パスワードを忘れた? アカウント作成
14265637 story
中国

中国政府、TLS 1.3とESNIを使用するすべての暗号化されたHTTPSトラフィックをブロック中 49

ストーリー by nagazou
すぐアップデートしそう 部門より
中国政府が7月29日以降、グレート・ファイアウォール(GFW)を更新して、TLS 1.3やESNIを利用したHTTPS接続をブロックしているという。中国の検閲を調査しているiYouPort、メリーランド大学、Great Firewall Reportの三つの組織が発表したレポートで分かった。古いTLS 1.1や1.2、SNIなどを使用したHTTPSトラフィックは、これまで通りGFWを通過できる(ZDNetUna-al-díaメリーランド大学)。

理由としては、TLS 1.3ではSNIフィールドが暗号化されていることから、サードパーティのアプリケーションからユーザーがアクセスしたサイトを監視できなくなったことが挙げられる。中国政府はGFWによって、ユーザーがアクセスできる情報を制限してきたが、TLS 1.3を利用しているHTTPS接続ではこれが困難になるためだという。

この共同レポートによると、現時点ではこのグレート・ファイアウォーによるブロックを迂回する手段は六つほど存在するという。もっともグレート・ファイアウォールはアップデートが続けられているため、この迂回手段がいつまで通用するかは分からないようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年08月13日 16時33分 (#3869720)

    ESNIブロックは、外国人が持ち込むPCやスマホでSNI使用時にアクセス先のFQDNを取得できなくなることへの対策といったところでしょう。

    一般の中国国民の通信に関しては、スマホだろうがWindows PCだろうが、中国国内で一般に市販されているものは政府のルート証明書がインストールされていますので、SSL/TLS を使っていようが政府が内容を復号できます。

    (中間者攻撃をして、政府の証明書の秘密鍵で再度暗号化する方法での解読)

    SSL/TLS が安全だと過信している人がいますが、信頼できないルート証明書が1枚でもPCに入っていたら終わりです。Windows PCなんかは信用できないアプリをAdministrator権限でインストールしたらもう終わり。
    スマホも、サポートが切れたAndroidなどは脆弱性でルート証明書追加したら終わり。

    そもそもOSにバックドアが組み込まれているかもしれないし、国家レベルの検閲に抗うのはなかなか難しいものです。

    • by Anonymous Coward on 2020年08月13日 17時50分 (#3869765)

      「そもそも中国では SSL/TLS 通信の内容はダダ洩れ」というのはデマ。

      ESNIブロックは、外国人が持ち込むPCやスマホでSNI使用時にアクセス先のFQDNを取得できなくなることへの対策といったところでしょう。

      ダウト。そもそも外国人は国際ローミングや訪中外国人向けSIMカードなどで金盾を迂回可能であり、中国政府のスコープ外。

      一般の中国国民の通信に関しては、スマホだろうがWindows PCだろうが、中国国内で一般に市販されているものは政府のルート証明書がインストールされていますので、SSL/TLS を使っていようが政府が内容を復号できます。

      ダウト。それをやっているのはカザフスタン [gigazine.net]。中国はやってない。
      Firefoxなどは独自の証明書ストアを使うので、Mozillaに政府証明書バンドルを強制させようとした段階でバレる。

      Windows PCなんかは信用できないアプリをAdministrator権限でインストールしたらもう終わり。
      スマホも、サポートが切れたAndroidなどは脆弱性でルート証明書追加したら終わり。

      ダウト。管理者権限で任意のアプリや証明書をインストールできる段階で何もかも終わってる。SSL/TLS以前の問題。
      「ピッキング防止錠を過信している人がいますが、爆弾で吹き飛ばされたら終わりです」というのと同義。

      親コメント
  • by Anonymous Coward on 2020年08月13日 14時59分 (#3869655)

    逆説的に、TLS 1.3 は安全だと言っている気がする。
    TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。

    TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。

    • Re:TLS 1.2 はok (スコア:5, 参考になる)

      by 90 (35300) on 2020年08月13日 15時31分 (#3869677) 日記

      TLS 1.3未満のSSL/TLSには、SNIといって宛先ドメイン名を平文で添える仕組みがあるんです。ec2-12-34-56-78.ap-northeast-1-compute.amazonaws.comが*.amazonaws.comの証明書の代わりにsrad.jpの証明書を選んで返すにはそれが一番見栄えが良くて手っ取り早いので。

      で、平文で送信されるということはGFWで見つけて叩き落とせるので、TLS 1.3でESNI(Encrypted SNI)が導入されたわけです。で、平文で送信されないということはGFWで見つけて叩き落とせないわけですね。

      ここで例えばupdate.microsoft.comとgithub.comとtiktok.comが全てESNIを強制していて、全て逆引きで*cloudapp.azure.comとかを返してきて、全てIPが時々入れ替わるようになっていたりすると、GFWの運用上は不都合でしょうね。

      親コメント
    • Re:TLS 1.2 はok (スコア:3, 参考になる)

      by Anonymous Coward on 2020年08月13日 15時36分 (#3869682)

      >TLS 1.2 はもう解読できる、もしくは実用範囲内で解読できるから自由につかっていいよ、と。
      解読できているわけではなく、そもそも暗号化されていなかっただけです。

      TLS1.2ではSNIが平文なのでアクセス先FQDNが簡単に判断できたが、
      1.3でESNIが導入されFQDNが暗号化されるようになったのでそれが出来なくなった。

      親コメント
      • by Anonymous Coward

        これだけだとTLS1.3にすればESNIが使えるように読めるが、実際はDNSに公開鍵を登録しておかなければならないし、
        更にアクセス先を特定されないという目的を達するためには
        ・DNSクエリからアクセス先を推定することもできるので、DNS over TLS/HTTPSを使わなければならない
        ・DNSの改竄を防ぐためにDNSSECを使わなければならない
        というハードルがある。

        • by Anonymous Coward

          今はホスト名暗号化ができなくても、その内できるようになると中共は考えたんでしょ。
          FirefoxにはESNIとDNS over TLSが標準では無効化されて搭載されているし。

        • by Anonymous Coward

          そこまでやってもアクセス先IPアドレスは生なので、
          アクセス先が複数のサービスと同じクラウドやらCDNに収容されていて、
          その対応関係をアタッカーが調査せずに諦める前提の場合のみ有効。
          攻撃者が正引きしてIPアドレス毎にあたりを付けていたり、
          収容単位ごとまとめて処理していればあまり意味はない。

          アクセス先ドメイン単位でちゃんと逃れたいなら、
          素直にTorやVPNやHTTPS+CGI-Proxyやらを咬ますべきだね。

      • by Anonymous Coward

        ESNIはまだdraftだよね。
        「導入され」とかいうと、既にreleaseされたかのように見えるので、念為

    • by Anonymous Coward

      TLS 1.3 への移行を更に急いだほうが良いかもしれないですね。

      国別IPアドレス帯でドロップしない理由もなくなりますね
      ログやFail2Banの負荷を減らせますな

      GDPRもついでに同じ対応をしちゃいましょう

      そして念のための一文はこれですね

      Sorry, Japanese Only.

    • by Anonymous Coward

      なお、ここでは認知率100%の日本の代表的なサイトであるスラドはTLS1.3に対応してないようだ。

  • by Anonymous Coward on 2020年08月13日 15時14分 (#3869663)

    まだ中国を擁護する人が居るのが信じられん。

    • by Anonymous Coward

      日本には言論の自由がありますからね
      GFWの内側で中国共産党を批判するのは自殺行為になりつつあるでしょうが

    • by Anonymous Coward

      擁護する人間なんていないだろう
      ただ他国に比べて解読されるリスクが少ない可能性があるから
      他国よりマシという可能性があるだけでは?

    • by Anonymous Coward

      わぁ国が率先して3個目の議論をしない限り中国は許されたことになるでしょ

    • by Anonymous Coward

      日本国内で中国を擁護するような人々は、次のどれかと。

      1. 中国共産党からお金をもらっており、エージェント化した日本人
      2. 中国共産党のハニトラでぐずぐずの日本人
      3. 中国共産党の存在を自身の反日活動のネタにする、極めて特殊な性癖を持つ日本人

      こんな感じでしょうか。

      • by Anonymous Coward

        日本国内にも中国人はたくさんいますよ。
        日本人と区別がつかないくらい、ちゃんとした日本語の文章を書くこともできます。
        そういう人たちが大学や研究機関、企業から情報を盗む合間にネットで中国を擁護しているのです。

        • by Anonymous Coward

          中共に肯定的な中国人に会ったことないなあ。
          国籍関係なく、なんらかの利益のために擁護とかしてるんじゃないかな。

      • by Anonymous Coward
        政策に多大な影響を及ぼす、これらの人たちは何になるのでしょうか?
    • by Anonymous Coward

      アメリカも中国も同じくらい横暴だと思ってるんだけど、これって君から見ると擁護派に入るのかな?
      ついでに日本への干渉が多い分だけ、アメリカのほうが迷惑度が高いと思う。

      • by hjmhjm (39921) on 2020年08月14日 13時55分 (#3870186)

        擁護派というよりも、もはや価値観が異常だと思う。
        わがままな自治会長と、傍若無人なヤクザくらいは違うやろ。

        アメリカの「干渉」が多いというが、日本と関係が深いからこそと言える。
        経済や軍事など日本側が甘えていることは少なくないので、交渉事でアメリカが強気に出てくるのもしかたないというかあたりまえ。

        逆にどの国からも「干渉」がなかったら、迷惑がなくなるというよりも、「孤立」のほうを心配するべきなんでは。

        親コメント
      • by Anonymous Coward

        なんか政権とってたときの民主党みたいな言い分だな。
         
        あの時はアメリカの機嫌を損ねた上に中国では暴動でとんでもない仕打ちを受け、
        スキありとみたロシア首相がすかさず北方領土を訪問。
         
        アメポチやめるとどうなるのか、お灸をすえられたと思うんだけど。

        • by Anonymous Coward

          > アメポチやめるとどうなるのか、お灸をすえられたと思うんだけど。

          横暴の極みだな。恐怖政治に近い精神を感じる。

      • by Anonymous Coward

        同じくらいって…さすがにどこの世界線?って聞きたくなる。

      • by Anonymous Coward

        世代に寄るんじゃない?

        今の若い人は,エシュロンなんて話題にしませんし,80〜90年代に日本企業がアメリカでやられたこと(最近だとフランスのアルストム)なんて気にも留めていないだろうから.

        • by Anonymous Coward

          三沢基地のエシュロンって今動いてんの?

    • by Anonymous Coward

      中国は、自国内に圧力をかける国。
      アメリカは、国外に圧力をかける国。
      外にいる立場からすれば、中国のほうがマシだわ。

      • by Anonymous Coward

        どちらも国内外に圧力かけてるのに、何しらばっくれたんだ

      • by Anonymous Coward

        度重なる領海侵犯や領空侵犯はお前の中では圧力ではないのか。

        • by Anonymous Coward

          国内に米軍基地を作られてることに比べたら、かわいいもんだわ。

  • by Anonymous Coward on 2020年08月13日 16時26分 (#3869716)

    この共同レポートによると、現時点ではこのグレート・ファイアウォーによるブロックを迂回する手段は六つほど存在するという。

    //中学の教科書で出てきたらテンション上がる事間違いなし

    • by Anonymous Coward

      戦争っつーか
      メギドの火でも降り注ぎそうで

  • by Anonymous Coward on 2020年08月13日 17時18分 (#3869755)

    TLS1.3にすれば中華ブロックできるなんて

    • by Anonymous Coward on 2020年08月13日 18時13分 (#3869780)

      TLS1.3に限定すると、中国人以外も接続できなくなる。
      TLS1.3に対応していない、対応が遅いブラウザやOSがあるからね。
      https://www.ssllabs.com/ssltest/clients.html [ssllabs.com]

      親コメント
      • by Anonymous Coward

        クローラーが1.3に対応しないと、検索エンジンからも消えて実質存在しなくなるにも等しいのも……

        • by Anonymous Coward

          1.3 に対応できないクローラを使ってる検索エンジン/サイトなんて使ってる人おるん?

    • by Anonymous Coward

      つまり中国からTLS1.3でアクセスしてくるのは政府関係者ってことになる(のか?)

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...