されていなかっただけです。
TLS1.2ではSNIが平文なのでアクセス先FQDNが簡単に判断できたが、
1.3でESNIが導入されFQDNが暗号化されるようになったのでそれが出来なくなった。
Re: (スコア:0)
これだけだとTLS1.3にすればESNIが使えるように読めるが、実際はDNSに公開鍵を登録しておかなければならないし、
更にアクセス先を特定されないという目的を達するためには
・DNSクエリからアクセス先を推定することもできるので、DNS over TLS/HTTPSを使わなければならない
・DNSの改竄を防ぐためにDNSSECを使わなければならない
というハードルがある。
Re: (スコア:0)
今はホスト名暗号化ができなくても、その内できるようになると中共は考えたんでしょ。
FirefoxにはESNIとDNS over TLSが標準では無効化されて搭載されているし。
Re: (スコア:0)
そこまでやってもアクセス先IPアドレスは生なので、
アクセス先が複数のサービスと同じクラウドやらCDNに収容されていて、
その対応関係をアタッカーが調査せずに諦める前提の場合のみ有効。
攻撃者が正引きしてIPアドレス毎にあたりを付けていたり、
収容単位ごとまとめて処理していればあまり意味はない。
アクセス先ドメイン単位でちゃんと逃れたいなら、
素直にTorやVPNやHTTPS+CGI-Proxyやらを咬ますべきだね。
Re: (スコア:0)
ESNIはまだdraftだよね。
「導入され」とかいうと、既にreleaseされたかのように見えるので、念為
Re: (スコア:0)
TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。
国別IPアドレス帯でドロップしない理由もなくなりますね
ログやFail2Banの負荷を減らせますな
GDPRもついでに同じ対応をしちゃいましょう
そして念のための一文はこれですね
Sorry, Japanese Only.
Re: (スコア:0)
なお、ここでは認知率100%の日本の代表的なサイトであるスラドはTLS1.3に対応してないようだ。
この期に及んで (スコア:1)
まだ中国を擁護する人が居るのが信じられん。
Re: (スコア:0)
日本には言論の自由がありますからね
GFWの内側で中国共産党を批判するのは自殺行為になりつつあるでしょうが
Re: (スコア:0)
擁護する人間なんていないだろう
ただ他国に比べて解読されるリスクが少ない可能性があるから
他国よりマシという可能性があるだけでは?
Re: (スコア:0)
わぁ国が率先して3個目の議論をしない限り中国は許されたことになるでしょ
Re: (スコア:0)
日本国内で中国を擁護するような人々は、次のどれかと。
1. 中国共産党からお金をもらっており、エージェント化した日本人
2. 中国共産党のハニトラでぐずぐずの日本人
3. 中国共産党の存在を自身の反日活動のネタにする、極めて特殊な性癖を持つ日本人
こんな感じでしょうか。
Re: (スコア:0)
日本国内にも中国人はたくさんいますよ。
日本人と区別がつかないくらい、ちゃんとした日本語の文章を書くこともできます。
そういう人たちが大学や研究機関、企業から情報を盗む合間にネットで中国を擁護しているのです。
Re: (スコア:0)
中共に肯定的な中国人に会ったことないなあ。
国籍関係なく、なんらかの利益のために擁護とかしてるんじゃないかな。
Re:この期に及んで (スコア:2)
確かに肯定的な人にあったことないな
せいぜい無関心
Re: (スコア:0)
蓮舫とかそれに該当するんじゃないの。
未だに多重国籍(二重ぽっちとは言っていない)疑惑もあるし、
中国共産党に籍がある噂もあるしな。
二階と今井 (スコア:0)
Re: (スコア:0)
アメリカも中国も同じくらい横暴だと思ってるんだけど、これって君から見ると擁護派に入るのかな?
ついでに日本への干渉が多い分だけ、アメリカのほうが迷惑度が高いと思う。
Re:この期に及んで (スコア:2)
擁護派というよりも、もはや価値観が異常だと思う。
わがままな自治会長と、傍若無人なヤクザくらいは違うやろ。
アメリカの「干渉」が多いというが、日本と関係が深いからこそと言える。
経済や軍事など日本側が甘えていることは少なくないので、交渉事でアメリカが強気に出てくるのもしかたないというかあたりまえ。
逆にどの国からも「干渉」がなかったら、迷惑がなくなるというよりも、「孤立」のほうを心配するべきなんでは。
Re: (スコア:0)
なんか政権とってたときの民主党みたいな言い分だな。
あの時はアメリカの機嫌を損ねた上に中国では暴動でとんでもない仕打ちを受け、
スキありとみたロシア首相がすかさず北方領土を訪問。
アメポチやめるとどうなるのか、お灸をすえられたと思うんだけど。
Re: (スコア:0)
> アメポチやめるとどうなるのか、お灸をすえられたと思うんだけど。
横暴の極みだな。恐怖政治に近い精神を感じる。
Re: (スコア:0)
同じくらいって…さすがにどこの世界線?って聞きたくなる。
Re: (スコア:0)
世代に寄るんじゃない?
今の若い人は,エシュロンなんて話題にしませんし,80〜90年代に日本企業がアメリカでやられたこと(最近だとフランスのアルストム)なんて気にも留めていないだろうから.
Re: (スコア:0)
三沢基地のエシュロンって今動いてんの?
Re: (スコア:0)
中国は、自国内に圧力をかける国。
アメリカは、国外に圧力をかける国。
外にいる立場からすれば、中国のほうがマシだわ。
Re: (スコア:0)
どちらも国内外に圧力かけてるのに、何しらばっくれたんだ
Re: (スコア:0)
度重なる領海侵犯や領空侵犯はお前の中では圧力ではないのか。
Re: (スコア:0)
国内に米軍基地を作られてることに比べたら、かわいいもんだわ。
Re: (スコア:0)
まったく逆でしょ。
ネトウヨが中国の手先と呼んでいる野党こそがいつだって言論の自由を掲げているよ。
安倍政権での言論の自由度ランキング見たことある?
どうせ自分に都合の悪いことはすべて中国の工作呼ばわりするんだろうけどw
Re: (スコア:0)
>ネトウヨ
こんな言葉を使っている時点でお里が知れる。
Re: (スコア:0)
相手に合わせてるんだよ
Re: (スコア:0)
>言論の自由度ランキング
世界報道自由度ランキングなら聞いたことがあるのですが。
記者クラブの存在って部分は伏せてニュースになってますね。
Re: (スコア:0)
今の最後の言葉はオフレコです
みなさん、いいですか、書いたらもうその社は終わりだから
Re: (スコア:0)
それがオフレコになってない時点でな…
Re: (スコア:0)
言論の自由の名の下に、誹謗中傷の自由や、放言の自由を求めてるだけ。
え えらいことや…… せ 戦争じゃ…… (スコア:0)
この共同レポートによると、現時点ではこのグレート・ファイアウォーによるブロックを迂回する手段は六つほど存在するという。
//中学の教科書で出てきたらテンション上がる事間違いなし
Re: (スコア:0)
戦争っつーか
メギドの火でも降り注ぎそうで
いいことだ (スコア:0)
TLS1.3にすれば中華ブロックできるなんて
Re:いいことだ (スコア:1)
TLS1.3に限定すると、中国人以外も接続できなくなる。
TLS1.3に対応していない、対応が遅いブラウザやOSがあるからね。
https://www.ssllabs.com/ssltest/clients.html [ssllabs.com]
Re: (スコア:0)
クローラーが1.3に対応しないと、検索エンジンからも消えて実質存在しなくなるにも等しいのも……
Re: (スコア:0)
1.3 に対応できないクローラを使ってる検索エンジン/サイトなんて使ってる人おるん?
Re: (スコア:0)
ggrks
Re: (スコア:0)
つまり中国からTLS1.3でアクセスしてくるのは政府関係者ってことになる(のか?)